Банковский троян [B]Emotet[/B] был впервые обнаружен исследователями безопасности в 2014 году. Первоначально Emotet создавался как банковское вредоносное ПО, которое пыталось проникнуть на ваш компьютер и украсть конфиденциальную и личную информацию. В более поздних версиях программного обеспечения были добавлены службы рассылки спама и вредоносных программ, в том числе других банковских троянцев. Emotet использует функции, которые помогают избежать обнаружения программного обеспечения некоторыми продуктами для защиты от вредоносных программ. Emotet использует возможности червя для распространения на другие подключенные компьютеры. Это помогает в распространении вредоносного ПО. Эта функция позволила прийти к выводу, что Emotet является одним из наиболее дорогостоящих и разрушительных вредоносных программ, поражающих государственный и частный секторы, отдельных лиц и организации, а устранение которых обходится в 1 миллион долларов за инцидент.

[B]Что такое Emotet? [/B]Emotet - это троянец, который в основном распространяется через спам-сообщения (malspam). [B]Заражение может происходить либо через вредоносный сценарий, файлы документов с поддержкой макросов, либо через вредоносную ссылку.[/B] Электронные письма Emotet могут содержать знакомый брендинг, который выглядит как подлинное электронное письмо. Emotet может попытаться убедить пользователей щелкнуть вредоносные файлы, используя соблазнительные выражения о «вашем счете», «платежных реквизитах» или, возможно, о предстоящей доставке от известных компаний по доставке. Emotet прошел несколько итераций. Ранние версии поступали в виде вредоносного файла JavaScript. В более поздних версиях использовались документы с поддержкой макросов для извлечения полезной нагрузки вируса с серверов управления и контроля (C&C), запускаемых злоумышленниками. Emotet использует ряд уловок, чтобы предотвратить обнаружение и анализ. Примечательно, что Emotet знает, работает ли он внутри виртуальной машины (ВМ), и будет бездействовать, если обнаружит среду песочницы, которая является инструментом, который исследователи кибербезопасности используют для наблюдения за вредоносными программами в безопасном контролируемом пространстве. Emotet также использует C&C серверы для получения обновлений. Это работает так же, как и обновления операционной системы на вашем ПК, и может происходить плавно и без каких-либо внешних признаков. Это позволяет злоумышленникам устанавливать обновленные версии программного обеспечения, устанавливать дополнительные вредоносные программы, такие как другие банковские трояны, или действовать в качестве свалки для украденной информации, такой как финансовые учетные данные, имена пользователей и пароли, а также адреса электронной почты.

[B]Как распространяется Emotet? [/B]Основной метод распространения Emotet - вредоносный спам. Emotet просматривает ваш список контактов и отправляет его вашим друзьям, семье, коллегам и клиентам. Поскольку эти электронные письма поступают из вашей взломанной учетной записи электронной почты, электронные письма меньше похожи на спам, а получатели, чувствуя себя в безопасности, более склонны переходить по неправильным URL-адресам и загружать зараженные файлы. Если подключенная сеть присутствует, Emotet распространяется с использованием списка общих паролей, угадывая путь к другим подключенным системам в результате атаки грубой силы. Если пароль для важнейшего сервера отдела кадров - это просто «password», то, скорее всего, Emotet найдет там свой путь. Первоначально исследователи думали, что Emotet также распространяется с использованием уязвимостей EternalBlue / DoublePulsar, которые были ответственны за атаки WannaCry и NotPetya. Теперь мы знаем, что это не так. К такому выводу исследователей привел тот факт, что TrickBot, троянец, часто распространяемый Emotet, использует эксплойт EternalBlue для распространения по заданной сети. Это был TrickBot, а не Emotet, который воспользовался уязвимостями EternalBlue / DoublePulsar.

