Шифровирусы шумной толпою

1 2 3 4 5 ... 23 След.
RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39
повторяются уже рассылки:

Цитата
Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
<u>1. Список документов.zip</u>

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"


Цитата
От кого: НМЦ <apk-pro@yandex.ru>
Кому: <strop5@mail.ru>
Дата: Вторник, 31 марта 2015, 7:46 +03:00
Тема: Налоговая проверка
Добрый день,
В понедельник к нам пришла налоговая с внеплановой проверкой...
Вот уже второй день не могу найти отдельные первичные документы по нашей с вами работе.
Видимо, в ходе переезда в новый офис, они были утеряны.
Большая просьба проверить наличие актов и договоров по нашим поставкам (перечень в приложении).
Скиньте хотя бы их сканы, а то нам выпишут штрафы((
--
с ув.
ООО "Научно-методический центр профсоюза работников АПК"

В письме было вложение с именем " Список документов для ФНС.zip" размер файла 699 КБ
ctblocker вновь активен после некоторого перерыва.
способ распространения практически прежний. файл scr в архиве, прилетает скорее всего в почту. после запуска данный файлик подгружает из сети тело шифровальщика, и запускает его, передавая ему управление. после завершения шифровки документов любуемся новой заставкой на экране и берем кредит в банке на покупку ключа с расшифровкой документов. . 96 часов отводится на все это. вирлабы здесь не помогут. Разве что превентивно или сигнатурно заблокируют запуск шифратора.
Изменено: santy - 18.04.2015 15:21:11
вот еще один приемчик используют распространители шифраторов

Цитата
Тема: ПРОЦЕСС No 268
Дата: Tue, 21 Apr 2015 01:50:04 +0200
От: Судебные приставы <mail@fssprus.ru>
Отвечать: Судебные приставы <mail@fssprus.ru>
Кому: <usernnn@mail.ru>




Уведомление о начале судебного разбирательства
Здравствуйте, usernnn@mail.ru

Поскольку Ваша финансовая задолженность не была урегулирована в добровольном порядке, новый кредитор вынужден прибегнуть к принудительным мерам взыскания, предусмотренным законодательством Российской Федерации: направлению выездных групп по адресу регистрации, судебному разбирательству, инициированию исполнительного производства до полного погашения задолженности. Напоминаем Вам, что в случае Вашего неучастия в процессе, решение суда может быть вынесено заочно, что может повлечь за собой принудительное исполнение решения суда. Всю информацию о ходе предварительного судебного производства и сроках рассмотрения, включая копию искового заявления, Вы можете получить перейдя по ссылке находящейся в конце этого письма.


ЗАГРУЗИТЬ ИНФОРМАЦИЮ



Это сообщение создано автоматической системой и не требует ответа.

здесь используется реальный домен службы судебных приставов (fssprus.ru), но адреса mail, inform - несуществующие.

по ссылке "загрузить информацию" как правило скачивается архив с вредоносной программой, сейчас таким образом распространяется шифратор Cryakl.
santy

Хорошо бы список...
По расширениям - что на данный момент поддаётся расшифровке, что нет.
Кто расшифровывает.
т.е. перечень расширений и вердикт.
- Если здесь по политическим соображениям сделать нельзя то - дать в теме ссылку.
А информацию разместить на другом ресурсе.
RP55,
могу написать что точно не расшифровывается на сегодня. :)
ctblocker, VAULT, ранние варианты бат-энкодера keybtc/paycrypt, Cryakl (v8), xtbl, just, Encoder.741 (по каким то вариантам были расшифровки у ДрВеб, но последние варианты (maxcrypt@foxmail2.com) не расшифровывают и они).
от  - СНАБ-СЕРВИС - поставки сырья <ooo-snabservice@uimail.ru>  (Бухгалтер ООО СНАБ-СЕРВИС, Наталья Воронова)
тема - Рассчет за поставку

Тело:
День добрый!
Скидываю акты и накладные по прошлогодней поставке (во вложении).
В соответствии с нашей информацией за Вашим предприятием до сих пор числиться недоплата (примерно 15 тыс р.).
Прошу проверить нашу информацию и ответить по возможности оплаты.

С уважением,
Бухгалтер ООО СНАБ-СЕРВИС, Наталья Воронова

Во вложении zip с js.
Роман, перешлите письмо в архиве с паролем infected в почту safety@chklst.ru
+
рассылка от создателей сериала Cryakl 1, 2, 3, 4, 8, CL

Цитата
От кого: rvasyas@avto.beget.ru
Кому: asbn43@mail.ru
Дата: Вторник, 12 мая 2015, 5:09 +03:00
Тема: Срочно нужен счет на оплату

Добрый день!
Прошу Вас рассмотреть нашу заявку. Товар необходим срочно и из наличия, рассмотрим аналоги.
Потребность регулярная,сделайте пожалуйста максимально возможную скидку.
Заявка и реквизиты  ссылка

С уважением,
Гутов Е.С.
----------
по ссылке - вредоносный архив ffarm.zip, содержащий файлик *.scr
вчера подцепил новый шифровальшик .сработал через ютуб зашифровал  файлы jpeg word но не все .50х50 .новые файлы создаются и открываются  нормально.файл выглядит так -Фото008.jpg.id-2595808371_btcpay@aol      
сталкивался кто то с таким.требований нет ни каких
1 2 3 4 5 ... 23 След.
Читают тему (гостей: 2)