Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

Пред. 1 ... 21 22 23 24 25
анализ работы шифратора Ransom.Shade:
https://app.any.run/tasks/65ed86fe-e71f-4949-9a55-4bb1eb0bed08

видим что в реестр добавлен public RSA key

HKEY_LOCAL_MACHINE\SOFTWARE\System32\Configuration
Name:
xpk
Value:
Код
-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----
по Crysis появились новые варианты в феврале 2019:

+
'.qwex' - 'backdata@qq.com' #CrySiS #Dharma #ransomware https://www.virustotal.com/#/file/b50caa0122798f2ac48d63af82676f57ac2bdbe1f5d9662a1d14cf­f55f444b17/detection
+
'.ETH' - helpfilerestore@india.com - https://www.virustotal.com/#/file/f6b1831e8f3968b96cac1c046846e3a1f46b9add401e14a2720a87­2286342951/detection
+
'.air' - 'satco@tutanota.com' - https://www.virustotal.com/#/file/e0259f5e4c6f9fcbe12437c3e8d7c38f8775f5f9f77a88574ab470­ad71a040c3/detection
+
'.888' - donald888@mail.fr - https://www.virustotal.com/#/file/8e31a1b861e61c077f2cd8957a4f1c2872a4a06da85c8e6bccefc7­c7451d4fe4/detection
+
'.amber' and '.frend' - 'korvin0amber@cock.li' and 'undogdianact1986@aol.com' - https://www.virustotal.com/#/file/ca8f6f2650d8bdcc25616fe247a73229ff73f2871612d111ba49be­c41f21d2b5/detection … and https://www.virustotal.com/#/file/3235e03928b204a9586cbdf7956c83108e102d6a1538ef58c1c381­2420c8908a/detection

вариант .ETH уже засветился на российских форумах.
https://virusinfo.info/showthread.php?t=221895
Новый вариант шифратора: по классификации ESET Win32/Filecoder.Buhtrap
https://app.any.run/tasks/0826b150-e05d-4bf2-a800-e3cba4fc679c
https://www.virustotal.com/ru/file/4a9db92bd756018a61b0a2a7d8f7dc424a84ded2f0ea1375­5466a97e6bf96735/analysis/
https://id-ransomware.blogspot.com/2019/02/vegalocker-ransomware.html

файлы зашифрованы без изменения расширения
записка о выкупе:
Скрытый текст


файлик шифратора с цифровой подписью
Цитата
File version 2, 4, 0, 0
Description Master Blankov
Signature verification Signed file, verified signature
Signing date 2:51 AM 2/12/2019
Signers
[+] VERY EXCLUSIVE LTD.
[+] COMODO RSA Code Signing CA
[+] COMODO SECURE™
Counter signers
[+] Symantec Time Stamping Services Signer - G4
[+] Symantec Time Stamping Services CA - G2
[+] Thawte Timestamping CA
Ransomware Attacks Target MSPs to Mass-Infect Customers

Цитата
   Ransomware distributors have started to target managed service providers (MSPs) in order to mass-infect all of their clients in a single attack. Recent reports indicate that multiple MSPs have been hacked recently, which has led to hundreds, if not thousands, of clients being infected with the GandCrab Ransomware.

   With the mass distribution of ransomware increasingly becoming more difficult through methods such a spam, attackers are coming up with more creative ways to infect their victims. This includes hacking into RDP, teaming up with criminal download monetization companies, renting the services of botnet operators, and now attacking MSPs.

   A managed service provider is a company who remotely manages and supports the IT infrastructure and technical support for their clients. One of the benefits of an MSP is that they monitor their client's networks and proactively fix problems that they discover.
Распространители Ransomware начали нацеливаться на поставщиков управляемых услуг (MSP), чтобы заразить всех своих клиентов одной атакой. Недавние сообщения указывают на то, что в последнее время было взломано несколько MSP, что привело к заражению сотен, если не тысяч клиентов, с помощью GandCrab Ransomware.

