Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

Пред. 1 ... 19 20 21 22 23 ... 25 След.
Замечено 2 угрозы
https://www.virustotal.com/ru/file/e742597c2c5c1f7f246f18fb10c1b29900456c1eddc3c3ed­e6f3325b409d7537/analysis/1498585719/
и
Петя
https://www.virustotal.com/ru/file/64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a­31d418c7c69e94b1/analysis/
а по факту?
кто и что и как шифрует?
...
Ребят, NOD32 Антивирус защитит от "Пети"? Машины домашние на 10-ках без медков и прочих бухгалтерий.
Цитата
А как иначе (не все же им ГУИ обсуждать, пусть детектят), все уже пройдено... вот тут обсуждают в твиттере
Цитата
Мартынов Николай написал:
а по факту?
кто и что и как шифрует?
...
История Petja
https://chklst.ru/discussion/1551/petya-misha-ransomware
первый вариант (RED) был расшифрован, далее (GREEN, GOLD) вирусописатели провели работу над ошибками, и с расшифровкой теперь туго.

Цитата
Есть ли какие-либо надежды на дешифрование файлов для уже инфицированных жертв? К сожалению, выкупная программа использует стандартную, надежную схему шифрования, поэтому это кажется маловероятным, если не будет выполнена тонкая ошибка реализации. К механизму шифрования применяются следующие особенности:

    Для всех файлов генерируется один ключ AES-128.
    Этот ключ AES зашифрован публичным ключом RSA-2048 субъекта угроз.
    Зашифрованные ключи AES сохраняются в файле README.
    Ключи надежно сгенерированы.

https://securelist.com/schroedingers-petya/78870/
Цитата
Мартынов Николай написал:
Цитата
А как иначе (не все же им ГУИ обсуждать, пусть детектят), все уже пройдено... вот тут  обсуждают в твиттере
да, hasherezade активно занималась анализом этого шифратора, написала свой софт для расшифровки RED, однако продвинулась ли с расшифровкой поздних вариантов - непонятно пока.
How to Enable the NotPetya/Petna/Petya Vaccine

To vaccinate your computer so that you are unable to get infected with the current strain of NotPetya/Petya/Petna (yeah, this naming is annoying), simply create a file called perfc in the C:\Windows folder and make it read only.  For those who want a quick and easy way to perform this task, Lawrence Abrams has created a batch file that performs this step for you.

This batch file can be found at: https://download.bleepingcomputer.com/bats/nopetyavac.bat

For those who wish to vaccinate their computer manually, you can so using the following steps. Please note that these steps are being created to make it as easy as possible for those with little computer experience. For those who have greater experience, you can do it in quite a few, and probably better, ways.
-----------
Как включить вакцину NotPetya / Petna / Petya

Чтобы вакцинировать ваш компьютер, чтобы вы не могли заразиться текущим штаммом NotPetya / Petya / Petna (да, это именование раздражает), просто создайте файл с именем perfc в папке C: \ Windows и сделайте его только для чтения. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс создал пакетный файл, который выполняет этот шаг для вас.

Этот командный файл можно найти по адресу: https://download.bleepingcomputer.com/bats/nopetyavac.bat

Код
@echo off
REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.
      
net session >nul 2>&1

if %errorLevel% == 0 (
   if exist C:\Windows\perfc (
      echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
      echo.
   ) else (
      echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

      attrib +R C:\Windows\perfc
                attrib +R C:\Windows\perfc.dll
                attrib +R C:\Windows\perfc.dat

      echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
      echo.
   )
) else (
   echo Failure: You must run this batch file as Administrator.
)
  
pause

Для тех, кто хочет вакцинировать свой компьютер вручную, вы можете использовать следующие шаги. Обратите внимание, что эти шаги создаются, чтобы сделать его максимально простым для тех, у кого мало опыта работы с компьютером. Для тех, у кого больше опыта, вы можете сделать это довольно много и, вероятно, лучше.

https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
Автор оригинального Petya ransomware - человек / группа по имени Janus Cybercrime Solutions - выпустил главный ключ дешифрования всех прошлых версий Petya.

Этот ключ может расшифровать все семейства ransomware семейства Petya, кроме NotPetya, что не является работой Януса.
Этот список включает:
⩥ Первая версия Петя (мигающий белый череп на красном фоне во время загрузочных экранов)
⩥ Вторая версия «Петя», которая также включала выкуп Mischa (мелькнувший зеленый череп на черном фоне во время загрузочных экранов)
⩥ Третья версия Petya, также известная как GoldenEye ransomware (мелькнула желтый череп на черном фоне во время загрузочных экранов)

Подлинность ключа расшифровки Petya подтверждена

Однако, приватный ключ будет бесполезен для жертв NotPetya

Этот ключ не поможет жертвам NotPetya, потому что вымогательство NotPetya было создано путем «пиратства» оригинального Petya Ransomware и изменения его поведения процессом, называемым patching. NotPetya использовал другую процедуру шифрования и, как оказалось, не имел никакого отношения к оригинальному Petya.

https://www.bleepingcomputer.com/news/security/author-of-original-petya-ransomware-publishes-master-decryption-key/
Locky Ransomware возвращается с вариантом *.Diablo6

Благодаря активной кампании с майл-спамом, Locky вернулся и в настоящее время широко распространен во всем мире. Ранее Locky считался наиболее распространенным шифратором, но со временем стали намного чаще встречаться другие вымогатели, такие как Cerber, Spora, и теперь даже GlobeImposter. Пока еще слишком рано говорить, что это: еще один краткий всплеск или попытка снова стать крупным игроком, но мы знаем, что эта кампания сильна сейчас в связи с широким распространением.

Эти письма имеют прикрепленный файл ZIP, который использует то же имя, что и строка темы, в которой содержится сценарий загрузчика VBS. Этот скрипт будет содержать один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Locky rsomware в папку% Temp%, а затем выполнить его.



https://www.bleepingcomputer.com/news/security/locky-ransomware-returns-with-spam-campaign-pushing-diablo6-variant/
распространители шифратора Spora применяют метод (с внедрением вредоносного исполняемого объекта (в данном случае кодированный скрипт wsf, который загружает из сети исполняемый шифратор) в офисный документ),
который ранее был использован распространителями VAULT.





https://www.virustotal.com/#/file/cbdacafba9218a687bd0c8d3d92353b3bdea82cf1fe205c9637ac8­4dc03405d2/detection
https://www.hybrid-analysis.com/sample/bcae3247e67635efa58527124fef1609eb43ac28759cf00ca­617fb911af8955a?environmentId=100

примечательно, что только ESET определил файл шифратора как Spora.
Пред. 1 ... 19 20 21 22 23 ... 25 След.
Читают тему (гостей: 5)