Шифровальщик Trojan-Ransom.Win32.Hanar (Trojan.Encoder.162)

Тема в разделе "Борьба с типовыми зловредами", создана пользователем thyrex, 19 окт 2012.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.097
    С начала октября пользователи стали массово обращаться на форумы лечения с жалобами на шифровальщика, который показывает следующие картинки

    [​IMG][​IMG]

    Это шифровальщик Trojan-Ransom.Win32.Hanar (по классификации Лаборатории Касперского) или Trojan.Encoder.162 (по классификации DrWeb)

    В настоящий момент известно 4 вариации шифровальщика (первая картинка для версии a, вторая - для версий b, c, d)

    Файл шифровальщика имеет имя error.exe. Написан на С++. Упакован предположительно упаковщиком Yakes. Располагается либо в папке Windows (скорее всего только для Windows XP) или в ProgramData (для Windows 7). Прописывается в автозапуск.

    Механизм работы:
    1) шифруются файлы с расширениями .doc, .docx, .xls, .xlsx, .jpg (хотя однажды попался случай, что почему-то оказались зашифрованы и файлы .tif, .eps).
    2) шифруются первые 100 байт файла. Ключ для шифрования (дешифровки) основан на серийном номере системного диска.
    Для шифрования используется побайтный XOR.
    - в версиях a, b использовалось десятичное представление серийного номера системного диска (могли получиться как положительные, так и отрицательные числа)
    - в версиях c, d серийный номер отсылается на сервер злоумышленников и ключ генерируется по неизвестному пока принципу, состоит из двух частей 64+36 байт, первые 36 байт в обеих частях полностью совпадают

    Как расшифровать файлы
    Для расшифровки можно использовать следубющие утилиты
    RectorDecryptor (начиная с версии 2.5.0)
    te162decrypt

    Особенности дешифровки (на примере RectorDecryptor):
    - для версий a, b:
    а) если система не переустанавливалась, просто запустить утилиту (не переустанавливать систему, потому что сменится серийный номер диска и утилита не сможет расшифровать).
    б) если переустановка была произведена, пробовать просто определить ключ шифрования (особенно хорошо получается его определить по зашифрованным .xls) или просить пользователя прислать незашифрованный оригинал файла, чтобы получить ключ реверсированием.
    В этом случае утилиту запускать из командной строки так
    (кавычки обязательны)

    - для версий c, d сразу просить присылать вместе с зашифрованным файлом его незашифрованный оригинал, чтобы определить ключ, например
    Особенности дешифровки (на примере te162decrypt):
    - пробовать расшифровать обычным образом (если система не переустанавливалась)
    - прислать вместе с зашифрованным файлом его незашифрованный оригинал (начиная с версии от 19 октября)

    Внимание: до (после) дешифровки обязательно удостовериться, что файл error.exe уничтожен. В противном случае возможен рецидив.
     
    Последнее редактирование: 20 окт 2012
    19 пользователям это понравилось.
  2. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    Ещё одна картинка
     

    Вложения:

    2 пользователям это понравилось.
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.097
    Это после нажатия кнопки Далее (при выборе оплаты) в первом окне

    Очень похоже, что уже начала распространение еще одна версия шифровальщика.
    Там уже не просто XOR, а какой-то из алгоритмов шифрования
     
    Последнее редактирование: 20 окт 2012
  4. Roofoo
    Оффлайн

    Roofoo Активный пользователь

    Сообщения:
    89
    Симпатии:
    13
    а... как такие троянцы относятся к "запароленым" RAR архивам ? тоже может зашифровать?
     
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.097
    Roofoo, а почему нет :)

    to All
    Печально. Все новые модификации Hanar используют алгоритм шифрования Blowfish. Возможно ли будет подобрать ключи, смогут сказать только специалисты
     
  6. Roofoo
    Оффлайн

    Roofoo Активный пользователь

    Сообщения:
    89
    Симпатии:
    13
    thyrex, а как вирусок получит доступ к загаловку файла, если он уже зашифрован паролем): Просто изменит расширение файла что-ли?

    Добавлено через 35 минут 32 секунды
    нашёл какое-то древнее барахло сейчас попробуем на виртуальной машине что он сделает с запароленным rar архивом ))
    [​IMG]
     
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.097
    Какая вирусу разница, что шифровать - оригинальный заголовок или зашифрованный? :)
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.597
    Как-то все печальнее и печальнее становится с этими шифровальщиками. Где-то по началу лета знакомой помогал восстанавливать от хориста - там модель распространения хорошая была - обычный downloader сначала скачивал банковского троянца вроде Шиза, а через несколько часов еще и хориста - само заражение, как у лохов - типа письмо от незнакомого человека - погляди какие фотки.

    Она мне когда звонила - первой фразой и было - Знаешь - я лох)))

    Отделу К - по-видимому проще для галочек экстримистов в социальных сетях искать и тех кто по p2p кряки и порно распространяет - тоже мне специалисты...
     
  9. Roofoo
    Оффлайн

    Roofoo Активный пользователь

    Сообщения:
    89
    Симпатии:
    13
    действительно попортил запороленный архив. гад. )))
     
  10. Dedko
    Оффлайн

    Dedko Пользователь

    Сообщения:
    7
    Симпатии:
    1
    Да, видимо обычный XOR уже не катит, испольузет какой-то алгоритм шифрования:
    Я нашел у себя ключ в скрытых файлах.
    Пример 100 байт не зараженного jpg файла:
    Код (Text):
    FFD8FFE12E3F4578696600004D4D002A00000008001001000003000000010CC000000101000300000001134000000102000300000003000000CE010600030000000100020000010F000200000012000000D4011000020000000C000000E6011200030000
    Этого же только уже зараженного:
    Код (Text):
    39D1682BAAD80040820ADB83AB8B89F5E5FAF04F6CE341C9C4ADD93576EE70169EE663A8BA634746CFCDCC96E4DD6DCECA6B5A94080D90E75990AE2DA9D8AF89E3D9D18D5DF2DA1612ADC78BA3E086CC2E440F32549C778E1F73B5D606A97F1494F09C4C
    И собственно ключ:
    Код (Text):
    2D781678117809780D781D7836780D781578787849784A78417841784D784A7849784D784E784A784C784C7841784178417849784D784B787878787878787878787878787878787878787878787878787878787878787878787878787878787878787878
    Кто подскажет, как определить алгоритм было бы очень круто! А то фоток загублено гигабайты.
     
    Последнее редактирование модератором: 21 окт 2012
  11. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.097
    Dedko
    Если есть хотя бы один зашифрованный файл .docx или .xlsx, пришлите
    Ну или пару шифрованный-нешифрованный (можно даже jpg в этом случае)

    А поподробнее?
     
  12. talmida
    Оффлайн

    talmida Пользователь

    Сообщения:
    1
    Симпатии:
    0
    Поймала себе похожую дрянь - все jpg, doc, xls на компе оказались зашифрованы. Расширение не изменилось. Утилиты от Касперского и Др.Веба не помогли. Отдельную тему не завожу, так как по неопытности все сделала не так: просканировала касперским он-лайн, удалила троян, лог не сохранила, так что оформить запрос по правилам, увы, не могу.
    Зато на флешке есть неиспорченные копии некоторых файлов! Может ли кто-нибудь попробовать помочь в такой ситуации?
     
  13. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    talmida, создайте новую тему- каждый случай уникален. виполните все логи по правилам- и вам помогут ;)
     
    2 пользователям это понравилось.

Поделиться этой страницей