Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

+
новый вариант CrySiS; файлы зашифрованы с расширением .FUNNY,

например,

Port3NaPochtu.epf.id-8ADB6DDA.[WindyHill@cock.li].FUNNY

FILES ENCRYPTED.txt:

Цитата
   all your data has been locked us
   You want to return?
   write email WindyHill@cock.li

info.hta:

   
Цитата
All your files have been encrypted!
   All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail WindyHill@cock.li
   Write this ID in the title of your message 8ADB6DDA
   In case of no answer in 24 hours write us to theese e-mails:WindyHill@cock.li
   You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
   Free decryption as guarantee

   Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

   How to obtain Bitcoins

   The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
   https://localbitcoins.com/buy_bitcoins
   Also you can find other places to buy Bitcoins and beginners guide here:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins/

   Attention!

   Do not rename encrypted files.
   Do not try to decrypt your data using third party software, it may cause permanent data loss.
   Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
crysis.funny.jpg (148.48 КБ)
The ESET GandCrab decryption tool is designed to decrypt files of 979 Syrian victims irrespective of the malware version they were affected with (1.0 to 5.0). Users can download the decryptor here. For further instructions and information, please refer to our GandCrab decryptor knowledgebase article.

This is not the first time malware authors have released keys for a prevalent ransomware family (or its variants), allowing cybersecurity companies to create decryptors. Previously, ESET has released such tools for TeslaCrypt, several variants of Crysis, as well as for earlier variants of the AESNI ransomware.
---------------
Средство дешифрования ESET GandCrab предназначено для дешифрования файлов из 979 сирийских жертв независимо от версии вредоносного ПО, на которую они были затронуты (от 1.0 до 5.0). Здесь можно скачать дешифратор. Для получения дополнительных инструкций и информации обратитесь к нашей статье базы знаний дешифратора GandCrab.

Это не первый раз, когда авторы вредоносных программ выпустили ключи для распространенного семейства ransomware (или его вариантов), что позволяет компаниям кибербезопасности создавать дешифраторы. Ранее ESET выпустила такие инструменты для TeslaCrypt, несколько вариантов Crysis, а также для более ранних версий AESNI ransomware.

https://www.welivesecurity.com/2018/10/25/eset-releases-new-decryptor-syrian-victims-gandcrab-ransomware/
Зашифровались файлы на жд шифровальщиком John Travolta, может кто возьмётся расшифровать их за денежное вознаграждение? Зашифрованные файлы и их незашифрованные оригиналы можем предоставить.
Изменено: Andrey - 17.11.2018 10:31:25
добавьте несколько зашифрованных и незашифрованных файлов,
+ записку о выкупе, если есть
+
сделайте образ автозапуска системы, где произошло шифрование.
Цитата
santy написал:
Цитата RP55 RP55  написал:Список: Инструменты дешифрования и т.д.  https://www.comss.ru/page.php?id=4120  >>>>Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор.
имхо,
вводная статья в тему работы с дешифраторами, но содержит ряд методических неточностей и ошибок:

1. сервис Crypto Sheriff крайне неточен при детектировании вариантов шифраторов.
вот пример:

Цитата
Hello everyone.

I work with IT here in Brazil. One customer that call me only when needed had a very hard time this last week. I tried to identify the ransomware that got him, but the id.ransonware website and the nomoreransom.org said that he got 2 different types.

The id.ransomware said that the Dharma (.cezar family) was the infection (and there is no decryptor), but the nomoreransom.org said that the CryptXXX v1 was the infection and there is two decrytptors capable of decrypting it.

The company is about to close because of this. They were recovering from the economic recession that we had here in Brazil, but the extortionists are asking for U$5000,00 for the keys and the decrypt tool.

i tried to download the tools that nomoreransom indicated, but no effect. The Kaspersky tool was incapable of decrypt and the thendmicro tool, once I selected the "I Don´t know the ransomwarename" it says that it is Crisis. But it has no effect too.
https://www.bleepingcomputer.com/forums/t/688347/idransomware-and-nomoreransomorg-idetifies-different-ransonware/#entry4636396

неверное детектирование на Crypto Sheriff привело к неверному решению.

Цитата
The files are infected with the .adobe extension and the note says:

FILES ENCRYPTED.TXT

"all your data has been locked us
You want to return?
write email stopencrypt@qq.com"

если бы база определений в Crypto Sheriff регулярно обновлялась, думаю не составило бы труда определить что это Crysis, а не CryptXXX v1

2.
Цитата
Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.

