Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

ничего нового: Ксения стала Анастасией.

Цитата
Организация: ООО "Аспект"
Кому: ********

добрый день, в продолжение телефонного разговора высылаем Вам карточку предприятия, для выставления счета. Вся нужная Вам информация в архиве!
С уважением к Вам, ООО "Аспект", менеджер Орлова Анастасия
тел. 35-88-22, 35-88-15

блокируем адрес:
*celiklerkuruyemis.com*
новый ход мошенников:
в качестве вложения офисный документ, предлагают по сути понизить уровень безопасности в Офисе, с тем чтобы автоматически были запущены макросы, добавленные в документ.

Акт сверки - 27.08.2015 - Подтвердите правильность данных

содержимое документа.

по xtbl в офисный документ внедрен объект типа пакет. в качестве пакета используется дроппер xtbl (исполняемый файл)
(думаю, надо быть совсем без башни, чтобы открывать такие документы и запускать презентации.)

Изменено: santy - 08.09.2015 07:39:15
новая рассылка с 17дек

Цитата
Здравствуйте,

Вы пробовали оплатить наши услуги, но Ваша оплата, к сожалению, не прошла.
Детали в файле.
(в файл zip вложен исполняемый js)
вот такой текст совсем недавно был:

Доброе утро, ОЛЬГА ИВАНОВНА
У вас сменился тел.? Тел 79048607530  занят.
Как и планировали, предоплата состоится 17 декабря,  исходя из этого просьба подписать договора во вложении, до 18.12.

во вложении rar, а в нем scr
Изменено: Роман - 18.12.2015 09:32:22
santy
К сожалению, форумы люди начинают читать, когда уже поймали шифровальщика.
А до этого не думая открывают все подряд...

Блокировать адреса (типа *celiklerkuruyemis.com*) бессмысленно.
Они для одноразового применения.
Последнее время часто рассылают письма с mail.ru-шных одноразовых адресов через их же сервера, поскольку они обычно в белых списках почтовых серверов.
Нельзя же из-за этого блокировать mail.ru-шные сервера.
Некоторые письма режем по SPF и DNSBL. Но бывает проскакивают, как одно сегодня утром, с домена @kmtn.ru, видимо взломали.
И странно то, что антивирус 6 удалил вложение (вирус Suspicious Object), а 5й не сработал.
Роман,
я тоже заметил (на 9домашней версии, по интерфейсу близкой к 6ке корпоративной), что файлик шифратора (с расширением scr), который не детектировался сигнатурно был удален после копирования в другую папку с детектом Suspicious Object
Добавлю к тому, что 5ка EEA не детектила зловреда. На след день на этом же файле проверил и антивир справился. Наверно дело все же в базах.
Дело кстати было так. Отловил через мониторинг почты, что юзеру пришло плохое письмо. Позвонил и предупредил не трогать, а юзер ответил что уже пытался запустить и ничего не открылось. Тут же лезу удаленно, а он опять жмакает во вложение. Испугался, достал винт, оказался вроде банковский троян. После вручил здешнюю инструкцию лично в руки пользователю. И для себя некоторые выводы сделал.
тут аналогичный отправитель:
с почты:
christine@ddbycc.com

Здравствуйте!
Получен непонятный ваш перевод. В приложениэ детали платежа.  

и с p.campochiaro@uisp.it
Здравствуй!
Получен непонятный ваш перевод. В приложениэ детали платежа.  

вложенный файл чем то напоминает архив и имеет расширение .gz  и теперь все файлы зашифрованы  с расширением .breaking_bad
Изменено: Boris Markov - 28.12.2015 16:09:01
Читают тему (гостей: 1)