Массовое распространение вымогателей становится все более затруднительным с помощью таких методов, как спам, злоумышленники находят более творческие способы заражения своих жертв. Это включает в себя взлом RDP, объединение усилий с компаниями, занимающимися монетизацией криминальных загрузок, аренду услуг операторов ботнетов и теперь атаку на MSP.

Поставщик управляемых услуг - это компания, которая дистанционно управляет и поддерживает ИТ-инфраструктуру и техническую поддержку своих клиентов. Одним из преимуществ MSP является то, что они контролируют сети своих клиентов и активно устраняют обнаруженные проблемы.

https://www.bleepingcomputer.com/news/security/ransomware-attacks-target-msps-to-mass-infect-customers/
GandCrab Decrypter доступен для v5.1, однако злоумышленники на шаг/версию впереди,

новый вариант 5.2  уже выпущен без возможности расшифровки текущим дешифратором

Для пользователей, чьи компьютеры были заражены последними подтвержденными версиями GandCrab, доступен бесплатный инструмент для расшифровки файлов. Он может разблокировать данные, зашифрованные версиями вредоносного ПО с версий 4 по 5.1, и некоторыми более ранними выпусками угрозы.

Этот инструмент является плодом сотрудничества между компанией Bitdefender, полицией Румынии, Европолом и другими правоохранительными органами по всему миру.

https://www.bleepingcomputer.com/news/security/gandcrab-decrypter-available-for-v51-new-52-variant-already-out/
по Crysis появились новые варианты в марте-апреле 2019:

'.aqva' - 'crypted_files@qq.com' - https://www.virustotal.com/#/file/57b7d93d19816aa8fd7987594ddd18e2f583285a02dfa74ce13381­fe926766e6/detection … cc @demonslay335 #CrySiS #Dharma #ransomware

+
'.AYE' - 'sebekgrime@tutanota.com' - https://www.virustotal.com/#/file/3145ce9af8f1e44e2c0f0a9123f8201a3aab013c7bfaf1f120fa4d­7e50a67259/detection … … cc @demonslay335 #CrySiS #Dharma #ransomware

'.korea' - 'omfg@420blaze.it' - https://www.virustotal.com/#/file/068f9ed02827dd12d13bdb8aaa42837e1a10a69fa065e87353daef­8530584219/detection … cc @demonslay335 #CrySiS #Dharma #ransomware


'.plomb' - 'plombiren@hotmail.com' - https://www.virustotal.com/#/file/e4448bff0545df8f441f6b7a75a7e507483ee3b632f062ece72db8­abb37ff6b1/detection

'.NWA' - 'dr.crypt@aol.com' - https://www.virustotal.com/#/file/e18a0428781c243fa909d0a8296312192d462a15a67fe978d0e8c5­8b99ff43f5/detection … #CrySiS #Dharma #ransomware

'.com' 🤦‍♂️ - 'trupm@protonmail.com' - https://www.virustotal.com/#/file/b8a87647159792fbf4e3b96609ecb8b465e493b8bc4491b760f82c­1c2b662c7c/detection … #CrySiS #Dharma #ransomware



'.azero' - 'cryptor55@cock.li' - https://www.virustotal.com/#/file/07d0532783a3c1f7007f7f58f4002a64083719f81d77c855a30c24­41ebe97835/detection … #CrySiS #Dharma #ransomware

'.bk666' - 'berserk666@tutanota.com' - https://www.virustotal.com/#/file/9b4612a52d0f9e52689383fa264c68300fd550af5f41f0af1accce­f705d855c3/detection … #CrySiS #Dharma #ransomware

#Dharma #Ransomware spotted on ID Ransomware with extension ".stun", email "unlockdata@foxmail.com"

==================
'.ms13' - 'ms_13@aol.com' - https://www.virustotal.com/#/file/7459000c5cd1fd22aa03849f734131539ef5dd3f0b58dad4d01126­1a430ad70f/detection … #CrySiS #Dharma #ransomware