в таком случае есть большой риск повредить зашифрованные документы и окончательно утратить возможность их восстановления.
если пытаться дешифровать всем подряд.
как минимум, необходимо тестировать дешифраторы на копиях зашифрованных документов.

На ID Ransomware более точный подход:


Цитата
Можно расшифровать мои данные?

Нет.
Данный сервис только для определения вымогателя, зашифровавшего файлы.
Мы хотим указать правильное направление, чтобы вы знали, есть ли способ расшифровки файлов.
Способа восстановления может и не быть, т.к. каждый случай индивидуален.

Какие вымогатели идентифицируются?

Цитата
Наш сервис идентифицирует 661 вымогателя(ей). Вот пополняемый список того, что уже определяется:
010001, 24H Ransomware, 4rw5w, 777, 7ev3n, 7h9r, 7zipper, 8lock8, AAC, ABCLocker, ACCDFISA v2.0, AdamLocker, AES_KEY_GEN_ASSIST, AES-Matrix, AES-NI, AES256-06, Al-Namrood, Al-Namrood 2.0, Alcatraz, Alfa, Allcry, Alma Locker, Alpha, AMBA, Amnesia, Amnesia2, AnDROid, AngryDuck, Anubi, Anubis, Apocalypse, Apocalypse (New Variant), ApocalypseVM, ApolloLocker, AresCrypt, Argus, Armage, ArmaLocky, ASN1 Encoder, Atchbo, Aurora, AutoLocky, AutoWannaCryV2, AVCrypt, AxCrypter, aZaZeL, B2DR, BadBlock, BadEncript, BadRabbit, Bam!, BananaCrypt, BandarChor, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitKangoroo, Bitpaymer, Bitshifter, BitStak, BKRansomware, Black Feather, Black Shades, BlackHeart, Blackout, BlackRuby, Blind, Blind 2, Blocatto, BlockFile12, Blooper, Blue Blackmail, Booyah, BrainCrypt, Brazilian Ransomware, BrickR, BTCamant, BTCWare, BTCWare Aleta, BTCWare Gryphon, BTCWare Master, BTCWare PayDay, Bubble, Bucbi, Bud, BugWare, BuyUnlockCode, Cancer, Cassetto, Cerber, Cerber 2.0, Cerber 3.0, Cerber 4.0 / 5.0, CerberTear, Chimera, ChinaYunLong, CHIP, ClicoCrypter, Clouded, CmdRansomware, CockBlocker, Coin Locker, CoinVault, Comrade Circle, Conficker, CorruptCrypt, Coverton, CradleCore, CreamPie, Creeper, Cripton, Cry128, Cry36, Cry9, Cryakl, CryFile, CryLocker, CrypMic, CrypMic, Crypren, Crypt0, Crypt0L0cker, Crypt12, Crypt38, CryptConsole, CryptConsole3, CryptFuck, CryptGh0st, CryptInfinite, CryptoDefense, CryptoDevil, CryptoFinancial, CryptoFortress, CryptoGod, CryptoHasYou, CryptoHitman, CryptoJacky, CryptoJoker, CryptoLocker3, CryptoLockerEU, CryptoLuck, CryptoMix, CryptoMix Revenge, CryptoMix Wallet, CryptON, Crypton, CryptorBit, CryptoRoger, CryptoShield, CryptoShocker, CryptoTorLocker, CryptoViki, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptoWire, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CryPy, CrySiS, Crystal, CTB-Faker, CTB-Locker, Dablio, Damage, DarkoderCryptor, DataKeeper, Dcrtr, DCry, DCry 2.0, Deadly, DeathNote, DEDCryptor, Defender, Defray, DeriaLock, Dharma (.cezar Family), Dharma (.dharma Family), Dharma (.onion Family), Dharma (.wallet Family), Digisom, DilmaLocker, DirtyDecrypt, District, Djvu, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, DMALocker Imposter, Domino, Done, DoNotChange, Donut, DoubleLocker, DriedSister, DryCry, Dviide, DXXD, DynA-Crypt, eBayWall, ECLR Ransomware, EdgeLocker, EduCrypt, EggLocker, El Polocker, EnCrypt, EncrypTile, EncryptoJJS, Encryptor RaaS, Enigma, Enjey Crypter, EnkripsiPC, EOEO, Erebus, Eternal, Everbe, Everbe 2.0, Evil, Executioner, ExecutionerPlus, Exocrypt XTC, Exotic, Extortion Scam, Extractor, Fabiansomware, Fadesoft, Fantom, FartPlz, FCPRansomware, FenixLocker, Fenrir, FilesLocker, FindZip, FireCrypt, Flatcher3, FLKR, Flyper, FrozrLock, FRSRansomware, FS0ciety, FuckSociety, FunFact, GandCrab, GandCrab v4.0 / v5.0, GandCrab2, GarrantyDecrypt, GC47, Gerber, GhostCrypt, GhostHammer, Gibon, Globe, Globe (Broken), Globe3, GlobeImposter, GlobeImposter 2.0, Godra, GOG, GoldenEye, Gomasom, GPAA, GPCode, GPGQwerty, GusCrypter, GX40, Hacked, HadesLocker, Halloware, HappyDayzz, hc6, hc7, HDDCryptor, Heimdall, HellsRansomware, Help50, HelpDCFile, Herbst, Hermes, Hermes 2.0, Hermes 2.1, Heropoint, Hi Buddy!, HiddenTear, HollyCrypt, HolyCrypt, HPE