Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

последние варианты ВАУЛТа в таком контексте распространяются

Цитата
Здравствуйте!
Год тому мы осуществляли для вас несколько поставок по договору № 12-02/3 (акты и накладные в приложении).
Согласно документов мы со своей стороны передали товар, однако, средства в полном обьеме вашим предприятием перечислены не были.
Сроки исковой давности уже заканчиваются. Юристы предлагают готовить заявление в суд.
Просьба изучить высланные документы.
Мы еще можем рассчитывать на получение денег?

с ув.
Менеджер по поставкам ООО "ПРОМСНАБ", Евгения Скворцова
и
Цитата
День добрый,
Высылаю Вам некоторые акты, ТТН и счета-фактуры за 2013-2014 год (в приложении к письму).
Бухгалтер обнаружила, что за Вашим юр.лицом числится небольшой долг по паре старых поставок.
Настоятельно прошу Вас свериться с нами.
Я бы не поднимал данный вопрос. Однако, сейчас кризис, считаем каждый рубль((.
Ожидаю скорейшего ответа о корректности наших данных.

С уважением,
Начальник отдела поставок ООО СНАБСЫРЬЕ, Куриков Максим Владимирович

в первом варианте архив шифратора добавлен как вложение в почтовое сообщение,
во  втором варианте - сообщение содержит ссылку на архив шифратора
пошли рассылки шифратора Cryakl-CL от системы арбитражных приставов.
ссылка на вредоносных архив идет из доменной зоны *.com
kryakl-cl.jpg (77.53 КБ)
новый вариант шифратора Krjakl:

Цитата
Добрый день, скидываю по оговоренному телефонному звонку - карту предприятия, для выставления счета !
С уважением, ООО Кар-Нэт, менеджер Анастасия Воробьева.

Карта для выставления счета

в результате:

Цитата
email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.id-***-***.2015***.randomname-***.cbf

новая рассылка с ВАУЛТом

схема рассылки изменилась. опять в почте добавлен небольшой архив *.zip в котором содержится js (в теле исходного js содержится в base64 кодировке еще один js, скорее всего updater, которому передается управление). после запуска update.js (может быть и другое имя) выкачивает из сети все необходимые для шифрования модули и файлы, и запускает через *.bat инициализацию процесса шифрования.

Код
Мы составили акт сверки взаиморасчетов по итогам прошлого месяца (во вложении).
Мы установили, что по нашему последнему счету (от 12.07) Вы не полностью перевели средства.
Если будут расхождения - пишите. Если все верно - просто перешлите нам скан завизированного Вашей стороной экземпляра.

Буду благодарна, если вышлите в ближайшие сроки.
Благодарю.

__
С ув. к вам,
Катя Васильева,
зам главбуха Компании Торг-Строй
Изменено: santy - 12.08.2015 14:23:34
еще одна рассылка

Цитата
Акт сверки(в приложении к пиcьмy).
Убедительная просьба до завтрашнего обеда выслать отсканированную копию подписанного с Вашей стороны экземпляра или же ваши замечания.
Хотели бы подчеркнуть, что за Вашей фирмой висит непогашенный платеж за июнь.

-
С ув. к вам,
Воронова Елена
зам. главного бухгалтера Компании "Торговая площадь"
+
Цитата
Акт сверки взаиморасчетов(в приложении).
Убедительная просьба до конца завтрашнего дня скинуть скан-копию завизированного документа или ваши комментарии.
Хотели бы подчеркнуть, что за вами висит непогашенный платеж за прошлый месяц.

---
С ув. к вам,
Елена Александровна Воронова
зам. главного бухгалтера Компании ТОРГОВАЯ ПЛОЩАДЬ
Изменено: santy - 13.08.2015 05:35:21
вулкан по имени VAULT опять проснулся,
из особенностей нового варианта: массовое добавление мусорных инструкций в тело энкодера:
Цитата
echo 27359ab1f8323107f47cc4ffdbf919fa6818ea19b8fdf16991c897a7ec88­624f
echo c4113c94192ee95f565bb4f1d3b7cd2959d3ce34148c30ca34d7c7a66638­ae5c0
echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
echo speFrez4chE3asw4RebrU32haGedaDAD >nul
echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
+
Цитата
Здравствуйте,
Просьба рассмотреть и подписать акты приема-передачи товара по Контракту от 28 июля 15 года, а также произвести оплату счетов (скан-копии документов в аттаче).
Обращаем Ваше внимание, что согласно условиям контракта, расчет производится не позднее 2 рабочих дней с момента выставления документов.
Надеемся на дальнейшее сотрудничество..

-
С Уважением,
И.С. Сокур
гл. бухгалтер Общества с ограниченной ответсвенностью Софт Ком

+
Цитата
Здравствуйте,
Просьба рассмотреть и передать на подписание акты приема-передачи по контракту от 28.08 15 года, а также оплатить соответствующие счета (скан-копии документов прилагаются).
Кстати, по нашим данным за вашим юр.лицом отображается небольшая недоплата за июль. Проверьте еще и прошлый платеж.
Жду обратной связи в ближайшее время. Заранее спасибо!.

--
С Уважением,
Сокур И.С.
гл. бухгалтер Общества с ограниченной ответсвенностью "Софт Ком"
Изменено: santy - 14.08.2015 06:39:57
Santy, недавно получил письмо с эксплойтом завернутым в ртф, верняк, что шифратор, cve особо антивирусами не палится. Вопрос - как проверить?
Изменено: NickM - 15.08.2015 21:43:24
NickM, проверить думаю, лучше на виртуальной машине.
+ new VAULT
блокируем в блоклистах:
Цитата
*meetfeli.net*

Цитата
Приветствуем Вас.
Пересылаю акты передачи услуг и счета-фактуры по заключенному между нами Контракту - во вложении.
Если замечаний по качеству у Вас нет, то мы ожидаем перечисления оплаты.
Хотели бы напомнить, что согласно условиям договора, перечисление средств осуществляется в течении 3 рабочих дней с дня выставления документов.
Жду ответа в кратчайшие сроки. Заранее благодарю!

__
С Уважением к Вам,
отдел бухгалтерии ЧП СтройИнвест
+
Цитата
От кого: Уфаэнергоучет ООО <2517527@mail.ru>
Кому: *****
Дата: Понедельник, 17 августа 2015, 3:03 +03:00
Тема: Документация по контракту №5-6

Уважаемые партнеры!
Отправляю акты приема-передачи и счета по нашему Контракту - прилагаются.
Если замечаний по содержанию документов у Вас нет, то мы ожидаем перечисления средств.
Хотели бы напомнить, что согласно условиям контракта, расчет производится в течении трех банковских дней с момента выставления счетов.
Жду ответа в ближайшее время. Заранее благодарю!

---
с ув. к Вам,
гл. бухгалтер общества с ограниченной ответсвенностью СтройИнвест
Изменено: santy - 17.08.2015 16:09:41
новый крякл.

Цитата
Добрый день!
в продолжение телефонного разговора высылаем Вам карточку предприятия, для выставления счета. Вся нужная Вам информация в архиве!
приложение: карточка предприятия, для выставления счета
С уважением к Вам, ОАО "Аспект", менеджер Орлова Ксения
тел. 35-88-22, 35-88-15
блокируем
*anglersparadise.info*
Читают тему (гостей: 2)