[IMG WIDTH=480 HEIGHT=360]http://i004.radikal.ru/1501/7e/e7198c95e3fa.png[/IMG]
1. Откочевал недавно (с мая и до осени 2014г) и отплясал по нервам пользователей и ИТ сотрудников [B][URL=http://chklst.ru/forum/discussion/532/bat-encoder#Item_1]bat.encoder[/URL][/B].
Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС, судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.
[B]
В основе такого поведения, конечно же, незнание того факта что исполняемые файлы [CODE]*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta[/CODE] никак не могут быть офисным документом.[/B] Цена открытия подобных документов все более возрастает. для [B]bat.encoder[/B] стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.
Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.
На дворе стоит уже февраль 2015г, и новый, не менее(а может быть и более) технологичный шифратор, [B]ctb-locker[/B], он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!
Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.
1. [B]bat.encoder[/B]/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла: Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера) мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: [URL=mailto:
[email protected]]
[email protected][/URL] или [URL=mailto:
[email protected]]
[email protected][/URL]
2. [B]filecoder.CQ /encoder.567 [/B]/ Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma C:\Program Files\temp\WINRAR.EXE
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[URL=mailto:
[email protected]]
[email protected][/URL]
электронная почта злодеев: [URL=mailto:
[email protected]]
[email protected][/URL]
3. [B]*[URL=mailto:
[email protected]]
[email protected][/URL][/B]
[B]Win32/Filecoder.DG (ESET) / encoder.741 (DrWeb)[/B]/
пример файла шифратора: Архивная документация о привлечении в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено [URL=mailto:
[email protected]]
[email protected][/URL]
стоимость расшифровки: 200$
4.[B]*[URL=mailto:
[email protected]]
[email protected][/URL] [/B]
[B]Win32/Filecoder.NAM (ESET)/ Encoder.741 (DrWeb)[/B] /
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: [URL=mailto:
[email protected]]
[email protected][/URL]
5. [B]*.xtbl/Win32/Filecoder.ED [/B]
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORm
At73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client
Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: [URL=mailto:
[email protected]]
[email protected][/URL] или [URL=mailto:
[email protected]]
[email protected][/URL] .
6. СTB-locker (Curve-Тор-Bitcoin Locker)
Filecoder.DA /Critroni / [B]Encoder.686 (DrWeb)[/B]/Ransom.Win32.Onion.y/
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы прописывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
---------------------------------
3. что делать?
готовим сани к зиме летом, а систему безопасности укрепляем круглый год.
[IMG WIDTH=100 HEIGHT=302]http://royallib.com/data/images/187/cover_187862.jpg[/IMG]
1. для укрепления рубежа brain [URL=http://lib.aldebaran.ru/author/saimon_vilyam/saimon_vilyam_iskusstvo_obmana/saimon_vilyam_iskusstvo_obmana.rtf.zip]читаем классическую работу Кевина Митника The Art of Deception[/URL]-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.
2. настраиваем в локальных политиках безопасности [B][URL=http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov]правила ограниченного использования программ[/URL][/B][URL=http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov].[/URL]
С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути [B]%UserProfile%\Local Settings\*.exe[/B]
для автоматизации создания [B]правил ограниченного использования программ [/B]можно использовать [B][URL=http://www.foolishit.com/vb6-projects/cryptoprevent/]CryptoPrevent[/URL][/B][URL=http://www.foolishit.com/vb6-projects/cryptoprevent/].[/URL]
-----------------
4. если ваши файлы уже зашифрованы..
Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из [B]последней резервной копии[/B].
Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например [B]R-Studio или Photorec[/B] чтобы восстановить некоторые из ваших исходных файлов.
Метод 3: Shadow Volume Copies
[URL=http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#shadow]Пробуйте восстановить файлы с помощью теневого тома копий[/URL]. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
[B]©, chklst.ru, forum.esetnod32.ru[/B]