iLO Ransomware, Hucky, HydraCrypt, IEncrypt, IFN643, ImSorry, Incanto, InducVirus, InfiniteTear, InfinityLock, InsaneCrypt, iRansom, Iron, Ishtar, Israbye, JabaCrypter, Jack.Pot, Jaff, Jager, JapanLocker, JeepersCrypt, Jigsaw, JobCrypter, JosepCrypt, JuicyLemon, JungleSec, Kaenlupuf, Kali, Karma, Karmen, Karo, Kasiski, Katyusha, KawaiiLocker, KCW, Kee Ransomware, KeRanger, Kerkoporta, KeyBTC, KEYHolder, KillerLocker, KillRabbit, KimcilWare, Kirk, Kolobo, Kostya, Kozy.Jozy, Kraken, Kraken Cryptor, KratosCrypt, Krider, Kriptovor, KryptoLocker, L33TAF Locker, Ladon, Lalabitch, LambdaLocker, LeChiffre, LightningCrypt, Lime, LittleFinger, LLTP, LMAOxUS, Lock2017, Lock93, LockBox, LockCrypt, LockCrypt 2.0, Locked_File, Locked-In, LockedByte, LockeR, LockLock, LockMe, Lockout, Locky, LongTermMemoryLoss, Lortok, LoveServer, LowLevel04, Lucky, MadBit, MAFIA, MafiaWare, Magic, Magniber, Maktub Locker, MalwareTech's CTF, Marlboro, MarsJoke, Matrix, MauriGo, MaxiCrypt, Maykolin, Maysomware, MCrypt2018, Meteoritan, Mikoyan, Minotaur, MirCop, MireWare, Mischa, MMM, MNS CryptoLocker, Mobef, MoonCrypter, MOTD, MoWare, MRCR1, MrDec, Mystic, n1n1n1, NanoLocker, NCrypt, NegozI, Nemucod, Nemucod-7z, Nemucod-AES, NETCrypton, Netix, NewHT, Nhtnwcuf, NM4, NMoreira, NMoreira 2.0, Noblis, NotAHero, Nozelesn, NSB Ransomware, Nuke, NullByte, NxRansomware, ODCODC, OhNo!, OoPS, OopsLocker, OpenToYou, Ordinypt, OzozaLocker, PadCrypt, Paradise, Paradise B29, PayDay, PaySafeGen, PClock, PClock (Updated), PEC 2017, Pendor, Petna, PGPSnippet, Philadelphia, Phobos, Pickles, PoisonFang, PopCornTime, Potato, PowerLocky, PowerShell Locker, PowerWare, Pr0tector, Predator, PrincessLocker, PrincessLocker 2.0, PrincessLocker Evolution, Project34, Protected Ransomware, PshCrypt, PUBG Ransomware, PyCL, PyCL, PyL33T, PyLocky, qkG, QuakeWay, QwertyCrypt, Qweuirtksd, R980, RAA-SEP, RackCrypt, Radamant, Radamant v2.1, Radiation, Random6, RandomLocker, Ranion, RanRan, RanRans, Rans0mLocked, RansomCuck, Ransomnix, RansomPlus, RansomWarrior, Rapid, Rapid 2.0 / 3.0, RaRansomware, RarVault, Razy, RedBoot, RedEye, REKTLocker, Rektware, RemindMe, RenLocker, RensenWare, Reyptson, Roga, Rokku, RoshaLock, RotorCrypt, Roza, RSA-NI, RSA2048Pro, RSAUtil, Ruby, Russenger, Russian EDA2, Ryuk, SAD, SADStory, Sage 2.0, Salsa, SamSam, Sanction, Sanctions, Satan, Satana, Saturn, Scarab, Sepsis, SerbRansom, Serpent, ShellLocker, Shifr, Shigo, ShinigamiLocker, ShinoLocker, ShivaGood, Shrug, Shujin, Shutdown57, Sifreli, Sigma, Sigrun, SilentSpring, Simple_Encoder, SintaLocker, Skull Ransomware, SkyFile, Smrss32, SnakeLocker, SNSLocker, SoFucked, Solo Ransomware, Spartacus, Spectre, Spider, Spora, Sport, SQ_, Stampado, Stinger, STOP, StorageCrypter, Storm, Striked, Stroman, Stupid Ransomware, Styx, SuperB, SuperCrypt, Surprise, SynAck, SyncCrypt, SYSDOWN, SZFLocker, Team XRat, Telecrypt, Termite, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TeslaWare, Thanatos, TheDarkEncryptor, THT Ransomware, tk, Torchwood, TotalWipeOut, TowerWeb, ToxCrypt, Trojan.Encoder.6491, Troldesh / Shade, Tron, TrueCrypter, TrumpLocker, UCCU, UIWIX, Ukash, UmbreCrypt, UnblockUPC, Ungluk, Unknown Crypted, Unknown Lock, Unknown XTBL, Unlock26, Unlock92, Unlock92 2.0, Unlock92 Zipper, Useless Disk, UselessFiles, UserFilesLocker, USR0, Uyari, V8Locker, Vapor v1, VaultCrypt, vCrypt, Velso, Vendetta, VenisRansomware, VenusLocker, ViACrypt, VindowsLocker, VisionCrypt, VMola, Vortex, Vurten, VxLock, Waffle, WannaCash, WannaCry, WannaCry.NET, WannaCryOnClick, WannaDie, WannaPeace, WannaSmile, WannaSpam, WhatAFuck, WhiteRose, WildFire Locker, WininiCrypt, Winnix Cryptor, WinRarer, WonderCrypter, Wooly, X Locker 5.0, XCrypt, XData, XiaoBa, XiaoBa 2.0, Xorist, Xort, XRTN, XTP Locker 5.0, XYZWare, YouAreFucked, YourRansom, Yyto, ZariqaCrypt, zCrypt, Zekwacrypt, Zenis, ZeroCrypt, ZeroRansom, Zilla, ZimbraCryptor, ZinoCrypt, ZipLocker, Zipper, Zoldon, Zyklon
Что такое Dharma Ransomware и как защитить свой бизнес от этого

