LowLevel04: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 24 окт 2015.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель LowLevel04, или
    Технология проведения брутфорс-атаки по Remote Desktop с последующим шифрованием файлов

    ИБ-эксперты компании Bleeping Computer недавно обнаружили новый вид вымогательского ПО под названием LowLevel04, использующее для распространения несколько необычный механизм — для заражения компьютеров вредонос подключается к ним с помощью соединения «Удаленный рабочий стол» в Windows. Т.е. буквально проводит брутфорс-атаку по Remote Desktop, чтобы распространить вредонос и дать ему сделать свое дело.

    Попав на ПК жертвы LowLevel04 шифрует все файлы с использованием алгоритма AES и требует у жертвы выкуп для разблокировки в размере 4 биткоинов или ~$1000.

    Впервые LowLevel04 появился в начале нынешнего месяца. По словам одного из пострадавших пользователей, все его документы были внезапно зашифрованы, а на рабочем столе появился текстовый документ. В нем злоумышленники сообщили, что все файлы были зашифрованы, а для разблокировки необходимо заплатить выкуп. К сожалению, на данный момент восстановить зашифрованные файлы можно только из теневого бэкапа вымогателя, заплатив ему выкуп.

    Список файловых расширений, которые являются мишенью этого вымогательского ПО:
    .3fr,.dbf,.dcr,.dwg,.doc,.der,.erf,.eps,.jpg,.mp3,.mp4,.mef,.mrw,.mdf,.bay,.bck,.bkp,.bcp,.cdr,.mid,.nef,.nrw,.dat,.dxg,.dng,.pptx,.pptm,.jpe,.kdc,.mdb,.jpeg,.indd,.docx,.docm,.pfx,.raw,.rwl,.opd,.odm,.odc,.orf,.odb,.pdd,.pdf,.pst,.ppt,.rtf,.rw2,.odt,.ods,.pem,.sql,.xls,.xml,.xlk,.wpd,.wav,.wb2,.wps,.x3f,.zip,.xlsb,.arw,.bmp,.cer,.crw,.cr2,.crt,.dxf,.r3d,.srf,.sr2,.srw,.p12,.p7b,.p7c,.ptx,.pef,.png,.psd,.php,.rar,.raf,.xlsx,.xlsm,.exe,.bad,.lpa,.sys,.dll,.msi,.ie5,.ie6,.ie7,.ie8,.ie9,.ini,.inf,.lnk,.scr,.com,.ico,.desklink,.mapimail,.search-ms,.automaticDestinations-ms,.bkup,.database,.backup,.zip

    Когда файл уже зашифрован, то он устроен таким образом, что содержит различные слои информации, которые могут быть использованы в декриптере для расшифровки файлов. Вот эти различные слои зашифрованного файла: зашифрованная версия оригинального файла, оригинальный размер файла, зашифрованный ключ шифрования, размер ключа и LowLevel04 строка, которая идентифицирует, что это файл был зашифрован с помощью этой конкретной инфекции.

    Эти слои данных в зашифрованном файле представлены также в таблице ниже.
    зашифр.файл.png
    В каждой папке, где были зашифрованы файлы, вредПО оставляет файл-записку о выкупе под названием help recover files.txt. Этот файл содержит инструкцию о том, что жертва должна сделать, чтобы заплатить выкуп и получить программу для расшифровки. Адреса e-mail в настоящее время — entry122717@gmail.com и entry123488@india.com. На момент проведения исследования LowLevel04 был замечен в атаках только на греческих и болгарских пользователей.

    требование_выкупа.jpg
    Рис. Образец сообщения с требованием выкупа.

    После того, как вредонос завершил процесс шифрования, он выполняет зачистку — удаляет все созданные файлы, удаляет журналы событий приложений, безопасности и системы, чтобы они не могли быть использованы для выполнения судебной-розыскной экспертизы по проведенной атаке.

    команды_зачистки.png
    Рис. Команды выполняемые для очистки журналов событий.


    А теперь хорошие новости. В результате своего исследования эксперты Bleeping Computer выяснили, то вымогатели не удаляют теневые копии оригинальных файлов. Это означает, что имеется возможность использовать recovery tool для восстановления файлов или спецпрограмму, такую как Shadow Explorer (см. также его Руководство), чтобы восстановить ваши файлы из теневого бэкапа вымогателя. Информацию о том, как восстановить файлы из теневого бэкапа можно найти в руководстве по CryptoLocker.

     
    lilia-5-0 и Охотник нравится это.
  2. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.227
    Симпатии:
    4.980
    Кстати так же аналогичная инструкция имеется и у нас, но уже на русском языке и доработанная:
    Как восстановить зашифрованные троянами файлы средствами Windows
     
    SNS-amigo и shestale нравится это.

Поделиться этой страницей