Скрипт по почте или снова о шифровальщиках

Тема в разделе "Борьба с типовыми зловредами", создана пользователем thyrex, 26 июн 2014.

  1. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта.

    Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
    Примеры тем
    Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (зачастую от известных пострадавшим пользователям отправителей)

    Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
    1. bat-файл, который и отвечает за процедуру шифрования
    2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
    3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
    4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)

    Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
    Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились
    После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются

    Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*

    Благодарность Dragokas за помощь в анализе кода

    P.S. Оформление и дополнение темы через пару дней
     
    Последнее редактирование модератором: 15 июл 2014
    machito, Vlad19, Drongo и 5 другим нравится это.
  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    В новой модификации сам bat-файл извлекается из инсталлятора https://www.virustotal.com/ru/file/...c1f66f75bd7c89a8501f83cad1529db0180/analysis/

    К файлам добавляется расширение .pzdc

    Да и список файлов, подлежащих шифрованию несколько расширился
    Из-за ошибки не шифруются файлы на диске Y:

    Исключение не делается ни для одного файла
     
    Последнее редактирование: 9 июл 2014
    machito, Vlad19, Drongo и 3 другим нравится это.
  3. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    864
    Последнее редактирование модератором: 14 июл 2014
  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Судя по всему тушка не отработала с переименованием
    Файлы должны получать дополнительное расширение .crypt

    В остальном все ничем не отличается от предыдущей модификации.
     
    akok нравится это.
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Есть две новости. Похоже обе радостные
    1. Прислали дешифратор к последней версии. Как оказалось универсальный. Но тестирую дальше.
    2. DrWeb обещает расшифровку и для предыдущей версии
     
    machito, Kиpилл, Sandor и 2 другим нравится это.
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    п.2 в моем предыдущем сообщении реализован http://forum.drweb.com/index.php?showtopic=318058
    Но доступен только лицензионным пользователям продуктов DrWeb

    Дешифратор из п. 1 ушел в вирлаб ЛК. Утилиту обещают, о сроках неизвестно
     
    machito, Kиpилл, shestale и 2 другим нравится это.
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Воистину чудеса происходят

    Вчера выложили ключи для дешифровки KEY.PRIVATE первых версий
    Сегодня юзеру вместе с шифровальщиком прислали и декодер для еще одной новой версии, которая приписывает расширение .good
     
    machito, orderman, Sandor и ещё 1-му нравится это.
  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.053
    Симпатии:
    4.487
    Не профессионалы работают вероятно.
     
  9. Zykov Alex
    Оффлайн

    Zykov Alex Активный пользователь

    Сообщения:
    67
    Симпатии:
    6
    Подскажите неопытному, судя по описанию на страничке dr.web - затирается и создается заново директория "%appdata%\gnupg\".
    На сколько она активно используется системой? К чему вопрос - есть возможность с помощью KES10 настроить реагирование на событие - т.е. если происходит какое-либо действие записи/удаления каталога (в каталоге) - запретить данное действие. Если только чтение - разрешить такое действие. Будет ли запрет на запись в данную папку эффективным предотвращением шифровки файлов на рабочих станциях пользователей?
    Слава богу пока в компании не было случаев заражения, но превентивные меры всегда лучше, чем устранять последствия.
     
  10. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    864
    Dragokas, Zykov Alex и Kиpилл нравится это.
  11. Zykov Alex
    Оффлайн

    Zykov Alex Активный пользователь

    Сообщения:
    67
    Симпатии:
    6
    Последнее редактирование: 29 июл 2014
    Dragokas нравится это.
  12. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Новости из Лаборатории Касперского

    1. Данный шифровальщик выделен в отдельное семейство Trojan-Ransom.BAT.Scatter
    2. Разработана утилита для расшифровки некоторых модификаций данного шифровальщика, скачать которую можно по ссылке ScatterDecryptor
     
    Zykov Alex, mike 1, Dragokas и 4 другим нравится это.
  13. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Начала распространение новая версия

    Примеры тем
    http://virusinfo.info/showthread.php?t=164306
    http://virusinfo.info/showthread.php?t=164313
    http://virusinfo.info/showthread.php?t=164317

    По почте приходит zip-архив с именем Счет на оплату (ТД Алмаз) [Счет на оплату (Компания ДОМ)], в котором находится якобы документ Word (файл с длинным именем и имеет двойное расширение doc.js), а на самом деле js-скрипт, скачивающий компоненты шифровальщика и запускающий на выполнение cmd-файл

    Файлы получают новое расширение KEYBTC@GMAIL_COM

    Шифруются файлы следующих типов
    *.xls *.xlsx *.xlsm *.doc *.docx *.pdf *.dwg *.slddrw *.cdr *.jpg *.jpeg *.ppt *.cd *.mdb *.accdb *.1cd *.rar *.zip *.ai *.svg *.max

    Информация из вирлаба DrWeb http://virusinfo.info/showthread.php?t=164313&p=1145065&viewfull=1#post1145065

    Вердикты разных компонентов будут переименованы в Trojan-Ransom.BAT.Scatter.s

    По поводу расшифровки. Злоумышленники вернулись к прежней схеме:

    1. При каждом запуске зловреда генерируется уникальная пара ключей.
    2. Секретный ключ затем шифруется открытым мастер-ключом.

    Пока секретный мастер-ключ и кодовая фраза от него неизвестены, расшифровать файлы невозможно. А встраиваться в дешифраторы, высылаемые жертвам, он не будет, потому что для расшифровки файлов жертве будет достаточно выдать только расшифрованный секретный ключ, сгенерированный в пункте 1.
     
    Последнее редактирование: 6 авг 2014
    shestale, Dragokas и orderman нравится это.
  14. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Zykov Alex, orderman, Sandor и ещё 1-му нравится это.
  15. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Пошла новая волна

    Новое расширение снова paycrypt@gmail_com
    *.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf

    Простейшая защита от шифрования - создать на всякий случай файл %temp%\paycrpt.bin (в предыдущей версии - %temp%\crypti.bin)
     
    Последнее редактирование: 19 авг 2014
    Sandor, shestale, Kиpилл и 2 другим нравится это.
  16. Smoke
    Оффлайн

    Smoke Активный пользователь

    Сообщения:
    2
    Симпатии:
    0
    я заразился этим вирусом. доки и файлы (фотки) больше 5гб.
    KEY.PRIVATE нигде не нашел , писал им что так получилось, они в ответ написали:
    и этого файла не нашел и написал им. они молчать.
    я когда-нибудь могу получить свои файлы обратно?
     
  17. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.470
    Симпатии:
    3.097
    Без оригинального ключа дешифровки - вряд ли
     
  18. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.468
    Симпатии:
    864
    Smoke, в файле KEY.PRIVATE содержится в зашифрованном виде код на расшифровку ваших файлов. Без этого файла вам не сможет помочь даже автор этой подделки.
     
  19. fetbl4
    Оффлайн

    fetbl4 Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Всем привет. Прочитал все вышесказанное. но так и не понял, можно ли вернуть утраченные документы (желательно самостоятельно)? Благодарю за ответ.
     
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    fetbl4, ответ на ваш вопрос в шапке специально выделен жирным и красным цветом. Единственный шанс если вам повезёт и у вас ранняя версия, то тут же в теме указаны утилиты которыми можно попытаться расшифровать. Пробовать надо обязательно на копии зашифрованных файлов.
     

Поделиться этой страницей