Dharma / CrySIS - широко распространенный тип крипто-вымогателей. Этот вымогатель является потомком семейства Cesar, и основные варианты, циркулирующие сегодня, появились в дикой природе в 2016 году.

Некоторые из ранних вариантов были взломаны Kaspersky и ESET, и был опубликован бесплатный расшифровщик. К сожалению, новые варианты Dharma Ransomware в настоящее время не расшифровываются, так как код вредоносных программ продолжает развиваться и получил широкое распространение.

Каковы общие векторы атаки для Dharma Ransomware

Главный вектор атаки для вымогателей Dharma - через порты по протоколу удаленного рабочего стола или RDP. RDP порт, который обычно используется сотрудниками или поставщиками услуг для удаленного доступа к сети. Доступ по протоколу RDP обходит защиту конечных точек, значительно облегчая перемещение между конечными точками, разделенными сетями и системами резервного копирования.

Злоумышленники могут взломать RDP несколькими различными способами:

   С помощью сканирования портов с помощью таких веб-сайтов, как Shodan, а затем с помощью перебора RDP-сеансов, пока учетные данные не будут скомпрометированы.

   Покупка и использование взломанных учетных данных для продажи на таких сайтах, как XDedic.

   Фишинг сотрудника компании для получения доступа и контроля над их машиной. Затем используйте этот доступ для прямого доступа RDP изнутри сети.

