• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

.arest файлов или новый шифровальщик

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,885
Реакции
2,432
В первой половине августа начал свою «деятельность» новый шифровальщик, использующий для шифрования файлов алгоритм AES. Шифрует все файлы на жестком диске со следующими расширениями (59 типов)
.txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx,
.xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo,
.djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr,
.frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx,
.dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf,
.xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl

По окончании шифрования выводит на экран картинку с сообщением
Ваш идентификационный номер: ***
Ваш IP адрес: ************

Протокол 1637/04 системы контроля НРНП МВД РФ

Автоматизированная система по надзору за распространением нелегального программного обеспечения Министерства Внутренних Дел Российской Федерации

Ваш компьютер заблокирован!


На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов:

Загрузка и сохранение аудио материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев.


На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав».

Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок.


По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по вашему делу.

В письме будет указан код разблокировки.


Для оплаты штрафа следуйте инструкциям ниже:


Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу MVDRFSYSTEM@SMTP.RU. Для регистрации и разблокировки вашей системы в письме необходимо указать: Идентификационый номер и IP адрес.


Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп.


Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать»


ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности

и т.д.

Механизм работы (возможны неточности):

1. После запуска создает mutex с именем SYSTEMMVDRF для предотвращения запуска нескольких копий

2. Окно программы скрывается до момента окончания шифрования

3. В реестр записывается ключ автозапуска вируса при старте системы, сам файл сохраняется в папку Application Data (Windows XP) или AppData\Roaming (для систем выше XP) учетной записи пользователя, под которым происходило шифрование

4. Проверяется наличие параметров id и IP в реестре + наличие файла с ключом шифрования
- если это первый запуск (данных, естественно, еще нет), идет обращение к серверу, откуда приходит ключ шифрования (ключ шифруется и сохраняется на диск в папку с вирусом), а также id и IP, которые нужно указать при обращение за ключом. Шифрование начинается. Оригинальные файлы удаляются* В каждую папку с зашифрованными файлами дополнительно сбрасывается файл WARNING.txt, дублирующий сообщение о шифровании
- если это не первый запуск, программа продолжает шифрование.

5. По окончании шифрования файл с ключом (похоже на то) стирается, а пользователя «радует» сообщение вымогателя

6. После оплаты и нажатия кнопки Разблокировать, проверяется валидность ключа: при шифровании в папке с вирусом создается файл с текстом
, который попутно шифруется с остальными файлами, а при нажатии кнопки Разблокировать происходит его дешифровка и сравнение

* При удалении файлов (будь то оригинальные файлы, временные файлы или зашифрованные) вирус трижды перезаписывает их мусорным кодом и только после этого удаляет

Шифровальщик детектируется Лабораторией Касперского как Trojan-Ransom.Win32.Elcore.a

P.S. В процессе анализа случайно запустил тело у себя, также случайно обнаружил и вовремя остановил. Да, кстати, механизм самозащиты у вируса оказался хилым, и он дал мне открыть диспетчер задач и снять процесс
Написал простенький дешифратор для своих нужд. Восстановил около 60% информации. Дальше работаю над профессиональной версией дешифратора.

Добавлено через 3 часа 18 минут 58 секунд
Похоже ситуация печальная. Проверил свой дешифратор на файлах другого пользователя. Не помогло. Более того, полученный файл - нулевого размера
 
Последнее редактирование:
Утилита от вебовцев te141decrypt.exe, которая вчера обновилась, тоже ничего не нашла в подсунутом файле другого пострадавшего
 
При удалении файлов (будь то оригинальные файлы, временные файлы или зашифрованные) вирус трижды перезаписывает их мусорным кодом и только после этого удаляет
Вот и думай сколько это стоить может.
 
Назад
Сверху Снизу