Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

Цитата
вложенный файл чем то напоминает архив и имеет расширение .gz  и теперь все файлы зашифрованы  с расширением .breaking_bad
Не верю :) А какой файл находится внутри архива? :) Вот после запуска файла с расширением scr и начались проблемы. gz - это архив, а он при открытии по определению не является исполняемым файлом. Вывод: чьи-то ручки запустили файл из архива :)

Михаил
A new ransomware called the XRTN Ransomware is in the wild that encrypts your data with RSA-1024 encryption using the open source Gnu Privacy Guard (GnuPG) encryption software. This ransomware is part of the same family as the VaultCrypt ransomware that we reported on in March. When infected, the user will be shown a HTA document when Windows starts that instructs the victim to contact the email address xrtnhelp@yandex.ru for help. It is currently unknown how much the author is charging for the ransom. At this time there is no way of recovering the decrypt key.


Files associated with the XRTN Ransomware:

Цитата
%Temp%\3cnq8256w5rxxavz.hta
%Temp%\4077430c_xrtn.KEY
%Temp%\CONFIRMATION.KEY
%Temp%\Do_88u.docx
%Temp%\dsfsdghd.bat
%Temp%\ez3x7je8.cmd
%Temp%\xrtn.KEY
%Temp%\xrtn.txt
%AppData%\3cnq8256w5rxxavz.hta
%AppData%\xrtn.KEY


vault возможно еще вернется к нам, но уже как XRTN Ransomware.
http://www.bleepingcomputer.com/news/security/xrtn-ransomware-uses-batch-files-to-encrypt-your-data/
вначале была версия xxx
New TeslaCrypt was released today. It has xxx extension. Build time is 12.01.2016 09:39:43. I am starting with analysis and let you know what they changed.

и чуть позже ttt
Another TeslaCrypt was released. Version number is still 3.0.0., but they changed the extension to .ttt, everything esle except links, extension and agent name is the same as .xxx variant. Currently we can't recover the key for these 2 variants, so if you were infected by these two, please backup all your encrypted files and wait for solution. I do not recommend to pay the ransom, because you would provide another funding for their malicious activity.

+
Another release of TeslaCrypt v3.0.0. Changes are the same as last time and extension changed to .micro.

http://www.bleepingcomputer.com/forums/t/601379/teslacrypt-vvv-ccc-etc-files-decryption-support-requests/page-25#entry3908622
Изменено: santy - 16.01.2016 05:41:06
Здравствуйте.
Нас очень интересует, проверили ли вы  информацию о вашем рабочем (нам необходима справка о несудимости следующего  формата:
образец (тут ссылка)
Ваше  начальство уже было уведомлено по этому поводу, я не понимаю почему вы  оттягиваете со сроками.
Надеюсь в ближ. время получим ответ ваш (сверьтесь обязательно с  образцом и заполните все как на скриншоте, иначе справка не будет принята)

приходило с разных адресов (spf не всегда нарушен), внутри письма ссылка на сайт grandstroy-n.ru, скачивается *.scr файл, детектируется как Filecoder.DI
Emsisoft releases Decrypter for the LeChiffre Ransomware
(Эмсисофт выпустила дешифратор для LeChiffre Ransomware)

http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-the-lechiffre-ransomware/


В конце прошлой недели стало известно, что системы трех индийских банков и фармацевтической компании поразил вымогатель LeChiffre. Еще тогда специалисты Malwarebytes предположили, что шифровальщик – дело рук любителей. Эксперт фирмы Emsisoft Фабиан Восар (Fabian Wosar) косвенно подтвердил эту теорию, взломав шифрование LeChiffre за день.