На темных интернет-площадках продается десятки тысяч корпоративных учетных данных RDP всего за 3 доллара.

В то время как множество крупных организаций продолжают оставлять этот вектор незащищенным, небольшие компании полагают, что они слишком малы, чтобы быть целью, и не понимают, насколько легко они могут быть подвержены атакам. Многим также не хватает ресурсов, людей или знаний о том, как правильно обеспечить доступ.

Как Вы можете защитить свой бизнес от Dharma Ransomware?

брутфорсинг к удаленным рабочим столам остается главным вектором атаки для Dharma Ransomware. Чтобы обезопасить себя от атак, вы должны обеспечить безопасность этих служб.

Популярные способы защиты RDP включают в себя:

   Двухфакторная проверка подлинности (2FA). Подавляющее большинство корпоративных атак вымогателей может быть предотвращено путем включения двухфакторной проверки подлинности для удаленных сеансов и всех удаленно доступных учетных записей.

   Ограничение доступа: ограничьте доступ, разместив RDP за брандмауэром, используя VPN для доступа к нему, изменив порт по умолчанию и / или разрешив доступ по выбранному белому списку диапазонов IP-адресов, что может помочь снизить риск компрометации. Кроме того, рассмотрите положения о блокировке, чтобы пресечь попытки брутфорса.

   ЗАщита конечных точек и альтернативные решения. Современные решения защиты для конечных точек могут обнаруживать аномалии в использовании сети (например, на рабочей станции в офисе, пытающейся выполнить сеанс RDP) и останавливать их до нанесения ущерба.

Помимо защиты вашего бизнеса от атак, важно иметь адекватные резервные копии и тщательные планы аварийного восстановления (DR) и реагирования на инциденты (IR).

Если конфигурации RDP будут скомпрометированы, очень важно, чтобы ваши планы DR и IR были систематизированы и обновлены. Системы резервного копирования должны иметь последние версии всех данных, доступных локально, в облаке и в системах, расположенных отдельно от корпоративной сети.

Доступ к этим резервным копиям должен быть правильно разделен и доступен только избранной группе администраторов безопасности, а доступ к администрированию их защищен 2FA. Фирмы IR должны быть подготовлены, чтобы минимизировать затраты и время для восстановления в случае нарушения.


https://www.coveware.com/blog/remove-dharma-ransomware
Цитата
santy написал:
вводная статья в тему работы с дешифраторами, но содержит ряд методических неточностей и ошибок:

примерный алгоритм работы с системой, если она подверглась атаке шифратора:

Инфекции вымогателей могут быть уникальными во многих отношениях. Самое главное, что привычки, которые обычно правильны при работе с вредоносными программами, могут ухудшить ситуацию при работе с вымогателями. Пожалуйста, ознакомьтесь с приведенными ниже инструкциями в качестве руководства по борьбе с заражением вымогателями.

Не удаляйте инфекции вымогателей
Естественная реакция большинства пользователей заключается в том, чтобы сначала удалить инфекцию как можно быстрее. Этот инстинкт, к сожалению, неверен. В большинстве случаев нам потребуется исполняемый файл вымогателя, чтобы выяснить, что именно вымогатель сделал с вашими файлами. Поиск правильного образца вымогателей становится бесконечно более сложным, когда вы удалили инфекцию и не можете предоставить нам вымогателей. Можно отключить заражение, отключив все записи автозапуска, указывающие на него, или поместив заражение в карантин. Однако важно не удалять его из карантина или удалять вредоносные файлы сразу без резервного копирования.

Немедленно отключите любое программное обеспечение для оптимизации и очистки системы
Многие вымогатели будут хранить либо сами, либо необходимые файлы в папке временных файлов. Если вы используете инструменты очистки или оптимизации системы, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk / Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic или что-либо подобное, немедленно отключите эти инструменты и убедитесь, что автоматические запуски не запланированы. В противном случае эти приложения могут удалить зараженные или необходимые файлы-вымогатели из вашей системы, которые могут потребоваться для восстановления ваших данных.

Создайте резервную копию ваших зашифрованных файлов
Некоторые вымогатели имеют скрытые полезные нагрузки, которые будут удалять и перезаписывать зашифрованные файлы через определенное время. Расшифровщики также могут быть не на сто процентов точными, поскольку вымогатель часто обновляется или просто глючит и может повредить файлы в процессе восстановления. В этих случаях лучше использовать зашифрованную резервную копию, чем не иметь ее вообще. Поэтому мы настоятельно рекомендуем вам сначала создать резервную копию ваших зашифрованных файлов, прежде чем делать что-либо еще.

