1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Скрипт по почте или снова о шифровальщиках

Тема в разделе "Вирусы-шифровальщики", создана пользователем thyrex, 26 июн 2014.

  1. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта.

    Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
    Примеры тем
    Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (зачастую от известных пострадавшим пользователям отправителей)

    Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
    1. bat-файл, который и отвечает за процедуру шифрования
    2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
    3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
    4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)

    Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
    Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились
    После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются

    Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*

    Благодарность Dragokas за помощь в анализе кода

    P.S. Оформление и дополнение темы через пару дней
     
    Последнее редактирование модератором: 15 июл 2014
    machito, Vlad19, Drongo и 5 другим нравится это.
  2. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    В новой модификации сам bat-файл извлекается из инсталлятора https://www.virustotal.com/ru/file/...c1f66f75bd7c89a8501f83cad1529db0180/analysis/

    К файлам добавляется расширение .pzdc

    Да и список файлов, подлежащих шифрованию несколько расширился
    Из-за ошибки не шифруются файлы на диске Y:

    Исключение не делается ни для одного файла
     
    Последнее редактирование: 9 июл 2014
    machito, Vlad19, Drongo и 3 другим нравится это.
  3. mike 1

    mike 1 Активный пользователь

    Сообщения:
    2.552
    Симпатии:
    946
    Последнее редактирование модератором: 14 июл 2014
  4. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Судя по всему тушка не отработала с переименованием
    Файлы должны получать дополнительное расширение .crypt

    В остальном все ничем не отличается от предыдущей модификации.
     
    akok нравится это.
  5. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Есть две новости. Похоже обе радостные
    1. Прислали дешифратор к последней версии. Как оказалось универсальный. Но тестирую дальше.
    2. DrWeb обещает расшифровку и для предыдущей версии
     
    machito, Кирилл, Sandor и 2 другим нравится это.
  6. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    п.2 в моем предыдущем сообщении реализован http://forum.drweb.com/index.php?showtopic=318058
    Но доступен только лицензионным пользователям продуктов DrWeb

    Дешифратор из п. 1 ушел в вирлаб ЛК. Утилиту обещают, о сроках неизвестно
     
    machito, Кирилл, shestale и 2 другим нравится это.
  7. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Воистину чудеса происходят

    Вчера выложили ключи для дешифровки KEY.PRIVATE первых версий
    Сегодня юзеру вместе с шифровальщиком прислали и декодер для еще одной новой версии, которая приписывает расширение .good
     
    machito, orderman, Sandor и ещё 1-му нравится это.
  8. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.118
    Симпатии:
    4.835
    Не профессионалы работают вероятно.
     
  9. Zykov Alex

    Zykov Alex Активный пользователь

    Сообщения:
    67
    Симпатии:
    6
    Подскажите неопытному, судя по описанию на страничке dr.web - затирается и создается заново директория "%appdata%\gnupg\".
    На сколько она активно используется системой? К чему вопрос - есть возможность с помощью KES10 настроить реагирование на событие - т.е. если происходит какое-либо действие записи/удаления каталога (в каталоге) - запретить данное действие. Если только чтение - разрешить такое действие. Будет ли запрет на запись в данную папку эффективным предотвращением шифровки файлов на рабочих станциях пользователей?
    Слава богу пока в компании не было случаев заражения, но превентивные меры всегда лучше, чем устранять последствия.
     