Jakub Kroustek:
‏'.carcn' - 'carcinoma24@aol.com' - https://www.virustotal.com/#/file/482722e411bf8148dc5b88b7ad234b02d000285efed9c7ad15e8f0­eb9bd08434/detection … #CrySiS #Dharma #ransomware
+
JakubKroustek
'.btix' - 'encrypt11@cock.li' - https://www.virustotal.com/#/file/6a9fe57f144ce99ab8545a305ad8a94dc7f53fb7e8d0688c4d4f45­d9400b576b/detection … #CrySiS #Dharma #ransomware
+
demonslay335
#Dharma #Ransomware with extension ".gate" spotted on ID Ransomware
+
JakubKroustek:
'.LOVE' - 'seeyoubro@tutanota.com' - https://www.virustotal.com/#/file/1c5c91bf6f4b2764070f050f0a64731cca2a68a419bfb4702cf813­2b22c7283d/detection … - #CrySiS #Dharma #ransomware
+
".LDPR" - mr.crypt@aol.com
https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/
+
Michael Gillespie:
#Dharma #Ransomware extension ".FREDD" spotted on ID Ransomware.
https://twitter.com/demonslay335/status/1122866935774023681

Michael Gillespie:
#Dharma #Ransomware spotted on ID Ransomware with extension ".txt"
https://twitter.com/demonslay335/status/1123362429105266690

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

Цитата
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt
по Crysis появились новые варианты в мае-июне 2019