Если пострадал сервер: выясните точку входа и закройте ее
Особенно в последнее время мы видели много заражений серверов. Обычный способ - это перебор паролей пользователей через RDP / Remote Desktop. Мы настоятельно рекомендуем вам проверить журналы событий на наличие большого количества попыток входа в систему. Если вы обнаружите такие записи или если ваш журнал событий будет пустым, ваш сервер был взломан через RDP. Крайне важно немедленно изменить все пароли учетных записей пользователей. Мы также предлагаем отключить RDP, если это возможно, или хотя бы изменить порт.

   Кроме того, важно проверить все учетные записи пользователей на сервере, чтобы убедиться, что злоумышленники не создали собственных учетных записей, которые позволили бы им позднее получить доступ к системе.


Выясните, какой из вымогателей заразил вас
И последнее, но не менее важное: важно определить, какой вымогатель заразил вас. Такие сервисы, как VirusTotal, который позволяет вам сканировать вредоносные файлы, и ID Ransomware, который позволяет загружать записку с выкупом и зашифрованные файлы для идентификации семейства вымогателей, невероятно полезны, и мы, вероятно, в конечном итоге попросим вас предоставить результаты любого из этих Сервисов. Таким образом, предоставляя их сразу, вы можете ускорить процесс возврата ваших файлов.

https://support.emsisoft.com/topic/29386-first-steps-when-dealing-with-ransomware/
по Crysis появились новые варианты в январе:

New variant of #CrySiS / #Dharma - ".gif" extension - email "payadobe@yahoo.com" - https://www.virustotal.com/#/file/9ecc9ae378a335453d58fe44c95a8f5b40595b8a2e11eedfe86521­e6f61fdbc1/detection

#CrySiS / #Dharma #ransomware - ".AUF" extension - "Decisivekey@tutanota.com" - https://www.virustotal.com/#/file/5280edad1dcecca9b0542556a775961bc620c31a06f2fe6383792a­6f300ed81e/detection

#CrySiS/#Dharma #ransomware again and again: extensions ".USA" and ".xwx", extortion email addresses "usacode@aol.com" and "data@decoding.biz". https://www.virustotal.com/#/file/35ade951e0713f31cbdc4844ea0e7c8ffff795efd6ab7e8d22fad5­d3cf87ac0c/detectionhttps://www.virustotal.com/#/file/60f5a7aa2216c5688d56a59a0fe4e87320dd22f4606e2ad06dae04­69c952b965/detection
+
".best" - 'bestdecoding@cock.li' - https://www.virustotal.com/#/file/73bf556b35606c9b9ea033d4e93f057e890698126b0cc8cb7b8560­4c3688434f/detection
+
New Dharma / CrySiS Ransomware variant appends ".heets" to encrypted file extensions.
.heets  extension; mail polmacpol@cock.li
https://www.virustotal.com/#/file/eb67ad08ce4989d0106cc59f5954367a22c182e6e73ad88b649bd8­ba3f3ac4f3/
https://id-ransomware.malwarehunterteam.com/identify.php?case=892b45aedd9929f8d5620491c7956e13c8de981b

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets

.USA вариант уже есть на российских форумах.

Цитата
Помогите в расшифровки файлов
Поймали сегодня ночью - все расшариные папки зашифровал
Расширение у файлов - id-1814CB43.[usacode@aol.com].USA
https://forum.kasperskyclub.ru/index.php?showtopic=61706
Таки наглядный сервис анализа сэмплов реализован на https://app.any.run (ANY.RUN)



пример анализа сэмпла Crysis.adobe здесь:
https://app.any.run/tasks/ed3b5c7e-dcd1-498f-8003-ae1921ae7d47
Новая атака шифратора Shade нацелена на российских бизнес-пользователей

Цитата
В январе 2019 года мы зафиксировали резкий рост числа обнаружений вредоносных почтовых вложений JavaScript (в 2018 году данный вектор атаки использовался минимально). В «новогоднем выпуске» можно выделить рассылку на русском языке, предназначенную для распространения шифратора Shade (он же Troldesh), который детектируется продуктами ESET как Win32/Filecoder.Shade.

https://habr.com/ru/company/eset/blog/437982/
Читают тему (гостей: 3)