.arest файлов или новый шифровальщик

Тема в разделе "Борьба с типовыми зловредами", создана пользователем thyrex, 20 авг 2012.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    В первой половине августа начал свою «деятельность» новый шифровальщик, использующий для шифрования файлов алгоритм AES. Шифрует все файлы на жестком диске со следующими расширениями (59 типов)
    По окончании шифрования выводит на экран картинку с сообщением
    Ваш идентификационный номер: ***
    Ваш IP адрес: ************

    Протокол 1637/04 системы контроля НРНП МВД РФ

    Автоматизированная система по надзору за распространением нелегального программного обеспечения Министерства Внутренних Дел Российской Федерации

    Ваш компьютер заблокирован!


    На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов:

    Загрузка и сохранение аудио материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев.


    На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав».

    Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок.


    По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по вашему делу.

    В письме будет указан код разблокировки.


    Для оплаты штрафа следуйте инструкциям ниже:


    Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу MVDRFSYSTEM@SMTP.RU. Для регистрации и разблокировки вашей системы в письме необходимо указать: Идентификационый номер и IP адрес.


    Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп.


    Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать»


    ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности

    и т.д.

    Механизм работы (возможны неточности):

    1. После запуска создает mutex с именем SYSTEMMVDRF для предотвращения запуска нескольких копий

    2. Окно программы скрывается до момента окончания шифрования

    3. В реестр записывается ключ автозапуска вируса при старте системы, сам файл сохраняется в папку Application Data (Windows XP) или AppData\Roaming (для систем выше XP) учетной записи пользователя, под которым происходило шифрование

    4. Проверяется наличие параметров id и IP в реестре + наличие файла с ключом шифрования
    - если это первый запуск (данных, естественно, еще нет), идет обращение к серверу, откуда приходит ключ шифрования (ключ шифруется и сохраняется на диск в папку с вирусом), а также id и IP, которые нужно указать при обращение за ключом. Шифрование начинается. Оригинальные файлы удаляются* В каждую папку с зашифрованными файлами дополнительно сбрасывается файл WARNING.txt, дублирующий сообщение о шифровании
    - если это не первый запуск, программа продолжает шифрование.

    5. По окончании шифрования файл с ключом (похоже на то) стирается, а пользователя «радует» сообщение вымогателя

    6. После оплаты и нажатия кнопки Разблокировать, проверяется валидность ключа: при шифровании в папке с вирусом создается файл с текстом
    , который попутно шифруется с остальными файлами, а при нажатии кнопки Разблокировать происходит его дешифровка и сравнение

    * При удалении файлов (будь то оригинальные файлы, временные файлы или зашифрованные) вирус трижды перезаписывает их мусорным кодом и только после этого удаляет

    Шифровальщик детектируется Лабораторией Касперского как Trojan-Ransom.Win32.Elcore.a

    P.S. В процессе анализа случайно запустил тело у себя, также случайно обнаружил и вовремя остановил. Да, кстати, механизм самозащиты у вируса оказался хилым, и он дал мне открыть диспетчер задач и снять процесс
    Написал простенький дешифратор для своих нужд. Восстановил около 60% информации. Дальше работаю над профессиональной версией дешифратора.

    Добавлено через 3 часа 18 минут 58 секунд
    Похоже ситуация печальная. Проверил свой дешифратор на файлах другого пользователя. Не помогло. Более того, полученный файл - нулевого размера
     
    Последнее редактирование: 20 авг 2012
    13 пользователям это понравилось.
  2. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    Получается не все так просто как кажется..
     
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Утилита от вебовцев te141decrypt.exe, которая вчера обновилась, тоже ничего не нашла в подсунутом файле другого пострадавшего
     
    6 пользователям это понравилось.
  4. aidoqa
    Оффлайн

    aidoqa Активный пользователь

    Сообщения:
    1.115
    Симпатии:
    313
    их можно восстановить (или попробовать восстановить), разными утилитами. Например: Recover My Files и т.д или не имеет смысла ?
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    Вот и думай сколько это стоить может.
     
    1 человеку нравится это.
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Утилиту для дешифровки с описанием работы можно скачать здесь
     
    9 пользователям это понравилось.

Поделиться этой страницей