• Скрипт по почте или снова о шифровальщиках

    Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта.

    Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
    uncrpt@gmail_com
    unstyx@gmail_com
    unblck@gmail_com
    paystyx@gmail_com
    Примеры тем
    Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (зачастую от известных пострадавшим пользователям отправителей)

    Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
    1. bat-файл, который и отвечает за процедуру шифрования
    2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
    3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
    4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)

    Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
    Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились
    windows
    temp
    com_
    Program
    Common
    AppData
    Temporary Internet
    Recycle
    Intel
    AppData
    После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются

    Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*

    P.S. Оформление и дополнение темы через пару дней
    Эта статья изначально была опубликована в теме форума: Скрипт по почте или снова о шифровальщиках автор темы thyrex Посмотреть оригинальное сообщение
Page generated in 0.01362 seconds with 39 queries