• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Скрипт по почте или снова о шифровальщиках

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,786
Реакции
2,394
Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта.

Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
uncrpt@gmail_com
unstyx@gmail_com
unblck@gmail_com
paystyx@gmail_com

Примеры тем

Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (зачастую от известных пострадавшим пользователям отправителей)

Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
1. bat-файл, который и отвечает за процедуру шифрования
2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)

Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились
windows
temp
com_
Program
Common
AppData
Temporary Internet
Recycle
Intel
AppData

После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются

Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*

Благодарность Dragokas за помощь в анализе кода

P.S. Оформление и дополнение темы через пару дней
 
Последнее редактирование модератором:
В новой модификации сам bat-файл извлекается из инсталлятора https://www.virustotal.com/ru/file/...c1f66f75bd7c89a8501f83cad1529db0180/analysis/

К файлам добавляется расширение .pzdc

Да и список файлов, подлежащих шифрованию несколько расширился
*.txt *.bmp *.doc *.rtf *.xls *.docx *.xlsx *.pdf *.cs *.jpg *.jpeg *.gif *.cdr *.cpt *.psd *.rar *.zip *.7z *.ppt *.pptx *.mp3 *.ogg *.edb *.1cd *.dt

Из-за ошибки не шифруются файлы на диске Y:

Исключение не делается ни для одного файла
 
Последнее редактирование:
Судя по всему тушка не отработала с переименованием
Файлы должны получать дополнительное расширение .crypt

В остальном все ничем не отличается от предыдущей модификации.
 
Есть две новости. Похоже обе радостные
1. Прислали дешифратор к последней версии. Как оказалось универсальный. Но тестирую дальше.
2. DrWeb обещает расшифровку и для предыдущей версии
 
п.2 в моем предыдущем сообщении реализован http://forum.drweb.com/index.php?showtopic=318058
Но доступен только лицензионным пользователям продуктов DrWeb

Дешифратор из п. 1 ушел в вирлаб ЛК. Утилиту обещают, о сроках неизвестно
 
Воистину чудеса происходят

Вчера выложили ключи для дешифровки KEY.PRIVATE первых версий
Сегодня юзеру вместе с шифровальщиком прислали и декодер для еще одной новой версии, которая приписывает расширение .good
 
Подскажите неопытному, судя по описанию на страничке dr.web - затирается и создается заново директория "%appdata%\gnupg\".
На сколько она активно используется системой? К чему вопрос - есть возможность с помощью KES10 настроить реагирование на событие - т.е. если происходит какое-либо действие записи/удаления каталога (в каталоге) - запретить данное действие. Если только чтение - разрешить такое действие. Будет ли запрет на запись в данную папку эффективным предотвращением шифровки файлов на рабочих станциях пользователей?
Слава богу пока в компании не было случаев заражения, но превентивные меры всегда лучше, чем устранять последствия.
 
Последнее редактирование:
Новости из Лаборатории Касперского

1. Данный шифровальщик выделен в отдельное семейство Trojan-Ransom.BAT.Scatter
2. Разработана утилита для расшифровки некоторых модификаций данного шифровальщика, скачать которую можно по ссылке ScatterDecryptor
 
Начала распространение новая версия

Примеры тем
http://virusinfo.info/showthread.php?t=164306
http://virusinfo.info/showthread.php?t=164313
http://virusinfo.info/showthread.php?t=164317

По почте приходит zip-архив с именем Счет на оплату (ТД Алмаз) [Счет на оплату (Компания ДОМ)], в котором находится якобы документ Word (файл с длинным именем и имеет двойное расширение doc.js), а на самом деле js-скрипт, скачивающий компоненты шифровальщика и запускающий на выполнение cmd-файл

Файлы получают новое расширение KEYBTC@GMAIL_COM

Шифруются файлы следующих типов
*.xls *.xlsx *.xlsm *.doc *.docx *.pdf *.dwg *.slddrw *.cdr *.jpg *.jpeg *.ppt *.cd *.mdb *.accdb *.1cd *.rar *.zip *.ai *.svg *.max

Информация из вирлаба DrWeb http://virusinfo.info/showthread.php?t=164313&p=1145065&viewfull=1#post1145065

Вердикты разных компонентов будут переименованы в Trojan-Ransom.BAT.Scatter.s

По поводу расшифровки. Злоумышленники вернулись к прежней схеме:

1. При каждом запуске зловреда генерируется уникальная пара ключей.
2. Секретный ключ затем шифруется открытым мастер-ключом.

Пока секретный мастер-ключ и кодовая фраза от него неизвестены, расшифровать файлы невозможно. А встраиваться в дешифраторы, высылаемые жертвам, он не будет, потому что для расшифровки файлов жертве будет достаточно выдать только расшифрованный секретный ключ, сгенерированный в пункте 1.
 
Последнее редактирование:
Пошла новая волна

Новое расширение снова paycrypt@gmail_com
*.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf

Простейшая защита от шифрования - создать на всякий случай файл %temp%\paycrpt.bin (в предыдущей версии - %temp%\crypti.bin)
 
Последнее редактирование:
я заразился этим вирусом. доки и файлы (фотки) больше 5гб.
KEY.PRIVATE нигде не нашел , писал им что так получилось, они в ответ написали:
PayCrypt Seller

cleardot.gif

cleardot.gif

кому: мне
cleardot.gif

попробуйте восстановить с папки TEMP файл secring.gpg
вам может помочь системный администратор в этом вопросе

и этого файла не нашел и написал им. они молчать.
я когда-нибудь могу получить свои файлы обратно?
 
Smoke, в файле KEY.PRIVATE содержится в зашифрованном виде код на расшифровку ваших файлов. Без этого файла вам не сможет помочь даже автор этой подделки.
 
Всем привет. Прочитал все вышесказанное. но так и не понял, можно ли вернуть утраченные документы (желательно самостоятельно)? Благодарю за ответ.
 
fetbl4, ответ на ваш вопрос в шапке специально выделен жирным и красным цветом. Единственный шанс если вам повезёт и у вас ранняя версия, то тут же в теме указаны утилиты которыми можно попытаться расшифровать. Пробовать надо обязательно на копии зашифрованных файлов.
 
Назад
Сверху Снизу