@JakubKroustek

'.video' - 'tetty86@cock.li' - https://www.virustotal.com/#/file/18235049b46f8cbdf1ac47a48e84b9efb163aa89f9d38c07aca09d­03c164a444/ … … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1123557475477872640
+
@demonslay335:
#Dharma #Ransomware with extension ".wal", email "decryptdocs@protonmail.com" spotted on ID Ransomware.
https://twitter.com/demonslay335/status/1124008826196328454
+
JakubKroustek:
'.MERS' - 'crypt1style@aol.com' - https://www.virustotal.com/#/file/14397f138ef0d80c00d8999d21e072973ecb1d49297d33478bda44­6117bf1f34/detection … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1124998932294184962
+
@JakubKroustek:
'.bat' 🤦‍♂️ - 'idecryptyourdata@cock.li' and 'decryptyourdata@qq.com' - https://www.virustotal.com/#/file/907f48f3480d0de1c0fc7a518e31e38f7d2da11fefaef88a5888e8­9194ace07e … and https://www.virustotal.com/#/file/b9ba37832d0446610aae07218b31ea25ae68d72da68d8bb70a9e16­3efed72a5b … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1125158175550902272
+
@JakubKroustek:
'.qbix' - 'backdata@qq.com' - https://www.virustotal.com/#/file/abbcff728043498c875932756d21ffde3e4bc5a9681db49eb3d612­d57bf0df56 … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1125361989482614785
+
JakubKroustek:
more and more variants coming - '.aa1' - 'who8@mail.fr' - https://www.virustotal.com/#/file/4b8271802c7cfec3b5258b581f4cb871edcc0c7bfb3bb7621707bd­ca094049a0 … and '.wal' - 'decryptdocs@protonmail.com' - https://www.virustotal.com/#/file/955544abc801355ee1e8e48488c6e9150d431fec63b7e74d19f229­82b396e637- … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1125481677130797056
+
Jakub Kroustek:
'.qbtex' - '1btc@decryption.biz' - https://www.virustotal.com/#/file/4711834782c7fa715330b488ab239b66c2d4583b4dea1e3100f1af­63ea6219fc/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1127224843596959744
+
Jakub Kroustek:
‏'.yG' - 'sysadmin@mail.fr' - https://www.virustotal.com/#/file/27e7b3e8d83534469332b5e3e524e95f365a7471eab5b49f1ea3cc­0eade381c9/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1127312008590786560
+
Jakub Kroustek:
'.drweb' 🤣 - 'dr.web24@aol.com' - https://www.virustotal.com/#/file/0cecae21feb9f59d4e7f8eaa87bb278d195e96385af8e5a92f0c27­dac6e929c6 … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1127875580081451008
+
Jakub Kroustek:
'.jack' - 'lockhelp@qq.com' - https://www.virustotal.com/#/file/57cc351d441fc30eb7c4f585ee35bfce5b32bb82ec8dd99f004043­d5ace7bd90/ … and '.PLUT' - 'adolfhackler@tutanota.com' - https://www.virustotal.com/#/file/f70ea3eb366419d6535fd6e41ec408d24c0368a8323933a69e0907­7cc236b9b6/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1128409486400552964
+
'.DDOS' - 'decripted@cock.li' - https://www.virustotal.com/#/file/e66e7468f8206abe35e6be8b046f687c101e08fc93c51383ff075a­46c4eb9b5b/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1128590100793839616
+
'.cry' - 'decryptoperator@qq.com' - https://www.virustotal.com/#/file/9c63223d5cc284ed38c982e4dd7e292289b96a836f4fd472e57a68­03976b96b9/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1129126283206692864
+
'.4k' - 'rocosmon@cock.li' - https://www.virustotal.com/#/file/f7dbe91a4a782e5648dce337c8d67035fbdf41f423089c8ed83d81­6681b68b07/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1129276977653927937
+
'.TOR13' - 'chanelcrypt@aol.com' - https://www.virustotal.com/#/file/22b683b0e05f20e2f7a28deae8b605707c2f10791891212a982f16­ac50cdb2a2/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1130392693706756097
+
'.good' - 'onecrypt@aol.com' - https://www.virustotal.com/#/file/51e52c47abfa87af9273727e943b9d81fd9a23c090e18ba5f83896­0fb727d771/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1131574667687399424
+
#Dharma #Ransomware with extension ".qbx" spotted on ID Ransomware
https://twitter.com/demonslay335/status/1132338341695905792
+
'.beets' - 'vombombom@cock.li' - https://www.virustotal.com/#/file/f6708aea2a0d9f1f01b62ba5624af05b249c296bab9dec0cc2d7da­cc19660f20/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1133375374853906433
+
demonslay335:
#Dharma #Ransomware spotted with extension ".zoh", email "restdoc@protonmail.com" on ID Ransomware
+
#Dharma #Ransomware spotted with extension ".harma" on ID Ransomware
+
JakubKroustek:
'.BSC' - 'basecrypt@aol.com' - https://www.virustotal.com/gui/file/2e0490c69212fb4ad20cd342bc8d257450f7602930700dc­582196032d572f34d/ … #CrySiS #Dharma #ransomware
+
'.zoh' - 'restdoc@protonmail.com' - https://www.virustotal.com/gui/file/5a612b52f7180a4ba37ae9dd2998a02f34939730bd60b5f­2753137a0a4a69af3/ … #CrySiS #Dharma #ransomware
+
'.kjh' - 'datareturn@protonmail.com' - https://www.virustotal.com/gui/file/52259c86b51cafc15fad9f92ed5d0d9fb0b8b94ea7676fa­2102cd2698bd6e59e/ … #CrySiS #Dharma #ransomware
+
'.html' 🤦‍♂️ - 'paydra@cock.li' - https://www.virustotal.com/gui/file/4e1729be38023e15056914fab40c9ff3e04990c998c5c97­11b4376acb919fdae/ … #CrySiS #Dharma #ransomware
+
'.HACK' - 'mr.hacker@tutanota.com' - https://www.virustotal.com/gui/file/5d4e9a73323a109fb00d56ac8ab28cbfa056616d502d0bf­985a56855ef28bfb5/ … #CrySiS #Dharma #ransomware
+
#Dharma #Ransomware spotted with extension ".0day" on ID Ransomware

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

Цитата
  .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13, .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save
Спустя почти полтора года операторы GandCrab Ransomware прекращают свою работу, и предлагают аффилированным лицам прекратить распространение вымогателей.