[B]Какова история Emotet?[/B] Впервые обнаруженный в 2014 году, Emotet продолжает заражать системы и причинять вред пользователям по сей день, поэтому мы до сих пор говорим об этом, в отличие от других тенденций 2014 года . Первая версия Emotet была разработана для кражи данных банковских счетов путем перехвата интернет-трафика. Вскоре после этого была обнаружена новая версия программного обеспечения. Эта версия, получившая название Emotet version 2, поставлялась с несколькими модулями, включая систему денежных переводов, модуль против спама и банковский модуль, предназначенный для немецких и австрийских банков. К январю 2015 года на сцене появилась новая версия Emotet. Третья версия содержала скрытые модификации, предназначенные для того, чтобы вредоносная программа оставалась незамеченной, и добавляла новые цели для швейцарских банков. Перенесемся в 2018 год - новые версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие трояны и программы-вымогатели. По данным Gizmodo, в июле 2019 года атака Emotet в Лейк-Сити, штат Флорида, обошлась городу в 460000 долларов в виде выплаты вымогателей. Анализ атаки показал, что Emotet служил только первоначальным вектором заражения. После заражения Emotet загрузил еще один банковский троян, известный как TrickBot и программу-вымогатель Ryuk. После относительно тихой работы на протяжении большей части 2019 года Emotet снова стал сильным. В сентябре 2019 года Malwarebytes Labs сообщила о спам-кампании, организованной ботнетами, нацеленной на жертв из Германии, Польши, Италии и Англии, с искусно сформулированными темами, такими как «Уведомление о переводе платежей» и «Просроченный счет». Открытие зараженного документа Microsoft Word запускает макрос, который, в свою очередь, загружает Emotet со взломанных сайтов WordPress.

«Текущие версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие банковские трояны или службы доставки вредоносного спама »

[B]На кого нацелен Emotet?[/B] Каждый является целью Emotet. На сегодняшний день Emotet атакует частных лиц, компании и государственные учреждения в Соединенных Штатах и Европе, похищая банковские логины, финансовые данные и даже биткойн-кошельки. Одна заслуживающая внимания атака Emotet на город Аллентаун, штат Пенсильвания, потребовала прямой помощи от группы реагирования на инциденты Microsoft для очистки и, как сообщается, стоила городу более 1 миллиона долларов для устранения. Теперь, когда Emotet используется для загрузки и доставки других банковских троянцев, список целей потенциально еще шире. Ранние версии Emotet использовались для атак на клиентов банков в Германии. Более поздние версии Emotet были нацелены на организации в Канаде, Великобритании и США.

[B] Как я могу защитить себя от Emotet?[/B] Вы уже делаете первый шаг к защите себя и своих пользователей от Emotet, узнав, как работает Emotet. Вот несколько шагов, которые вы можете предпринять: Держите компьютер / конечные точки в актуальном состоянии с помощью последних исправлений для Microsoft Windows. TrickBot часто поставляется в качестве полезной нагрузки Emotet, и мы знаем, что TrickBot полагается на уязвимость Windows EternalBlue для выполнения своей работы, поэтому исправляйте эту уязвимость, прежде чем киберпреступники смогут ею воспользоваться. Не загружайте подозрительные вложения и не переходите по сомнительным ссылкам. Emotet не сможет закрепиться в вашей системе или сети, если вы будете избегать этих подозрительных писем. Найдите время, чтобы обучить своих пользователей тому, как определять вредоносный спам. Обучите себя и своих пользователей созданию надежного пароля. Вы можете защитить себя и своих пользователей от Emotet с помощью надежной программы кибербезопасности, которая включает многоуровневую защиту.


https://www.malwarebytes.com/emotet/

--------------
пример работы Emotet

https://app.any.run/tasks/b8e10aa1-e3d9-4f6f-86fc-e428c9359537

Анализ Emotet:
[URL=https://blog.malwarebytes.com/threat-analysis/2018/05/malware-analysis-decoding-emotet-part-1/]Malware analysis: decoding Emotet, part 1 [/URL]

[URL=https://blog.malwarebytes.com/threat-analysis/2018/06/malware-analysis-decoding-emotet-part-2/]Malware analysis: decoding Emotet, part 2 [/URL]

11:18 / 28 Декабря, 2020

Динамика развития киберпреступности сигнализирует рынку о том, что основную массу угроз компании должны уметь отражать автоматически, но этого мало.

