Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

Пред. 1 ... 14 15 16 17 18 ... 26 След.
оригинальный ход распространителей шифраторов. :)))

Цитата
Здравствуйте!
Новый счет во вложенных файлах

Сергей Новиков
Менеджер по работе с клиентами Компании Р.о.с.т.е.л.е.к.о.м
в архивном вложении добавлен офисный документ doc со следующим содержанием.

Цитата
В вроцессе отправки вложения произошла ошибка.
Оригинал документа сохранен и его можно скачать тут:
хттп://cloud.mail.ru/public/******
Изменено: santy - 23.09.2016 06:54:56
вчерашняя рассылка крякла.

Цитата
О рассмотрении акта сверки,
в связи с проведением инвентаризации расчетов ООО "СЕРВИС-СНАБ" направляет Вам на рассмотрение и подписание Акт сверки расчетов по состоянию на 5 октября 2016г.
Просим Вас в течении 10-ти дней с момента получения письма, подписать и передать (выслать) в наш адрес 1 экземпляр акта, в целях оперативности работы выслать по электронному адресу с пометкой "для бухгалтерии".
Отсуствие какой-либо информации с Вашей стороны в указанные сроки будет рассматриваться нами как согласие с данными нашего учета.

Инвентаризация.xls



C уважением,
гл. бух. ООО "СЕРВИС-СНАБ"
Бравин Л.Д.
тел. (495) 656-56-44
+ сегодня.

Цитата
Уважаемый клиент!

Осуществлен перерасчет.
С информацией по задолженности можете ознакомиться тут хттп//sberbank.ru/docs/********
(p.s. ссылка, естественно ведет совсем в другую "степь")

С уважением,
Горшков Николай Платонович,
Сбербанк России
Изменено: santy - 07.10.2016 11:15:54
Похоже, очень свежая рассылка enigma, мало кто детектирует js
https://www.virustotal.com/ru/file/57f645bcfdf41d0f9cef389f9828b824fd048c901098a29b­62a6cba9dfc45d89/analysis/1478144097/
https://www.hybrid-analysis.com/sample/57f645bcfdf41d0f9cef389f9828b824fd048c901098a29b6­2a6cba9dfc45d89?environmentId=100

Цитата
Уважаемый частный предприниматель!. Уведомляю Вас, что ваша Компания **** находящуюся по адресу **** нарушает действующее законодательство Российской Федерации. (ст.336.16 Налогового Кодекса РФ).
Мы пробовали связаться с вами по телефону +74722211131, однако Вас не застали.
Просим Вас ознакомиться с материалами производства, которые прикреплены к данному письму.

вместо вложения используется ссылка на документ в сети (*.zip)
Изменено: santy - 03.11.2016 07:34:27
Здравствуйте народ, вы меня заранее не судите строго, я в этом деле не особо шарю, но от делать нечего начал рыть после заражения email-iizomer@aol.com.ver-CL 1.2.0.0.id, и по дате и времени изменения файлов в том числе по всем системным файлам, и методом исключения нашел пару файлов совпадающих по времени заражения-появления (их - файлов) на компе, если кто считает это возможным Ключем к дешифровке откликнитесь, ну либо скажите что я ошибаюсь
 
Цитата
Николай Люхтин написал:
Здравствуйте народ, вы меня заранее не судите строго, я в этом деле не особо шарю, но от делать нечего начал рыть после заражения  email-iizomer@aol.com.ver-CL  1.2.0.0.id, и по дате и времени изменения файлов в том числе по всем системным файлам, и методом исключения нашел пару файлов совпадающих по времени заражения-появления (их - файлов) на компе, если кто считает это возможным Ключем к дешифровке откликнитесь, ну либо скажите что я ошибаюсь
Файлы расшифровать без 3 приватных ключей RSA невозможно.
Image 2.jpg (1.89 МБ)
Михаил
Спасибо за ответ, просто в одном из файлов, которые я нашел было что-то про открытый ключ RSA, но файл этот вроде-как виндовый, ,и добавить во вложение я его не могу,- т.к. тип файла oem43.CAT
Цитата
Николай Люхтин написал:
Спасибо за ответ, просто в одном из файлов, которые я нашел было что-то про открытый ключ RSA, но файл этот вроде-как виндовый, ,и добавить во вложение я его не могу,- т.к. тип файла oem43.CAT
В файлах RSA ключей нет. RSA ключи прописаны в самом шифровальщике.  
Михаил
сегодня в рассылке,
ссылка на самом деле ведет на другой адрес, который содержит js Nemucod,
который в свою очередь загружает шифратор da_vinci_code.

Цитата
Уважаемый налогоплательщик!

Произведен перерасчет. Подробнее Вы можете ознакомиться в отчете по ссылке http://nalog.ru/downloads/*****

С уважением,
Егоров Николай Григорьевич
ФНС России
похоже,
в скором времени придется создавать новую ветку для шифратора: Filecoder.ED/Ransom.Shade
https://www.virustotal.com/ru/file/a4f75c217d1a6072679025510647a46377a513dcb4a34b3f­e96a2eb75ac7bedc/analysis/1479796136/

уже есть примеры и пострадавшие.
5zAnhqzKWO8mKJqfhKq1jA==.************.no_more_ransom
видимо с сегодня уже заряжена в рассылки.
Пред. 1 ... 14 15 16 17 18 ... 26 След.
Читают тему (гостей: 3)