thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#1
Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта.

Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
uncrpt@gmail_com
unstyx@gmail_com
unblck@gmail_com
paystyx@gmail_com
Примеры тем
Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (зачастую от известных пострадавшим пользователям отправителей)

Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
1. bat-файл, который и отвечает за процедуру шифрования
2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)

Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились
windows
temp
com_
Program
Common
AppData
Temporary Internet
Recycle
Intel
AppData
После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются

Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*

Благодарность Dragokas за помощь в анализе кода

P.S. Оформление и дополнение темы через пару дней
 
Последнее редактирование модератором:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#2
В новой модификации сам bat-файл извлекается из инсталлятора https://www.virustotal.com/ru/file/...c1f66f75bd7c89a8501f83cad1529db0180/analysis/

К файлам добавляется расширение .pzdc

Да и список файлов, подлежащих шифрованию несколько расширился
*.txt *.bmp *.doc *.rtf *.xls *.docx *.xlsx *.pdf *.cs *.jpg *.jpeg *.gif *.cdr *.cpt *.psd *.rar *.zip *.7z *.ppt *.pptx *.mp3 *.ogg *.edb *.1cd *.dt
Из-за ошибки не шифруются файлы на диске Y:

Исключение не делается ни для одного файла
 
Последнее редактирование:

mike 1

Активный пользователь
Сообщения
2,391
Симпатии
918
Баллы
383
#3
Последнее редактирование модератором:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#4
Судя по всему тушка не отработала с переименованием
Файлы должны получать дополнительное расширение .crypt

В остальном все ничем не отличается от предыдущей модификации.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#5
Есть две новости. Похоже обе радостные
1. Прислали дешифратор к последней версии. Как оказалось универсальный. Но тестирую дальше.
2. DrWeb обещает расшифровку и для предыдущей версии
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#6
п.2 в моем предыдущем сообщении реализован http://forum.drweb.com/index.php?showtopic=318058
Но доступен только лицензионным пользователям продуктов DrWeb

Дешифратор из п. 1 ушел в вирлаб ЛК. Утилиту обещают, о сроках неизвестно
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#7
Воистину чудеса происходят

Вчера выложили ключи для дешифровки KEY.PRIVATE первых версий
Сегодня юзеру вместе с шифровальщиком прислали и декодер для еще одной новой версии, которая приписывает расширение .good
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,628
Симпатии
4,972
Баллы
663
#8
Не профессионалы работают вероятно.
 

Zykov Alex

Активный пользователь
Сообщения
67
Симпатии
6
Баллы
308
#9
Подскажите неопытному, судя по описанию на страничке dr.web - затирается и создается заново директория "%appdata%\gnupg\".
На сколько она активно используется системой? К чему вопрос - есть возможность с помощью KES10 настроить реагирование на событие - т.е. если происходит какое-либо действие записи/удаления каталога (в каталоге) - запретить данное действие. Если только чтение - разрешить такое действие. Будет ли запрет на запись в данную папку эффективным предотвращением шифровки файлов на рабочих станциях пользователей?
Слава богу пока в компании не было случаев заражения, но превентивные меры всегда лучше, чем устранять последствия.
 

Zykov Alex

Активный пользователь
Сообщения
67
Симпатии
6
Баллы
308
#11
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#12
Новости из Лаборатории Касперского

1. Данный шифровальщик выделен в отдельное семейство Trojan-Ransom.BAT.Scatter
2. Разработана утилита для расшифровки некоторых модификаций данного шифровальщика, скачать которую можно по ссылке ScatterDecryptor
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#13
Начала распространение новая версия

Примеры тем
http://virusinfo.info/showthread.php?t=164306
http://virusinfo.info/showthread.php?t=164313
http://virusinfo.info/showthread.php?t=164317

По почте приходит zip-архив с именем Счет на оплату (ТД Алмаз) [Счет на оплату (Компания ДОМ)], в котором находится якобы документ Word (файл с длинным именем и имеет двойное расширение doc.js), а на самом деле js-скрипт, скачивающий компоненты шифровальщика и запускающий на выполнение cmd-файл

Файлы получают новое расширение KEYBTC@GMAIL_COM

Шифруются файлы следующих типов
*.xls *.xlsx *.xlsm *.doc *.docx *.pdf *.dwg *.slddrw *.cdr *.jpg *.jpeg *.ppt *.cd *.mdb *.accdb *.1cd *.rar *.zip *.ai *.svg *.max

Информация из вирлаба DrWeb http://virusinfo.info/showthread.php?t=164313&p=1145065&viewfull=1#post1145065

Вердикты разных компонентов будут переименованы в Trojan-Ransom.BAT.Scatter.s

По поводу расшифровки. Злоумышленники вернулись к прежней схеме:

1. При каждом запуске зловреда генерируется уникальная пара ключей.
2. Секретный ключ затем шифруется открытым мастер-ключом.

Пока секретный мастер-ключ и кодовая фраза от него неизвестены, расшифровать файлы невозможно. А встраиваться в дешифраторы, высылаемые жертвам, он не будет, потому что для расшифровки файлов жертве будет достаточно выдать только расшифрованный секретный ключ, сгенерированный в пункте 1.
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#15
Пошла новая волна

Новое расширение снова paycrypt@gmail_com
*.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf

Простейшая защита от шифрования - создать на всякий случай файл %temp%\paycrpt.bin (в предыдущей версии - %temp%\crypti.bin)
 
Последнее редактирование:

Smoke

Активный пользователь
Сообщения
2
Симпатии
0
Баллы
301
#16
я заразился этим вирусом. доки и файлы (фотки) больше 5гб.
KEY.PRIVATE нигде не нашел , писал им что так получилось, они в ответ написали:
PayCrypt Seller

proxy.php?image=https%3A%2F%2Fmail.google.com%2Fmail%2Fu%2F0%2Fimages%2Fcleardot.gif&hash=c9374640620bf34a27277b5e0cfc6bb3

proxy.php?image=https%3A%2F%2Fmail.google.com%2Fmail%2Fu%2F0%2Fimages%2Fcleardot.gif&hash=c9374640620bf34a27277b5e0cfc6bb3

кому: мне
proxy.php?image=https%3A%2F%2Fmail.google.com%2Fmail%2Fu%2F0%2Fimages%2Fcleardot.gif&hash=c9374640620bf34a27277b5e0cfc6bb3

попробуйте восстановить с папки TEMP файл secring.gpg
вам может помочь системный администратор в этом вопросе
и этого файла не нашел и написал им. они молчать.
я когда-нибудь могу получить свои файлы обратно?
 

mike 1

Активный пользователь
Сообщения
2,391
Симпатии
918
Баллы
383
#18
Smoke, в файле KEY.PRIVATE содержится в зашифрованном виде код на расшифровку ваших файлов. Без этого файла вам не сможет помочь даже автор этой подделки.
 

fetbl4

Активный пользователь
Сообщения
6
Симпатии
0
Баллы
81
#19
Всем привет. Прочитал все вышесказанное. но так и не понял, можно ли вернуть утраченные документы (желательно самостоятельно)? Благодарю за ответ.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,251
Симпатии
5,850
Баллы
918
#20
fetbl4, ответ на ваш вопрос в шапке специально выделен жирным и красным цветом. Единственный шанс если вам повезёт и у вас ранняя версия, то тут же в теме указаны утилиты которыми можно попытаться расшифровать. Пробовать надо обязательно на копии зашифрованных файлов.
 
Сверху Снизу