Шифровирусы шумной толпою

RSS


1. Откочевал недавно (с мая и до осени 2014г) и отплясал  по нервам пользователей и ИТ сотрудников bat.encoder.
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и  письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам  социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС,  судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.

В основе такого поведения, конечно же, незнание того факта что исполняемые файлы
Код
*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta
никак не могут быть  офисным документом.
Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники  и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла:  Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. filecoder.CQ /encoder.567 / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                                                    
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)/
пример файла шифратора: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb) /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm­At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.


1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.


2. настраиваем в локальных политиках безопасности правила ограниченного использования программ.
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать CryptoPrevent.

-----------------
4. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
©, chklst.ru, forum.esetnod32.ru
Изменено: santy - 17.04.2018 12:09:39

Ответы

Пред. 1 ... 18 19 20 21 22 ... 25 След.
В любом случае рекомендую использовать лицензионный антивирус, если необходимо защищать в системе важные документы и задачи.
(тогда и проблем не будет с обращением в техподдержку, и оперативной помощью в расшифровке, если она необходима и возможна на текущий момент)
Это не ответ на мой вопрос.
в данном случае только техническая поддержка может вам ответить - возможна расшифровка и с какой вероятностью или нет.
это ответ на ваш вопрос.
Цитата
Николай Голяшов и опять же каковы шансы на расшифровку?
Думаю, что в вашем случае никаких.  
Михаил
Вымогатель RensenWare не требует выкуп, но заставляет пользователей сыграть в игру

https://xakep.ru/2017/04/10/rensenware/

+
http://id-ransomware.blogspot.ru/2017/04/rensenware.html
Изменено: RP55 RP55 - 13.04.2017 11:46:08
Michael Gillespie‏:
Dharma #Ransomware may have a new extension: ".onion". Spotted "http://config.sys.id -66813FE4.[felix_dies@aol.com].onion" on IDR

https://twitter.com/demonslay335/status/852959798815490048
ESET releases decryptor for AESNI ransomware variants, including XData

Цитата
Releasing master keys for older ransomware variants has become somewhat of a trend these days. Shortly after the release of the updated Crysis decryptor, master keys for some of the variants of the AES-NI family were published – specifically Win32/Filecoder.AESNI.B and Win32/Filecoder.AESNI.C, also known as XData.

Based on this, ESET experts have prepared an AES-NI decryption tool.

The tool works for files encrypted by the offline RSA key used by AES-NI variant B, which adds the extensions .aes256, .aes_ni, and .aes_ni_0day to the affected files, as well as files affected by AES-NI variant C (or XData) with the extensions .~xdata~.

https://www.welivesecurity.com/2017/05/31/eset-releases-new-decryption-tool-aes-ni-ransomware/
Group-IB: от хакерской атаки вируса Petya.A пострадали более 80 компаний РФ и Украины

В Group-IB заявили, что в результате хакерской атаки с помощью вируса-шифровальщика Petya.A пострадали более 80 компаний. Об этом RNS рассказал руководитель криминалистической лаборатории Group-IB Валерий Баулин.

«По нашим данным, в результате атаки с помощью вируса-шифровальщика Petya.A пострадали больше 80 компаний в России и на Украине», — сказал он. Баулин подчеркнул, что атака не связана с WannaCry.

Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445, подчеркнули в Group-IB. Ранее 27 июня хакерскую атаку на корпоративные серверы зафиксировала «Роснефть».

«На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», — сообщила компания в Twitter, уточнив, что по факту кибератаки «Роснефть» обратилась в правоохранительные органы.

В Group-IB сообщили, что вирус блокирует компьютеры и требует $300 в биткоинах.

«Среди жертв кибератаки оказались сети "Башнефти", "Роснефти", украинских компаний "Запорожьеоблэнерго", "Днепроэнерго" и Днепровской электроэнергетической системы, также заблокированы вирусной атакой Mondelēz International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), Приват Банк. Аэропорт "Борисполь", предположительно, также подвергся хакерской атаке», — указывает Group-IB.

+

https://twitter.com/GroupIB_GIB/status/879687387235971073


Цитата
Есть ранние признаки новой вспышки вымогательства, в настоящее время затрагивающей большое количество стран по всему миру, таких как Великобритания, Украина, Индия, Нидерланды, Испания, Дания и другие.

На момент написания этой статьи, внезапная вспышка меньше, чем WannaCry, но объем «значителен», по словам Костин Раю, исследователя «Лаборатории Касперского» и MalwareHunter, независимого исследователя безопасности.

Основным виновником этой атаки является новая версия Petya, которая позволяет шифровать таблицы MFT (Главное файловое дерево) для разделов NTFS и перезаписывать MBR (Master Boot Record) с помощью специального загрузчика, который показывает примечание о выкупе и предотвращает загрузку жертв Их компьютера.

Из-за этого Петя более опасен и навязчив по сравнению с другими штаммами, потому что он перезагружает системы и не позволяет им полностью работать.

https://www.bleepingcomputer.com/news/security/wannacry-d-j-vu-petya-ransomware-outbreak-wreaking-havoc-across-the-globe/

+

это видимо обновленный вариант Petja вместе в ETERNALBLUE - просто катастрофа

В социальных сетях выходят многочисленные сообщения о новой атаке на выкуп в Украине, которая может быть связана с семьей Петя, которая в настоящее время обнаруживается ESET как Win32 / Diskcoder.C Trojan. Если он успешно заражает MBR, он зашифрует весь диск. В противном случае он шифрует все файлы, такие как Mischa.

Для распространения, похоже, используется комбинация эксплойта SMB (EternalBlue), используемого WannaCry для доступа в сеть, а затем распространения через PsExec для распространения в сети.

Эта опасная комбинация может быть причиной того, что эта вспышка распространилась по всему миру и быстро, даже после того, как предыдущие вспышки вызвали заголовки СМИ и, надеюсь, большинство уязвимостей были исправлены. Для доступа в сеть требуется только один непропатченный компьютер, и вредоносное ПО может получать права администратора и распространяться на другие компьютеры.

https://www.welivesecurity.com/2017/06/27/new-ransomware-attack-hits-ukraine/
santy,Нод его определяет нормально? Не дает запуститься и начать шифрование? Разница между Петей и ВаннаКраем в принципе я так понял нету? Он по тем же путям заражает ПК? Спасибо
Пред. 1 ... 18 19 20 21 22 ... 25 След.
Читают тему (гостей: 2)