Заполняя на свободное место ("денежное место пустым не бывает"), оставшееся после прекращения масштабных компаний по вымогательству, таких как TeslaCrypt, CryptoWall и Spora, GandCrab ворвался в мир вымогателей 28 января 2018 года, когда они начали продавать свои услуги на подпольных криминальных сайтах.

С тех пор они стали одним из доминирующих, если не самым доминирующим, участников операций по вымогательству, и их операции только начали замедляться в течение последних нескольких месяцев.

По словам исследователей безопасности Дамиана и Дэвида Монтенегро, которые следили за эксплойтами GandCrab на подпольном форуме по взлому и вредоносным программам Exploit.in, операторы GandCrab объявили, что закрывают свою работу.

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-25-billion/
Bitdefender выпустил дешифровку для текущей версии GandCrab 5.2

Цитата
мы выпустили обновление для инструмента, который нейтрализует последние версии GandCrab, включая версию 5.2. Инструмент доступен сразу и может быть загружен бесплатно ниже или из проекта No More Ransom.

https://labs.bitdefender.com/2019/06/good-riddance-gandcrab-were-still-fixing-the-mess-you-left-behind

Цитата
Decryptor Started at Mon Jun 17 18:29:08 2019

Looking for ransom note ... [G:/DATA/shifr/encode_files/GandCrab/5.2/10\GSTDMCUTBY-DECRYPT.txt]
Looking for EXT ... [.gstdmcutby]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\changesreply.png.gstdmcutby] ... [OK]
Decrypt [ 1] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\classespartner.jpg.gstdmcutby] ... [OK]
Decrypt [ 2] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\filezilla.xml.gstdmcutby] ... [OK]
Decrypt [ 3] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\layout.xml.gstdmcutby] ... [OK]
Decrypt [ 4] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\NoMail.xml.gstdmcutby] ... [OK]
Decrypt [ 5] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\Outlook.xml.gstdmcutby] ... [OK]
Decrypt [ 6] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\sonar_policy.xml.gstdmcutby] ... [OK]
Decrypt [ 7] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\test.xml.gstdmcutby] ... [OK]

Total decrypted files: [8]

Scan finished!
Как атакуют шифраторы? Что защитники должны знать о наиболее распространенных и постоянных семействах вредоносных программ? Поведение вымогателей - это его ахиллесова пята, поэтому Sophos тратит так много времени на его изучение. В этом отчете мы собрали некоторые из поведенческих моделей десяти наиболее распространенных, разрушительных и постоянных вымогателей. Наша цель состоит в том, чтобы дать операторам безопасности руководство по пониманию основных моделей поведения....

Цитата
Dharma is also known as CrySIS. Deletes volume shadow copies via VSSADMIN.EXE, both before and after the documents are encryptedÌMulti-threaded, i.e. it encrypts multiple documents at a timeÌOpens original document for read/write but doesn’t change contents. Instead, it sets the file size of original document to 0 bytes before it is deletedÌCreates an encrypted copy of the original document on free available disk sectors; theoretically, if not overwritten by other data, the original document would be recoverable from disk. However, this is complicated as the file size of the document is set to 0 bytes before it is deletedÌSetting the file size of the original document to 0 bytes may hinder behavior-based detection in anti-ransomware technology

Dharma также известен как CrySIS. Удаляет теневые копии томов с помощью VSSADMIN.EXE как до, так и после шифрования документов. Многопоточный, то есть он шифрует несколько документов одновременно. Открывает исходный документ для чтения / записи, но не изменяет его содержимое. Вместо этого он устанавливает размер файла оригинального документа равным 0 байтам перед его удалением. Создает зашифрованную копию оригинального документа на свободных доступных секторах диска; теоретически, если не перезаписать другие данные, исходный документ будет восстановлен с диска. Однако это сложно, поскольку размер файла документа устанавливается в 0 байт, прежде чем он будет удален. Установка размера файла исходного документа в 0 байт может помешать обнаружению на основе поведения в технологии защиты от вымогателей.

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf
Пред. 1 ... 21 22 23 24 25
Читают тему (гостей: 4)