Все сетевые атаки можно классифицировать по цели, которую преследует злоумышленник. Изначально компьютерные «нападения» совершались с целью «повандалить» - например, разрабатывались вирусы, удаляющие важную информацию. С развитием информатизации преступники стали руководствоваться другими мотивами – извлечение финансовой выгоды, реализация конкурентной борьбы, решение разведывательных задач. Все чаще стали совершаться целевые атаки, направленные на взлом определенных сетей и компьютеров. В отличие от массовых нападений («взламывается все, что можно»), злоумышленник ищет возможность проникнуть в инфраструктуру вне зависимости от степени ее защищенности. Целевая атака может быть направлена на определенную организацию, отрасль экономики, государственные структуры. Со временем такие «нападения» становятся все более изощренными. Так, например, в 2020 году японский автоконцерн Honda подвергся атаке шифровальщика Snake, в результате чего компания была вынуждена приостановить производство на ряде предприятий

Для защиты от целевых атак не существует универсального рецепта, необходима «умная» защита на всех уровнях. Group-IB недавно представила продукт Threat Hunting Framework (THF), включающий в себя несколько модулей, каждый из которых несет ряд инноваций и по своей функциональности выходит за рамки существующих продуктовых категорий, по сути, определяя принципиально новые типы инструментов защиты от кибератак. Прежде всего, в продукте интересен сам подход – впервые он устанавливает единые стандарты защиты для таких разных окружений, как ИТ-инфраструктура, рабочие места (в том числе и удаленные), а так же технологические сети (ОТ), изолированные от сети Интернет. В итоге Threat Hunting Framework – сложный комплексный продукт, предназначенный для выявления целевых атак и неизвестных типов вредоносного ПО, предоставляющий автоматизированные инструменты для блокировки обнаруженных угроз, а также для расследования инцидентов информационной безопасности и реагирования на них как внутри, так и за пределами защищенного периметра организации.

THF помогает команде ИБ связывать разрозненные события вне и внутри сети, управлять данными для хантинга и прогнозировать новые атаки


 Подробнее: https://www.securitylab.ru/analytics/515120.php

[IMG WIDTH=1600 HEIGHT=800]https://www.bleepstatic.com/content/hl-images/2020/12/09/Qbot.jpg[/IMG]

[B]Новая версия вредоносного ПО Qbot теперь активирует свой механизм сохранения непосредственно перед выключением зараженных устройств Windows и автоматически удаляет все следы при перезагрузке системы или выходе из спящего режима.[/B]

Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) - это банковский троян для Windows с функциями червя, активными по крайней мере с 2009 года и используемыми для кражи банковских учетных данных, личной информации и финансовых данных.

Вредоносная программа также использовалась для регистрации нажатий клавиш пользователем, для установки бэкдоров на взломанных компьютерах и для развертывания маяков Cobalt Strike, используемых операторами программ-вымогателей для доставки полезных нагрузок программ-вымогателей ProLock и Egregor.

В недавних кампаниях жертвы Qbot были заражены с помощью фишинговых писем с вложениями документов Excel, выдаваемых за документы DocuSign.

Начиная с 24 ноября, когда исследователь угроз Binary Defense Джеймс Куинн сообщил, что была обнаружена новая версия Qbot, вредоносная программа использует более новый и скрытый механизм сохранения, который использует сообщения о завершении работы системы и возобновлении работы для переключения сохраняемости на зараженных устройствах.

«В то время как в первоначальных отчетах других исследователей говорилось, что в новой версии Qakbot был удален механизм сохранения ключа Run, он вместо этого был добавлен к более скрытому и интересному механизму сохранения, который прослушивает сообщения о завершении работы системы, а также PowerBroadcast Suspend / Resume сообщения ", - объясняет Куинн.

Троян добавит в реестр раздел Run в зараженных системах, который позволяет ему автоматически запускаться при входе в систему, и будет пытаться немедленно удалить его, как только пользователь включит питание или выйдет из спящего режима компьютер, чтобы избежать обнаружения антивирусными решениями или средствами безопасности.

Что делает эту технику незаметной, так это идеальное время, используемое разработчиками Qbot для внедрения ключа в реестр Windows.

Вредоносная программа только добавит ключ запуска перед тем, как система перейдет в спящий режим или выключится, но сделает это настолько близко к тому, что «продукты безопасности не смогут обнаружить новый ключ запуска и сообщить о нем».

Затем Qbot попытается удалить ключ сохранения несколько раз после того, как он снова запустится при пробуждении системы или входе в систему.

Хотя этот метод обеспечения устойчивости является новым для Qbot, другие вредоносные программы использовали аналогичные методы для уклонения от обнаружения в прошлом, в том числе банковские трояны Gozi и Dridex.

