Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

Пред. 1 ... 6 7 8 9 10 ... 26 След.
Вчера и сегодня была активная рассылка Nemucod, интересно, шифрануло кого нибудь или нет?
судя по BC Nemucod рассылает свой шифратор. (совсем недавно они рассылали Teslacrypt)
детект есть только сегодня, вчера скрипт был без детекта.

Цитата
Column Name Value
Date Received 2016-04-01 09:53:15
Date Occurred 2016-04-01 09:44:55
Level Warning
Scanner Real-time file system protection
Object file
Name C:\Users\*****\AppData\Local\Temp\Rar$DI00.133\31 марта печать.js
Threat JS/TrojanDownloader.Nemucod.NV trojan
Action cleaned by deleting - quarantined
Information Event occurred on a new file created by the application: C:\Program Files (x86)\WinRAR\WinRAR.exe.
Details Ready
Изменено: santy - 01.04.2016 13:00:15
Возможно Vault

Документация для контрагента от 4 апреля 2016 года. Составлено и подписано главным бухгалтером. Для проверки.337c_рdf_.js - JS/TrojanDropper.Agent.NBU
Virustotal как обычно некорректно отображает скан.
https://www.virustotal.com/ru/file/b4f2e1222ae55a3e715e9d17e237de050595ab7a1c5abd24­9a74d386a044b414/analysis/1459783531/

sendvirus2019@gmail.com
Сегодня пользователь получил *.gz архив. Детекта не было как на *.js загрузчик, так и на загруженную полезную нагрузку.
да, и расширение архивов стали использовать: xz, arj, ace... при том, что winrar нормально их открывает.
Изменено: santy - 05.04.2016 11:13:20
свежая рассылка шифратора better_call_saul
адресат: *ИнтерИнвестКом*, *ИнвестФорм*,
Цитата
У Вас появилась задолженность в размере 49773 рублей.
Просим принять меры.
Квитанция по номеру 1288334 в файле.
во вложении js упакован в несколько вложенных архивов.
пока почти никто не детектирует
https://www.virustotal.com/ru/file/7c22828ed2a99afc741fe708b2ed8eba725906891094221c­c011a0280d464df0/...

кстати, исполняемый файл шифратора csrss.exe тоже без детекта.

Полное имя                  C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2016-04-12 [2016-04-11 22:03:59 UTC (7 часов, 7 минут назад)]
Kaspersky                   UDS:DangerousObject.Multi.Generic
Symantec                    Suspicious.Cloud.7.F
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST                  (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     570BFB811D5000
Linker                      9.0
Размер                      887296 байт
Создан                      12.04.2016 в 11:27:33
Изменен                     12.04.2016 в 11:27:33
                           
TimeStamp                   11.04.2016 в 19:31:13
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Оригинальное имя            Repeatable.exe
Версия продукта             6.4.2.3
Описание                    Spends Displaywhile Jurisdiction
Продукт                     Repeatable
Copyright                   2015 Company  Skype Technologies S.A.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        D8870F6DEED2246BA418BBD7ACA38DF676349894
MD5                         795369F045D3DEFEBCAADB4CF6FBF487
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"
                           
Изменено: santy - 12.04.2016 08:13:06
новая рассылка от
do_not_reply@fastvps.com
в архивном вложении js
Цитата
Уважаемый(ая)
 
Это уведомление  биллинг  FastVPS, сплочено с тем , что Ваш  счет номер  3421350062, созданный 07/04/2016  получил статус просроченного.
 
Если номер счета относитсяк   главной предложению (VPS компьютер,  выделенный сервер):
 
- В случае если Вы никак не собираетесь использовать это предложение -  пожалуйста, напишите нам запрос на ее отключение и подтвердите , что Вы забрали все необходимые данные.
- Если у Вас возникли сложности с оплатой -  пожалуйста, свяжитесь с нами посредством  тикет-концепцию и, (по возможности, мы  продолжим дату оплаты условно на срок до 5  суток.
- В случае если Вы хотите продлитьприменение сервера , но  нет возможности оплатить госномерне отвечаете на  номер и недоступны по контактному телефону, Ваш сервер  будет арестован вместе со всей информацией в течение  текущего дня!
Пожалуйста,  срочно свяжитесь с нами в случае  возникших  ошибок с  оплатой!
 
Ваш способ оплаты:
 
Счет: 0980707686
Сумма: 134.99EUR
Дата оплаты: 12/04/2016
 
Вы можете посмотреть данные  здесь
C уважением, FastVPS Eesti OU
Sincerely, FastVPS Eesti OU
новая рассылка js во вложенных архивах. загружается шифратор better_call_saul
Цитата
Ваши документы, для работы по контракту.  
https://www.virustotal.com/ru/file/f283742059a28447dba55a74000e768668cd636417d7e08f­777a7153e99e12b0/...
Цитата
santy написал:
Ваши документы, для работы по контракту.  
Было дело. При этом пользователю пришло на все его почтовые ящики (корпоративную, яндекс, майл и т.д.)
В письме написано "Ваши документы для работы по контракту", а внутри архива "Жалоба на погашение долга. Ознакомьтесь". Вчера пришло, ещё не детектируется.
Цитата
Роман написал:
Цитата
santy   написал:
Ваши документы, для работы по контракту.  
Было дело. При этом пользователю пришло на все его почтовые ящики (корпоративную, яндекс, майл и т.д.)
В письме написано "Ваши документы для работы по контракту", а внутри архива "Жалоба на погашение долга. Ознакомьтесь". Вчера пришло, ещё не детектируется.
отправил файл в техподдержку сегодня.
детекта действительно нет, ни по js, ни по свежему телу шифратора.

C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
2016-04-15 [2016-04-15 04:15:28 UTC (2 часов, 30 минут назад)]
Файл был чист на момент проверки.
Интересно, что только Microsoft определил в MBR на зашифрованной Petja Ransomware системе вредоносный код:

https://www.virustotal.com/ru/file/cdcc95616faee15d2eab02837a6050b0dc3790219edeaa87­fee40f805b86522a/...
Изменено: santy - 20.04.2016 12:55:05
Пред. 1 ... 6 7 8 9 10 ... 26 След.
Читают тему (гостей: 3)