Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
здесь нужен хотя бы обзор основных шифраторов (систематизация) с указанием известных имен и классификаций, а так же вариантов и вероятностей восстановления данных. сейчас информация разрозненна и малоинформативна.
примерно такое инфо по шифраторам: 1. наименование по нескольким классификациям: /ESET,DrWeb, Kaspersky, / 2. период появления в сети 3. используемые алгоритмы шифрования 4. типы шифруемых файлов на стороне пользователя и модификация имени исходного документа 5. установка и способ запуска в системе, пути к файлам шифратора, ассоциации файлов с данным шифратором. (файлы необходимые к расшифровке данных злоумышленниками). 6. схема выкупа ключей дешифрования. 7. альтернативные варианты восстановления данных.
получается, что в одном случае достаточно перезагрузки системы, чтобы предотвратить процесс шифрования, в другом случае необходимо проверять автозапуск системы, поскольку шифратор может быть или в реестре автозапуска, или в задачах.
шифраторов становится все больше и больше, надо хотя бы автозапуск проверять, чтобы очистить систему и определить способ запуска шифратора, чтобы в дальнейшем блокировать запуск подобных шифраторов через HIPS. ---------- + проверить и пролечить систему юзера с шифратором от вредоносных программ, но с учетом того что обнаруженные файлы шифраторов и файлы важные для расшифровки доков добавить в карантин и отправить в вирлаб.
**** думаю работа по шифраторам полностью провалена вирлабами. вместо того, чтобы анализировать работу шифратора в системе и создавать устойчивые правила для HIPS по предотвращению запуска типичных шифраторов, показывают пользователям "журавлика в небе" под видом возможности расшифровки того, чего нельзя в принципе расшифровать за конечное время. ------------ вот кстати, в CryptoPrevent реализованы в правилах относительные пути, и маски файлов (с указанием белого списка исключений), почему это нельзя сделать в HIPS?
по шифратору * приходит сообщение примерно такого типа:
в качестве вложения добавлен файл html в архиве, содержащий ссылку на опять же архив, но уже содержащий исполняемый файл *.exe запуск данного *.exe и приводит к шифрованию документов, в частности *protectdata@inbox
файл после запуска добавляется в папку автозагрузки, так что здесь максимальные правила CryptoPrevent вполне могли бы защитить юзера от шифрования. (последний рубеж)
Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\SAFETY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\АРХИВНАЯ ДОКУМЕНТАЦИЯ О ПРИВЛЕЧЕНИИ В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №573265.EXE Имя файла АРХИВНАЯ ДОКУМЕНТАЦИЯ О ПРИВЛЕЧЕНИИ В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №573265.EXE Тек. статус ВИРУС в автозапуске [Запускался неявно или вручную]
Статус ВИРУС Сигнатура Win32/Filecoder.CQ [ESET-NOD32] [глубина совпадения 51(62), необх. минимум 8, максимум 64]
Сохраненная информация на момент создания образа Статус в автозапуске [Запускался неявно или вручную] File_Id 54C401F5488000 Linker 83.82 Размер 2662400 байт Создан 26.01.2015 в 22:05:52 Изменен 24.01.2015 в 22:38:26
TimeStamp 24.01.2015 в 20:35:01 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась
Оригинальное имя Версия файла 1.0.0.0 Описание Производитель
Доп. информация на момент обновления списка SHA1 8903228D1142F5DA095C1E9598F8BE9051B43BD1 MD5 492FAFFAE05442384C8454869EF10996
Ссылки на объект Ссылка C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
---------------------------- кстати, обошли Криптопревент(бесплатный) с максимальными настройками
%alluserprofille%\start menu\programs\startup\*.exe есть такое правило а нужно такое %userprofille%\start menu\programs\startup\*.exe добавить же новые правила можно только в платной версии (15$)
вирлаб Есета обнаружил связь между трояном elenoocka.A и ctb locker
(рассылки по почте с Еленочкой сейчас идут очень активно!)
по Еленоочке:
Еленочка, которая идет в качестве вложения в почту, действительно - это tr.downloader, который скачивает из сети тело шифратора, устанавливает его в задачи, и запускает процесс шифрования. с таким результатам.
шифратор скачивается в %temp%, отсюда уже прописывается в задачи планировщика, и сразу запускается на исполнение.
Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\%userprofile%\LOCAL SETTINGS\TEMP\SZDHNKI.EXE Имя файла SZDHNKI.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Статус ВИРУС Сигнатура ctb locker [глубина совпадения 64(64), необх. минимум 8, максимум 64]
Удовлетворяет критериям VOLTAR.JOB (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1) JOB.EXE.NOT DIGITAL (ССЫЛКА ~ \TASKS\)(1) AND (ИМЯ ФАЙЛА ~ .EXE)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 548E0C0CAE000 Linker 7.0 Размер 704000 байт Создан 27.01.2015 в 12:34:44 Изменен 27.01.2015 в 12:34:44
TimeStamp 14.12.2014 в 22:15:40 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов
Доп. информация на момент обновления списка pid = 1444 NT AUTHORITY\SYSTEM CmdLine "C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\szdhnki.exe" Процесс создан 12:34:45 [2015.01.27] С момента создания 00:02:39 parentid = 1004 C:\WINDOWS\SYSTEM32\SVCHOST.EXE SHA1 85BB3D47A1ABE3F3694533D72DB91B55E15F8715 MD5 803F9C1091E5CA6DC3E9AA90172E0BF4
Ссылки на объект Ссылка C:\WINDOWS\TASKS\MBWWHVJ.JOB Значение C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\szdhnki.exe
Образы EXE и DLL SZDHNKI.EXE C:\DOCUMENTS AND SETTINGS\%userprofile%\LOCAL SETTINGS\TEMP
свежий шифратор основными игроками детектируется, так что (скорее всего) антивирусная защита действительно должна защитить, но называется у всех по разному.
RP55 RP55 написал: По шифраторам. Нужно создать отдельную тему где дать информацию о способах восстановления данных. программы восстановления; теневые копии и т.д. И в случае обращения с такой проблемой давать ссылку на тему.
Согласен, это было бы полезно. Закрепил рекомендации Santy по ctb locker в главном разделе: Модераторы также имеют права на создание подобных тем.
santy написал: шифраторов становится все больше и больше, надо хотя бы автозапуск проверять, чтобы очистить систему и определить способ запуска шифратора, чтобы в дальнейшем блокировать запуск подобных шифраторов через HIPS. ---------- + проверить и пролечить систему юзера с шифратором от вредоносных программ, но с учетом того что обнаруженные файлы шифраторов и файлы важные для расшифровки доков добавить в карантин и отправить в вирлаб.
Тут пожалуй необходимо по логам пользователя указать ему на то, какие файлы следует передать в техподдержку для подбора дешифратора, а вдогонку, чуть ниже, следующим действием указать скрипт для очистки системы. Правда в ходе работы вирлаб порой запрашивает дополнительно те или иные файлы на анлиз, а если почистить темпы, то запрашиваемых файлов может не оказаться на месте.
Валентин, к сожалению, в теме шифраторов приходят уже с очищенной системой, по крайней мере с удаленными шифраторами. очищать некоторые из них следуют, потому что шифраторы сидят либо в папке автозапуска, либо в задачах планировщика, и могут повторно запустить шифрование оставшихся чистых файлов.
но согласен, в этом разделе (Шифраторы) все таки приоритетна расшифровка документов, и не следует сразу удалять все подряд, все что может помочь в расшифровке.
Filecoder.CQ/Ransom.Win32.Cryakl.be/Trojan.Encoder.567 скачивается скорее всего из сети (в виде архива с исполняемым файлом) по ссылке из почты. к имени зашифрованного документа добавлено id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589} где id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589} - уникальный идентификатор для текущего процесса шифрования.
в автозапуск прописан winrar.exe, и детектируется т.о. (тот вариант что был использован для теста)
Цитата
Полное имя C:\PROGRAM FILES\TEMP\WINRAR.EXE Удовлетворяет критериям CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) Процесс создан 13:18:49 [2015.01.28] С момента создания 00:01:07 parentid = 952 C:\PROGRAM FILES\TEMP\WINRAR.EXE SHA1 24C94F1F8256A2A6FB8AE70BFFC794898459262F MD5 2A65F147BED3039E64F1A2B09F18A9AB Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma progrmma C:\Program Files\temp\WINRAR.EXE Ссылка HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\PROGRAM FILES\TEMP\WINRAR.EXE Образы EXE и DLL WINRAR.EXE C:\PROGRAM FILES\TEMP WINRAR.EXE C:\PROGRAM FILES\TEMP
процесс шифрования завершается красочным банером вместо обоев системы.