"Похоже, что два семейства вредоносных программ имеют схожий механизм в том смысле, что оба они прослушивают сообщения WM_QUERYENDSESSION и WM_ENDSESSION, чтобы определить, когда пользователь выходит из системы, но новая версия Qakbot идет дальше, также ища события питания, такие как WM_POWERBROADCAST и PBT_APMSUSPEND для установки своих перехватчиков, когда система также приостановлена »

Изменения в установке и конфигурации

Методика установки Qbot также была обновлена ​​в этой новой версии, поскольку она использует новую архитектуру DLL, которая объединяет загрузчик вредоносных программ и бота в одной DLL.

Ранее загрузчик избегал обнаружения автоматизированными системами «песочницы» вредоносных программ, сохраняя весь вредоносный код в отдельном компоненте DllRegisterServer и вызывая его только через regsvr32.exe или rundll32.exe при использовании определенных аргументов командной строки.

Новая версия упрощает эту технику, удаляя аргументы командной строки из процесса и переключая внедрение кода бота во вновь созданные процессы.

«Удаление переключателей командной строки и проверок анализа посредством создания нового процесса (при сохранении многих проверок антианализа и песочницы), механизм установки нового загрузчика происходит только после того, как бот был внедрен в explorer.exe»

https://www.bleepingcomputer.com/news/security/qbot-malware-switched-to-stealthy-new-windows-autostart-method/

[IMG WIDTH=1600 HEIGHT=800]https://www.bleepstatic.com/content/hl-images/2020/12/02/TrickBoot1.jpg[/IMG]

[B]Разработчики вредоносного ПО TrickBot создали новый модуль, который исследует уязвимости UEFI, демонстрируя усилия злоумышленника на уровне, который дал бы им полный контроль над зараженными машинами.
[/B]
Имея доступ к прошивке UEFI, злоумышленник установит на скомпрометированной машине контроль, который сохраняется после переустановки операционной системы или замены накопителей.

Вредоносный код, внедренный в прошивку (буткиты), невидим для решений безопасности, работающих поверх операционной системы, потому что он загружается раньше всего, на начальном этапе загрузки компьютера.

Буткиты позволяют контролировать процесс загрузки операционной системы и саботировать защиту на более высоком уровне. Поскольку код запускается на самой ранней стадии, механизм безопасной загрузки не помогает, так как он зависит от целостности прошивки.

Последствия, связанные с получением злоумышленником такого постоянного присутствия на машине, огромны, особенно в случае TrickBot, чье среднее ежедневное заражение может достигать нескольких тысяч.

[B]Ориентация на платформы Intel[/B]

Сегодня в совместном отчете отдела кибербезопасности Advanced Intelligence (AdvIntel) и исследователей из фирмы Eclypsium, занимающейся аппаратным обеспечением и безопасностью, представлены технические подробности о новом компоненте TrickBot.

На этом этапе TrickBoot действует как средство разведки, проверяя наличие уязвимостей в прошивке UEFI зараженной машины. На данный момент проверка нацелена только на платформы Intel (Skylake, Kaby Lake, Coffee Lake, Comet Lake). Тем не менее, модуль также включает в себя код для чтения, записи и стирания прошивки, поэтому его можно использовать для значительных повреждений.

Он проверяет, активна ли защита от записи UEFI / BIOS, с помощью драйвера RwDrv.sys от RWEverything, бесплатной утилиты, которая обеспечивает доступ к аппаратным компонентам, таким как микросхема флэш-памяти SPI, на которой хранится прошивка BIOS / UEFI системы.

Данный инструмент использовался в LoJax, первом рутките UEFI, обнаруженным в дикой природе, в результате атаки российских хакеров, известных как APT28 (Fancy Bear, Sednit, Strontium, Sofacy).

   «Все запросы к прошивке UEFI, хранящейся во флэш-чипе SPI, проходят через контроллер SPI, который является частью концентратора контроллеров платформы (PCH) на платформах Intel. Этот контроллер SPI включает механизмы контроля доступа, которые можно заблокировать во время процесса загрузки, чтобы предотвратить несанкционированное изменение прошивки UEFI, хранящейся в микросхеме флэш-памяти SPI »

- совместный отчет (Eclypsium, AdvIntel)

Исследователи говорят, что защита от записи BIOS / UEFI доступна в современных системах, но эта функция часто не активна или настроена неправильно, что позволяет злоумышленникам изменить прошивку или удалить ее, чтобы заблокировать устройство.

