Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

Пред. 1 ... 4 5 6 7 8 ... 26 След.
Ребята объясните русским языком, решение есть или нет?
Цитата
Павел Володин написал:
Ребята объясните русским языком, решение есть или нет?
Есть. Восстановить всю информацию из резервных копий. Других решений пока нет, так как появился этот локер дня 2 назад.  
Изменено: mike 1 - 18.02.2016 18:43:24
Михаил
офисный документ, содержащий макросы детектируется как
https://www.virustotal.com/ru/file/b7ecc1539a1683399e3a3f671a7b74679127eb8a51bcc722­27bfbb12dd7415ac/analysis/

файл шифратора.

Полное имя                  C:\DOCUMENTS AND SETTINGS\****\LOCAL SETTINGS\TEMP\EIASUS.EXE
Имя файла                   EIASUS.EXE
Тек. статус                 АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 2768                  VM-XP\****
CmdLine                     "C:\Documents and Settings\****\Local Settings\Temp\eiasus.exe"
Процесс создан              21:40:30 [2016.02.18]
С момента создания          00:00:40
parentid = 2688             C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE
SHA1                        686CDFEF4458B28B5FE37EA421886FBAF2FC9DA6
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUMENTS AND SETTINGS\****\LOCAL SETTINGS\TEMP\EIASUS.EXE
------------------
шифратор после завершения шифрования самоудаляется,
и прописывает копию в автозапуск

Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Locky
Locky                       C:\DOCUME~1\****\LOCALS~1\Temp\svchost.exe
                           
Образы                      EXE и DLL
SVCHOST.EXE                 C:\DOCUMENTS AND SETTINGS\****\LOCAL SETTINGS\TEMP
Изменено: santy - 18.02.2016 19:45:19
Часто встречаю, по поводу дешифрации пишут - что возможно, но потребуется машинное время на подбор. Соответственно не каждая компания, структура, лаборатория обладает достаточным количеством оной, то решение вопроса может затянуться на N-ое кол-во часов, дней, лет...
Вот что подумалось, а что если, как вариант, организовать распределенную сеть с участием пользователей по согласию? Ну типа разработчик защитного ПО распространяет на официальном сайте официальное приложение для возможности участия в программе по подбору решения дешифрации по типу BOINC.
Я бы например, как неравнодушный пользователь, не против потратить определенный % рабочего времени Своего процессора, например в выходные дни, обеденные часы и пр. варианты.
По реализации ПО - не лишним было бы организовать статистику, ну например какое кол-во подборов было успешным, или развивая еще далее - можно было бы организовать какие-либо скидки в продлении или покупки программного продукта.

Не глупость ли написал?
Мартынов Николай

Предложение хорошее, я его поддерживаю.
CTB-Locker for Websites

CTB-Locker for Websites is a ransomware that is designed specifically to target websites, encrypt their contents, and then demand a .4 bitcoin ransom to get the decryption key.  Websites become infected by the ransomware developers hacking the site and replacing the original index.php or index.html with a new index.php.  This new index.php will then be used to encrypt the site's data using AES-256 encryption and to display a new home page that contains information on what has happened to the files and how to make a ransom payment.

CTB-Locker для веб-сайтов

CTB-Locker адаптирован для веб-сайтов, шифрует содержимое целевых веб-сайтов, а затем требуют 0,4 Bitcoin выкупа, чтобы получить ключ дешифрования. Сайты заражаются после  взлома и замены оригинальных index.php или index.html  новым index.php. Этот новый index.php будет использоваться для шифрования данных сайта с помощью AES-256 шифрование и отображать новую домашнюю страницу, которая содержит информацию о том, что произошло с файлами и как произвести оплату выкупа.

http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/

+
там же:

CTB-Locker for Windows is now signed with a stolen certificate

CTB-Locker для Windows, теперь подписан украденным сертификатом
Изменено: santy - 24.02.2016 13:38:01
Видимо следует ждать эпидемии по шифрованию сайтов.
Хотя перспективы доходов на этом на мой взгляд сомнительны.
Серьезные проекты имеют бэкапы. А за поделки на бесплатных CMS-ках (которые и будут ломать прежде всего) вряд ли кто-то будет платить.
Хотя кто знает, конечно..
I analysed it. The orignal location can be any folder it really depends how it was downloaded/dropped to the system. Currently it seems the majority of the spreading ways of Locky is via VBA/TrojanDownloaders and JS/TrojanDownloader.Nemucod and those downloaders downloads to %temp% folder (so you are safe with group policy). But I saw a case where Locky was executed from %windir%. I have no idea who copied it there and I didn't receive more logs from that case yet.
The best protestion against Locky is to have good firewall set to manual, because Locky needs to download RSA public key (the same as CryptoWall for example) and it is harmless without the key.

http://www.bleepingcomputer.com/forums/t/605607/locky-ransomware-support-and-help-topic/page-2#entry3945396

+
анализ Locky в блоге malwarebytes
https://blog.malwarebytes.org/intelligence/2016/03/look-into-locky/
Изменено: santy - 03.03.2016 16:56:10
Emsisoft offering decryption services for the Xorist Ransomware Family

The Xorist family of ransomware is starting to be seen quite often in support requests in our Security Forums. This family of computer infections is built using a builder that allows a potential malware distributor to easily create their own customized version of the ransomware.  The problem is that the encrypted file extensions, the targeted files, and the ransom note messages are easily customized and thus it makes it harder for a victim to find help related to their particular build. For example, we have seen variants of this ransomware that have used the EnCiPhErEd,.73i87A, .p5tkjw, and .PoAr2w encrypted file extensions. I am sure there are many more out there.

The good news is that Fabian Wosar of Emsisoft was able to find the builder and create a decrypter for this family of infections. If you find that you are infected with what appears to be a Xorist ransomware variant, you can post in one of the topics below to receive help decrypting your files for free.

http://www.bleepingcomputer.com/news/security/emsisoft-offering-decryption-services-for-the-xorist-ransomware-family/
Fabian Wosar of Emisoft has released a free decryptor for the Nemucod .CRYPTED or Decrypt.txt ransomware. A decryptor was previously released by one of our users, macomaco, but required Python in order to generate the decryption key. When Fabian analyzed the ransomware, he saw that it utilized a similar encryption scheme as a previous ransomware and was able to release a Windows decryptor.

This ransomware is distributed via the Nemucod Trojan.Downloader, which is sent via email as a javascript (.JS) attachment.  When a user opens this attachment, the javascript will execute and download further malware to the victim's computer. Recently, one of the malware infections that is being downloaded by Nemucod is the .CRYPTED ransomware, which will encrypt your data and then demand ~.4 bitcoins in order to get a decryption key.

http://www.bleepingcomputer.com/news/security/decryptor-released-for-the-nemucod-trojans-crypted-ransomware/
Изменено: santy - 24.03.2016 11:31:22
Пред. 1 ... 4 5 6 7 8 ... 26 След.
Читают тему (гостей: 3)