Шифровирусы шумной толпою

1 2 3 4 5 ... 22 След.
RSS

1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и
письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам
социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,
судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat никак не могут быть  офисным документом.

Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20
000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники
и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA,
уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы команды злоумышленников тот же. Письмо, помимо цепляющего текста, содержит вложенный документ, который обычно является загрузчиком шифратора
из  сети. Расчет на законопослушных граждан, которые теряют бдительность при появлении в почте сообщений от невидимых (и неведомых) чиновников.
И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске
загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной
на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию
методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям
социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути
%UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере,
но иногда это не удается сделать.
©, chklst.ru
Изменено: santy - 12.02.2015 11:00:53
повторяются уже рассылки:

Цитата
Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
<u>1. Список документов.zip</u>

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"


Цитата
От кого: НМЦ <apk-pro@yandex.ru>
Кому: <strop5@mail.ru>
Дата: Вторник, 31 марта 2015, 7:46 +03:00
Тема: Налоговая проверка
Добрый день,
В понедельник к нам пришла налоговая с внеплановой проверкой...
Вот уже второй день не могу найти отдельные первичные документы по нашей с вами работе.
Видимо, в ходе переезда в новый офис, они были утеряны.
Большая просьба проверить наличие актов и договоров по нашим поставкам (перечень в приложении).
Скиньте хотя бы их сканы, а то нам выпишут штрафы((
--
с ув.
ООО "Научно-методический центр профсоюза работников АПК"

В письме было вложение с именем " Список документов для ФНС.zip" размер файла 699 КБ
ctblocker вновь активен после некоторого перерыва.
способ распространения практически прежний. файл scr в архиве, прилетает скорее всего в почту. после запуска данный файлик подгружает из сети тело шифровальщика, и запускает его, передавая ему управление. после завершения шифровки документов любуемся новой заставкой на экране и берем кредит в банке на покупку ключа с расшифровкой документов. . 96 часов отводится на все это. вирлабы здесь не помогут. Разве что превентивно или сигнатурно заблокируют запуск шифратора.
Изменено: santy - 18.04.2015 15:21:11
вот еще один приемчик используют распространители шифраторов

Цитата
Тема: ПРОЦЕСС No 268
Дата: Tue, 21 Apr 2015 01:50:04 +0200
От: Судебные приставы <mail@fssprus.ru>
Отвечать: Судебные приставы <mail@fssprus.ru>
Кому: <usernnn@mail.ru>




Уведомление о начале судебного разбирательства
Здравствуйте, usernnn@mail.ru

Поскольку Ваша финансовая задолженность не была урегулирована в добровольном порядке, новый кредитор вынужден прибегнуть к принудительным мерам взыскания, предусмотренным законодательством Российской Федерации: направлению выездных групп по адресу регистрации, судебному разбирательству, инициированию исполнительного производства до полного погашения задолженности. Напоминаем Вам, что в случае Вашего неучастия в процессе, решение суда может быть вынесено заочно, что может повлечь за собой принудительное исполнение решения суда. Всю информацию о ходе предварительного судебного производства и сроках рассмотрения, включая копию искового заявления, Вы можете получить перейдя по ссылке находящейся в конце этого письма.


ЗАГРУЗИТЬ ИНФОРМАЦИЮ



Это сообщение создано автоматической системой и не требует ответа.

здесь используется реальный домен службы судебных приставов (fssprus.ru), но адреса mail, inform - несуществующие.

по ссылке "загрузить информацию" как правило скачивается архив с вредоносной программой, сейчас таким образом распространяется шифратор Cryakl.
santy

Хорошо бы список...
По расширениям - что на данный момент поддаётся расшифровке, что нет.
Кто расшифровывает.
т.е. перечень расширений и вердикт.
- Если здесь по политическим соображениям сделать нельзя то - дать в теме ссылку.
А информацию разместить на другом ресурсе.
RP55,
могу написать что точно не расшифровывается на сегодня. :)
ctblocker, VAULT, ранние варианты бат-энкодера keybtc/paycrypt, Cryakl (v8), xtbl, just, Encoder.741 (по каким то вариантам были расшифровки у ДрВеб, но последние варианты (maxcrypt@foxmail2.com) не расшифровывают и они).
от  - СНАБ-СЕРВИС - поставки сырья <ooo-snabservice@uimail.ru>  (Бухгалтер ООО СНАБ-СЕРВИС, Наталья Воронова)
тема - Рассчет за поставку

Тело:
День добрый!
Скидываю акты и накладные по прошлогодней поставке (во вложении).
В соответствии с нашей информацией за Вашим предприятием до сих пор числиться недоплата (примерно 15 тыс р.).
Прошу проверить нашу информацию и ответить по возможности оплаты.

С уважением,
Бухгалтер ООО СНАБ-СЕРВИС, Наталья Воронова

Во вложении zip с js.
Роман, перешлите письмо в архиве с паролем infected в почту safety@chklst.ru
+
рассылка от создателей сериала Cryakl 1, 2, 3, 4, 8, CL

Цитата
От кого: rvasyas@avto.beget.ru
Кому: asbn43@mail.ru
Дата: Вторник, 12 мая 2015, 5:09 +03:00
Тема: Срочно нужен счет на оплату

Добрый день!
Прошу Вас рассмотреть нашу заявку. Товар необходим срочно и из наличия, рассмотрим аналоги.
Потребность регулярная,сделайте пожалуйста максимально возможную скидку.
Заявка и реквизиты  ссылка

С уважением,
Гутов Е.С.
----------
по ссылке - вредоносный архив ffarm.zip, содержащий файлик *.scr
вчера подцепил новый шифровальшик .сработал через ютуб зашифровал  файлы jpeg word но не все .50х50 .новые файлы создаются и открываются  нормально.файл выглядит так -Фото008.jpg.id-2595808371_btcpay@aol      
сталкивался кто то с таким.требований нет ни каких
1 2 3 4 5 ... 22 След.
Читают тему (гостей: 2)