Исследователи обнаружили модуль 19 октября и назвали его TrickBoot, за его функциональность и название вредоносного ботнета, которое его развертывает.

В образце, проанализированном Advanced Intelligence, исследователи обнаружили имя «PermaDll», связанное с файлом «user_platform_check.Dll» в новом образце TrickBot.

Изучение файла с помощью Eclypsium показало, что злоумышленник реализовал механизм, который проверял однокристальный чипсет в скомпрометированной системе.

Исследователи обнаружили, что роль модуля заключалась в выполнении запросов PCH для определения конкретной модели PCH, запущенной в системе, таким образом идентифицируя платформу. Эта информация также позволяет злоумышленнику проверить, уязвима платформа или нет.

Исследователи также обнаружили, что актер использует функции известного инструмента эксплуатации встроенного ПО и библиотеки под названием fwexpl для следующих целей:

читать данные с аппаратных портов ввода-вывода
вызвать драйвер rwdrv.sys для записи данных в аппаратные порты ввода-вывода
вызвать драйвер rwdrv.sys для чтения данных из адресов физической памяти
вызвать драйвер rwdrv.sys для записи данных по адресам физической памяти

Исследователи отмечают, что если TrickBoot работает на платформе, отсутствующей в его таблице поиска, он активирует функцию с предварительно установленным Skylake набором значений по умолчанию для операций, требующих доступа к оборудованию.

После идентификации платформы TrickBoot обращается к путям, связанным с чтением регистров для флэш-памяти (SPIBAR, PRO-PR4) и управлением BIOS (BC - содержит биты блокировки защиты от записи для доступа к BIOS на аппаратном уровне).

Интересной находкой в функции, которая пытается отключить защиту от записи BIOS, является то, что она содержит ошибку, которая считывается с неправильного смещения в регистре управления BIOS, чтобы проверить, установлен ли бит отключения защиты от записи BIOS. Это приводит к тому, что код интерпретирует, что защита от записи активна, и пытается ее отключить.

[B]Основные последствия[/B]

[B]TrickBot, разрабатывающий такой модуль, ясно указывает на то, что злоумышленник прилагает усилия для расширения своего контроля над скомпрометированными системами. В ботнете уже есть тысячи зараженных машин, на которых злоумышленник может выбирать наиболее ценные цели.
[/B]
Телеметрия AdvIntel показывает, что ежедневное число заражений TrickBot с 3 октября по 21 ноября достигло пика в 40 000, а в среднем - от 200 до 4 000. Эти цифры консервативны, так как не учитываются зараженные компьютеры в частных сетях, которые взаимодействуют извне, используя IP-адрес шлюза.

Выбор наиболее прибыльных жертв осуществляется вручную на основе данных, полученных с помощью сценариев разведки, которые извлекают информацию из сетей, оборудования и программного обеспечения жертвы.

Операторы финансово мотивированы и используют ботнет для доставки программ-вымогателей Ryuk и Conti на дорогостоящие машины. С 2018 года они заработали не менее 150 миллионов долларов. Только у одной недавней жертвы они взяли 2200 BTC (на тот момент они оценивались в 34 миллиона долларов).

TrickBot - действительно киберпреступное предприятие, вовлеченное в несколько схем зарабатывания денег, включая банковское мошенничество и кражу финансовой / личной информации.

[B]Защита[/B]

Джесси Майкл, из Eclypsium, пишет, что определение того, была ли взломана система на уровне прошивки UEFI, является сложной задачей.

Более тщательный метод состоит в том, чтобы прочитать содержимое микросхемы памяти SPI, когда система выключена, путем физического подключения устройства программирования флэш-памяти SPI. Однако это решение требует не только опыта, но и длительного простоя компании, поскольку в некоторых случаях микросхема припаяна к материнской плате, и это сопряжено с риском проблем с чтением.

Другой метод - использовать инструменты с открытым исходным кодом (CHIPSEC) или платформу Eclypsium, которая ищет слабые места на уровне оборудования и прошивки, а также может определить, активна ли защита от записи BIOS.