От других шифровальщиков LeChiffre отличается тем, что заражение производится вручную. 22 января 2016 года специалисты Malwarebytes рассказали в блоге, что неизвестный злоумышленник был вынужден вручную внедриться в сети пострадавших компаний, повысить свои привилегии и получить доступ к другим машинам сети, через незащищенные порты Remote Desktop. Проникнув на компьютер жертвы, атакующий вручную инициировал скачивание LeChiffre со своего сервера, а затем запускал вредоносное приложение.

https://xakep.ru/2016/01/26/lechiffre-decrypted/
Изменено: santy - 28.01.2016 14:03:07
новая рассылка сегодня от якобы Росткомнадзора (info@rosnkomadzor.com)

тема:Блокировка аккаунта

"Уведoмляем вас o блoкировке вашегo аккаунта по требованию правообладателя.Письмо прилагаем."

вложение:
Уведомление о приостановке.rar
https://www.virustotal.com/ru/file/c7b07f158ac747583d7aa87264e3e37e8ff2ce7e3a1e4f92­f4900d011be57088/analysis/

08.02.2016 16:59:18    D:\68767687685767685976573645870896654765867753654876987465876­89674566876867 .exe    1    0    0    Зaвepшeнo
ESET Endpoint Suite 6.3 перехватывает обращение к серверу управления после запуска файлика на виртуальной машине
Время;Событие;Источник;Объект;Протокол;Правило/название червя;Приложение;Пользователь
08.02.2016 16:50:31;Обнаружен возможный ботнет;192.185.68.50:80;10.10.***:65074;TCP;Win32/Filecoder.DG;C:\Windows\SysWOW64\vmnat.exe;NT AUTHORITY\система

https://www.virustotal.com/ru/file/c7b07f158ac747583d7aa87264e3e37e8ff2ce7e3a1e4f92­f4900d011be57088/analysis/1454929475/
Изменено: santy - 08.02.2016 14:07:48
сегодня в рассылке

Код
Уважаемый должник!

Меня зовут Тимошинов Дмитрий Иванович
Я представитель интернет банкинга Русский Стандарт Онлайн Кредит. На Ваши паспортные данные 12.08.2015 был оформлен потребительский кредит
через наш онлайн сервис, на сумму 360 991 рублей.
На данный момент ваша задолженность не погашена!
На 10.02.2016, ваш долг составляет 385 660 рублей с учётом пени 0.5% в день.
В связи с этим, на ваше имя был составлен судебный иск!
Ознакомьтесь пожалуйста с документами:


ссылка на документ ведет на архив  с закриптованным трояном или шифратором.
*gcaesar2@aol.com*
Изменено: santy - 10.02.2016 14:02:04
Я каждый раз не устаю поражаться.
Письма составлены безграмотно, это просто бросается в глаза.

Как можно на такое попадаться...
Цитата
Я каждый раз не устаю поражаться. Письма составлены безграмотно, это просто бросается в глаза.  Как можно на такое попадаться...
Михаил
A new variant of the TeslaCrypt ransomware was released that contains some minor changes.  The version number is still 3.0. but the ransom notes have been renamed and the file extension for encrypted files is now .MP3. Unfortunately, there is still no way to decrypt this latest version of TeslaCrypt.

http://www.bleepingcomputer.com/news/security/new-teslacrypt-variant-now-uses-the-mp3-extension/
--------


Decrypter for HydraCrypt and UmbreCrypt available
In Emsisoft Lab by Fabian on February 12, 2016 | English, Deutsch

Цитата
Our research team became aware of two new malware families being distributed via exploit kits earlier this month: HydraCrypt and UmbreCrypt. After a quick analysis it turned out that both families are closely related to the CrypBoss ransomware family whose source code leaked onto PasteBin last year. While HydraCrypt and UmbreCrypt both change some of the implementation details in the encryption scheme, the original flaw that allowed us to break CrypBoss last year allowed us to break both HydraCrypt and UmbreCrypt as well.
http://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/

кому интересно, можно попробовать декриптовать файлы из вложения. последние несколько байт некорректно дешифруются,о чем предупреждает разработчик дешифратора, но в некоторых случаях это не критично, или возможно восстановить другим инструментом
Изменено: santy - 14.02.2016 06:18:44
Читают тему (гостей: 4)