  10. mike 1

    mike 1 Активный пользователь

    Сообщения:
    2.552
    Симпатии:
    946
    Dragokas, Zykov Alex и Кирилл нравится это.
  11. Zykov Alex

    Zykov Alex Активный пользователь

    Сообщения:
    67
    Симпатии:
    6
    Последнее редактирование: 29 июл 2014
    Dragokas нравится это.
  12. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Новости из Лаборатории Касперского

    1. Данный шифровальщик выделен в отдельное семейство Trojan-Ransom.BAT.Scatter
    2. Разработана утилита для расшифровки некоторых модификаций данного шифровальщика, скачать которую можно по ссылке ScatterDecryptor
     
    Zykov Alex, mike 1, Dragokas и 4 другим нравится это.
  13. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Начала распространение новая версия

    Примеры тем
    http://virusinfo.info/showthread.php?t=164306
    http://virusinfo.info/showthread.php?t=164313
    http://virusinfo.info/showthread.php?t=164317

    По почте приходит zip-архив с именем Счет на оплату (ТД Алмаз) [Счет на оплату (Компания ДОМ)], в котором находится якобы документ Word (файл с длинным именем и имеет двойное расширение doc.js), а на самом деле js-скрипт, скачивающий компоненты шифровальщика и запускающий на выполнение cmd-файл

    Файлы получают новое расширение KEYBTC@GMAIL_COM

    Шифруются файлы следующих типов
    *.xls *.xlsx *.xlsm *.doc *.docx *.pdf *.dwg *.slddrw *.cdr *.jpg *.jpeg *.ppt *.cd *.mdb *.accdb *.1cd *.rar *.zip *.ai *.svg *.max

    Информация из вирлаба DrWeb http://virusinfo.info/showthread.php?t=164313&p=1145065&viewfull=1#post1145065

    Вердикты разных компонентов будут переименованы в Trojan-Ransom.BAT.Scatter.s

    По поводу расшифровки. Злоумышленники вернулись к прежней схеме:

    1. При каждом запуске зловреда генерируется уникальная пара ключей.
    2. Секретный ключ затем шифруется открытым мастер-ключом.

    Пока секретный мастер-ключ и кодовая фраза от него неизвестены, расшифровать файлы невозможно. А встраиваться в дешифраторы, высылаемые жертвам, он не будет, потому что для расшифровки файлов жертве будет достаточно выдать только расшифрованный секретный ключ, сгенерированный в пункте 1.
     
    Последнее редактирование: 6 авг 2014
    shestale, Dragokas и orderman нравится это.
  14. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Zykov Alex, orderman, Sandor и ещё 1-му нравится это.
  15. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Пошла новая волна

    Новое расширение снова paycrypt@gmail_com
    *.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf

    Простейшая защита от шифрования - создать на всякий случай файл %temp%\paycrpt.bin (в предыдущей версии - %temp%\crypti.bin)
     
    Последнее редактирование: 19 авг 2014
    Sandor, shestale, Кирилл и 2 другим нравится это.
  16. Smoke

    Smoke Активный пользователь

    Сообщения:
    2
    Симпатии:
    0
    я заразился этим вирусом. доки и файлы (фотки) больше 5гб.
    KEY.PRIVATE нигде не нашел , писал им что так получилось, они в ответ написали:
    и этого файла не нашел и написал им. они молчать.
    я когда-нибудь могу получить свои файлы обратно?
     
  17. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.598
    Симпатии:
    3.139
    Без оригинального ключа дешифровки - вряд ли
     
  18. mike 1

    mike 1 Активный пользователь

    Сообщения:
    2.552
    Симпатии:
    946
    Smoke, в файле KEY.PRIVATE содержится в зашифрованном виде код на расшифровку ваших файлов. Без этого файла вам не сможет помочь даже автор этой подделки.
     
  19. fetbl4

    fetbl4 Пользователь

    Сообщения:
    6
    Симпатии:
    0
    Всем привет. Прочитал все вышесказанное. но так и не понял, можно ли вернуть утраченные документы (желательно самостоятельно)? Благодарю за ответ.
     
  20. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    12.036
    Симпатии:
    5.618
    fetbl4, ответ на ваш вопрос в шапке специально выделен жирным и красным цветом. Единственный шанс если вам повезёт и у вас ранняя версия, то тут же в теме указаны утилиты которыми можно попытаться расшифровать. Пробовать надо обязательно на копии зашифрованных файлов.
     

Поделиться этой страницей