Проверка хэшей прошивки также помогает определить, не был ли изменен код. Кроме того, обновление прошивки - хороший способ убедиться, что она не подвержена известным уязвимостям.

На основе анализа образца TrickBoot модуль только идентифицирует оборудование и проверяет, доступна ли запись в область BIOS. Но это можно легко изменить, чтобы разрешить запись во флэш-память SPI и изменить прошивку системы.

https://www.bleepingcomputer.com/news/security/trickbots-new-module-aims-to-infect-your-uefi-firmware/

Киберпреступная группа TrickBot выпустила сотую версию вредоносного ПО TrickBot с дополнительными функциями, позволяющими избежать обнаружения.

[IMG WIDTH=1250 HEIGHT=455]https://www.bleepstatic.com/content/hl-images/2017/09/03/TrickBot-Logo.png[/IMG]


[B]TrickBot[/B] - это вредоносное ПО, которое обычно устанавливается через вредоносные фишинговые сообщения электронной почты или другое вредоносное ПО. После установки TrickBot будет незаметно работать на компьютере жертвы, пока он загружает другие модули для выполнения различных задач.

Эти модули выполняют широкий спектр злонамеренных действий, включая кражу базы данных служб Active Directory домена, распространение в сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

Известно, что TrickBot завершает атаку, предоставляя доступ к злоумышленникам, стоящим за вымогателями [B]Ryuk и Conti[/B], что еще больше усугубляет ситуацию.

В TrickBot v100 добавлены новые функции

После того, как в прошлом месяце Microsoft и их партнеры провели скоординированную атаку на инфраструктуру TrickBot, появилась надежда, что им потребуется время, чтобы восстановиться.

К сожалению, TrickBot все еще не утихает, о чем свидетельствует выпуск сотой сборки вредоносного ПО TrickBot.

Эта последняя сборка была обнаружена Виталием Кремезом из Advanced Intel, который обнаружил, что они добавили новые функции, которые затрудняют обнаружение.

В этом выпуске TrickBot теперь внедряет свою DLL в легитимный исполняемый файл Windows wermgr.exe (Windows Problem Reporting) прямо из памяти с помощью кода из проекта MemoryModule.

«MemoryModule - это библиотека, которую можно использовать для полной загрузки DLL из памяти - без предварительного сохранения на диск», - поясняет страница проекта на GitHub.

Первоначально запущенный как исполняемый файл, TrickBot внедрится в wermgr.exe, а затем завершит работу исходного исполняемого файла TrickBot.

По словам Кремеза, при внедрении DLL она будет делать это с помощью Doppel Hollowing или обработки двойного соединения, чтобы избежать обнаружения программным обеспечением безопасности.

«Этот метод использует транзакции, функцию NTFS, которая позволяет сгруппировать набор действий в файловой системе, и если какое-либо из этих действий не удается, происходит полный откат. Процесс инжектора создает новую транзакцию, внутри которой он создает новый файл, содержащий вредоносную полезную нагрузку. Затем он сопоставляет файл внутри целевого процесса и, наконец, откатывает транзакцию. Таким образом, создается впечатление, что файл никогда не существовал, даже если его содержимое все еще находится в памяти процесса, "Описание этого метода, сделанное исследователем безопасности Франческо Мурони.

Как видите, кибергруппа TrickBot не позволила нарушению своей инфраструктуры сдерживать их, и они продолжают интегрировать новые функции, чтобы предотвратить обнаружение вредоносного ПО.

[B]К сожалению, это означает, что TrickBot останется с нами в обозримом будущем, а потребителям и предприятиям необходимо внимательно следить за тем, какие вложения электронной почты они открывают.[/B]

https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:


[QUOTE] .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; [b].chuk; .AHP; .lina; .TEREN; .cve; .WSHLP; .fresh; .FLYU; .gtsc; .dme; .Crypt; .259; .LCK; .kut; .SWP; .zimba; .help; .sss; .dex; .ZIN; .SUKA; .msf; .lock; .gac; .21btc; .mpr; .4help [/b] [/QUOTE]

Создана новая программа вакцины от программ-вымогателей, которая завершает процессы, пытающиеся удалить теневые копии тома с помощью программы Microsoft vssadmin.exe,

Каждый день Windows будет создавать резервные копии вашей системы и файлов данных и сохранять их в моментальных снимках теневого копирования томов.

