Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > FAQ


Ответ
 
Опции темы Опции просмотра
Старый 07.02.2015, 13:29   #1 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию Шифровирусы шумной толпою

ctblocker.png

1. Откочевал недавно (с мая и до осени 2014г) и отплясал по нервам пользователей и ИТ сотрудников bat.encoder. Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и письмах. К печатному слову особенное доверие. "К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС, судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.
В основе такого поведения, конечно же, незнание того факта что исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat никак не могут быть офисным документом. Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.

На дворе стоит уже февраль 2015 г, и новый, не менее (а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000 руб!

Принцип работы команды злоумышленников тот же. Письмо, помимо цепляющего текста, содержит вложенный документ, который обычно является загрузчиком шифратора из сети. Расчет на законопослушных граждан, которые теряют бдительность при появлении в почте сообщений от невидимых (и неведомых) чиновников. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла: Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера)
мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com

2. encoder.567 / filecoder.CQ / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \progrmma
progrmma C:\Program Files\temp\WINRAR.EXE
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@a...er-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com

3. *protectdata@inbox.com
encoder.741 (DrWeb)/ Win32/Filecoder.DG (ESET)
пример файла шифратора: Архивная документация о привлечении в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$

4.*sos@xmail.com
Encoder.741 (DrWeb) / Win32/Filecoder.NAM (ESET)
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com

5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYN rERlLr1ORmAt73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run \Client Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .

6. СTB-locker (Curve-Тор-Bitcoin Locker)
/Critroni / Encoder.686 (DeWeb)/Ransom.Win32.Onion.y/ Filecoder.DA
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы проиписывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.ex e
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером

3. Что делать?

готовим сани к зиме летом, а систему безопасности укрепляем круглый год.

1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.
http://lib.aldebaran.ru/author/saimo...obmana.rtf.zip

2. настраиваем в локальных политиках безопасности правила ограниченного использования программ. С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
SRP - лучшая бесплатная защита от вирусов | Айти Лайн @ Компьютеры и сервис
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути
%UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать программу CryptoPrevent.
CryptoPrevent | Foolish IT

4. Если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.

Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных (удаленных) файлов.

Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневых копий тома. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.

(с), chklst.ru
safety вне форума   Ответить с цитированием
7 пользователя(ей) сказали cпасибо:
AlexZir (10.02.2015), Daniellos (17.04.2015), LeonCPb (22.02.2015), mike_ (07.02.2015), yarishNEW (22.02.2015), Николай_С (08.02.2015), Технарь (17.04.2015)
Старый 08.02.2015, 20:30   #2 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

Бесплатная расшифровка данных пользователей,

пострадавших в результате действий одной из модификаций троянской программы Trojan.Encoder, вымогающей за расшифровку деньги.
(сервис от компании DrWeb)
https://support.drweb.com/new/free_u...=&for_decode=1
safety вне форума   Ответить с цитированием
Старый 08.02.2015, 20:35   #3 (permalink)
Николай_С
Радиоинженер
 
Аватар для Николай_С
 
Регистрация: 25.09.2012
Адрес: г.Дзержинск Нижегородской обл.
Сообщений: 25,273
Записей в дневнике: 7
Сказал(а) спасибо: 291
Поблагодарили 219 раз(а) в 70 сообщениях
Репутация: 110185
По умолчанию

Спасибо, Александр, очень кстати Ваше сообщение. Меня как раз просили посмотреть груду зашифрованных файлов. Вот ужо на следующей неделе займусь... Проблема случилась летом 2014 г.
Николай_С вне форума   Ответить с цитированием
Старый 08.02.2015, 21:10   #4 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

Николай, к сожалению, вирлабы - не волшебники, хотя и творят порой чудеса. Далеко не все типы файлов могут быть расшифрованы. Подробнее, можно прочесть на сайте ДрВеб, какие виды шифраторов известны, и что они могут расшифровать.
Разновидности известных нам шифровальщиков - Помощь по лечению - Dr.Web forum
vmartyanov.ru

имеет смысл, при наличие времени посмотреть на другие методы возвращения утраченных данных: теневые копии тома, восстановление удаленных файлов с помощью утилит, но делать это надо сразу по горячим следам, пока еще не затерта эта информация на жестком диске пользователя.
safety вне форума   Ответить с цитированием
Старый 08.02.2015, 21:21   #5 (permalink)
Николай_С
Радиоинженер
 
Аватар для Николай_С
 
Регистрация: 25.09.2012
Адрес: г.Дзержинск Нижегородской обл.
Сообщений: 25,273
Записей в дневнике: 7
Сказал(а) спасибо: 291
Поблагодарили 219 раз(а) в 70 сообщениях
Репутация: 110185
По умолчанию

Увы, но эти методы недоступны.
Проблема случилась еще до принятия этой организации на обслуживание.
Резервировного копирования папок пользователей нет, файрвола нет, сервак виснет каждые 2-3 часа...
Как так можно работать?
Николай_С вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 09.02.2015, 10:05   #6 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

похоже, DrWeb умеет расшифровать Encoder.741, а это последние варианты: *protectdata@inbox.com, *sos@xmail.com, *xsmail@india.com
Помогите расшифровать*.JPG.id-4635957582_xsmail@india.com - Помощь по лечению - Dr.Web forum
очень много было подобных заражений в последнее время.
safety вне форума   Ответить с цитированием
Старый 10.02.2015, 12:26   #7 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

полезно знать об этом.

как работает защита системы.

Цитата:
Как и в Windows Vista, в Windows 7 защита и восстановление системы реализованы с помощью службы теневого копирования тома. Эта служба отслеживает изменения по всему разделу, и в этом большое отличие от Windows XP, где службой восстановления системы отслеживался лишь ключевой набор файлов системы и приложений. Однако пользовательские файлы не включаются в точки восстановления системы, поэтому возврат к предыдущей точке не приведет к потере документов и других файлов в вашем профиле. Тем не менее, служба теневого копирования тома следит за изменениями в пользовательских файлах, и вы можете восстановить их предыдущие версии.
safety вне форума   Ответить с цитированием
Старый 13.02.2015, 17:10   #8 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

иногда они возвращаются,
новая версия бат.энкодера опять замаячила на форумах.
Шифровальщик .vault
safety вне форума   Ответить с цитированием
Старый 21.02.2015, 17:23   #9 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

пример письма (с шифратором vault), к которому приложили руки соц_инженеры.

ссылка в письме ведет на вредоносный архив из сети.
при скачивании архива из сети, и запуска вложения из архива, ваши документы уже никогда не вернутся в первоначальное состояние, если только нет возможности их восстановления из архивных или теневых копий.

Цитата:
Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
1. Список документов.zip

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"
safety вне форума   Ответить с цитированием
Старый 22.02.2015, 00:14   #10 (permalink)
LeonCPb
Ретро
 
Аватар для LeonCPb
 
Регистрация: 14.02.2011
Сообщений: 2,060
Сказал(а) спасибо: 30
Поблагодарили 3 раз(а) в 2 сообщениях
Репутация: 12847
По умолчанию

Спасибо! Мне на работу пару раз приходили письма от странного адресата со ссылками на фотографии якобы для меня. Заранее был в курсе о шифровальщиках по сообщениям с "Эхо Москвы" на ссылку заходить не стал удалил письма.
Теперь вот еще. Как-то зарегистрировался на одном техническом форуме, но давно уже не заходил. Последнее время стали приходить оттуда сообщения на электронную почту со странными письмами, явно неадекватного характера и со ссылками. Тоже удаляю. Работаю с письмами только от тех кого я знаю.
LeonCPb вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 03:17.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.