Затем эти снимки можно использовать для восстановления файлов, если они были по ошибке изменены или удалены.

Поскольку заражение программами-вымогателями не хочет, чтобы жертвы использовали эту функцию для бесплатного восстановления файлов, одно из первых действий, которые они делают при запуске, - это удаление всех копий теневых томов на компьютере.

Один из способов удаления теневых томов - использовать следующую команду vssadmin.exe:

[code]vssadmin delete shadows /all /quiet[/code]
[b]Вакцина от программ-вымогателей Raccine[/b]

В эти выходные исследователь безопасности Флориан Рот выпустил вакцину-вымогатель[b] Raccine[/b], которая отслеживает удаление теневых копий тома с помощью команды vssadmin.exe.

«Мы довольно часто видим, как программы-вымогатели удаляют все теневые копии с помощью vssadmin. Что, если бы мы могли просто перехватить этот запрос и остановить процесс вызова? Давайте попробуем создать простую вакцину», - объясняет страница Raccine на GitHub.

[b]Raccine[/b] работает путем регистрации исполняемого файла raccine.exe в качестве отладчика для vssadmin.exe с помощью раздела реестра Windows с параметрами выполнения файла образа.

После регистрации raccine.exe в качестве отладчика при каждом запуске vssadmin.exe он также запускает Raccine, который проверяет, пытается ли vssadmin удалить теневые копии.

Если он обнаруживает, что процесс использует «vssadmin delete», он автоматически завершает процесс, что обычно выполняется до того, как программа-вымогатель начнет шифрование файлов на компьютере.

[img]https://www.bleepstatic.com/images/news/ransomware/raccine/raccine.jpg[/img]

Хотя этот метод предотвратит шифрование с помощью большого количества программ-вымогателей, некоторые современные семейства программ-вымогателей удаляют теневые тома с помощью других команд, перечисленных ниже.

[code]Get-WmiObject Win32_Shadowcopy | ForEach-Object {$ _. Delete ();}
WMIC.exe shadowcopy удалить / nointeractive[/code]

Для этих вариантов вымогателей Raccine в настоящее время не будет блокировать вымогателей, поскольку они не используют vssadmin.exe. Поддержка этих команд может быть добавлена в будущем.

Следует также отметить, что Raccine может прекратить работу законного программного обеспечения, которое использует vssadmin.exe как часть своих процедур резервного копирования.

Рот планирует добавить в будущем возможность разрешать определенным программам обходить Raccine, чтобы они не прекращались по ошибке.

[b]Как установить Raccine[/b]

Чтобы установить Raccine, вы можете выполнить следующие действия:

  Загрузите [b]Raccine.exe[/b] и используйте командную строку с повышенными привилегиями, чтобы скопировать его в папку C: \ Windows.
    [b]raccine-reg-patch.reg[/b] и дважды щелкните его. Когда он предложит вам объединить содержимое в реестр, позвольте ему сделать это.

Raccine теперь зарегистрирован как отладчик для команды vssadmin.exe, отслеживающей попытки удаления теневых копий тома.

Если вы обнаружите, что Raccine завершает работу законных программ, которые вы используете, вы можете удалить его, запустив файл реестра [b]raccine-reg-patch-uninstall.reg[/b] и удалив C: \ windows \ raccine.exe.

После удаления Raccine больше не будут завершаться процессы, пытающиеся удалить копии теневых томов с помощью vssadmin.exe.

https://www.bleepingcomputer.com/news/security/new-ransomware-vaccine-kills-programs-wiping-windows-shadow-volumes/
----------
версия 0.4.1
https://github.com/Neo23x0/Raccine/releases

День добрый!
подхватили шифровальщика, просьба помочь с расшифровкой файлов.


-----------
[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/SIZE]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE]
  .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;  [B].space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm [/B] [/QUOTE]

здесь можно вносить и обсуждать новые предложения по функционалу uVS

[QUOTE]Петр Петрович написал:
попался какой-то новый шифровальщик, зажал все документы. посмотрите, пожалуйста. приложил образ автозапуска и типовой заражённый файл.[/QUOTE]
это не Crysis, другой, неведомый(пока) шифратор.
Если есть записка о выкупе (info.hta), добавьте записку, + сделайте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/