Показано с 1 по 14 из 14.

.arest файлов или новый шифровальщик

  1. #1
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104

    .arest файлов или новый шифровальщик

    В первой половине августа начал свою «деятельность» новый шифровальщик, использующий для шифрования файлов алгоритм AES. Шифрует все файлы на жестком диске со следующими расширениями (59 типов)
    .txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx,
    .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo,
    .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr,
    .frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx,
    .dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf,
    .xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl
    По окончании шифрования выводит на экран картинку с сообщением

    текст сообщения

    Ваш идентификационный номер: ***
    Ваш IP адрес: ************

    Протокол 1637/04 системы контроля НРНП МВД РФ

    Автоматизированная система по надзору за распространением нелегального программного обеспечения Министерства Внутренних Дел Российской Федерации

    Ваш компьютер заблокирован!


    На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов:

    Загрузка и сохранение аудио материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев.


    На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав».

    Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок.


    По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по вашему делу.

    В письме будет указан код разблокировки.


    Для оплаты штрафа следуйте инструкциям ниже:


    Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу [email protected]. Для регистрации и разблокировки вашей системы в письме необходимо указать: Идентификационый номер и IP адрес.


    Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп.


    Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать»


    ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности

    и т.д.
    Скрыть


    Механизм работы (возможны неточности):

    1. После запуска создает mutex с именем SYSTEMMVDRF для предотвращения запуска нескольких копий

    2. Окно программы скрывается до момента окончания шифрования

    3. В реестр записывается ключ автозапуска вируса при старте системы, сам файл сохраняется в папку Application Data (Windows XP) или AppData\Roaming (для систем выше XP) учетной записи пользователя, под которым происходило шифрование

    4. Проверяется наличие параметров id и IP в реестре + наличие файла с ключом шифрования
    - если это первый запуск (данных, естественно, еще нет), идет обращение к серверу, откуда приходит ключ шифрования (ключ шифруется и сохраняется на диск в папку с вирусом), а также id и IP, которые нужно указать при обращение за ключом. Шифрование начинается. Оригинальные файлы удаляются* В каждую папку с зашифрованными файлами дополнительно сбрасывается файл WARNING.txt, дублирующий сообщение о шифровании
    - если это не первый запуск, программа продолжает шифрование.

    5. По окончании шифрования файл с ключом (похоже на то) стирается, а пользователя «радует» сообщение вымогателя

    6. После оплаты и нажатия кнопки Разблокировать, проверяется валидность ключа: при шифровании в папке с вирусом создается файл с текстом
    Спасибо!
    , который попутно шифруется с остальными файлами, а при нажатии кнопки Разблокировать происходит его дешифровка и сравнение

    * При удалении файлов (будь то оригинальные файлы, временные файлы или зашифрованные) вирус трижды перезаписывает их мусорным кодом и только после этого удаляет

    Шифровальщик детектируется Лабораторией Касперского как Trojan-Ransom.Win32.Elcore.a

    P.S. В процессе анализа случайно запустил тело у себя, также случайно обнаружил и вовремя остановил. Да, кстати, механизм самозащиты у вируса оказался хилым, и он дал мне открыть диспетчер задач и снять процесс
    Последний раз редактировалось thyrex; 10.09.2012 в 20:55.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect


  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    20.08.2012
    Сообщений
    2
    Вес репутации
    43
    Цитата Сообщение от thyrex Посмотреть сообщение
    ... Дальше работаю над профессиональной версией дешифратора.
    Отличная новость! Ждем с нетерпением!

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Как показало испытание на файле другого пострадавшего, результат печальный - ключ не подходит.
    И вместо расшифрованного файла на выходе имеем файл размером 0 байт

    Потому универсального дешифратора не получится
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    5
    Вес репутации
    43
    Цитата Сообщение от thyrex Посмотреть сообщение
    В первой половине августа начал свою «деятельность» новый шифровальщик, использующий для шифрования файлов алгоритм AES. Шифрует все файлы на жестком диске со следующими расширениями (59 типов)

    5. По окончании шифрования файл с ключом (похоже на то) стирается, а пользователя «радует» сообщение вымогателя
    а какие признаки у файла с ключом, может можно его восстановить и с его помощью как-то расшифровать файлы?
    а то приходиться сейчас сидеть и набирать многие arestованные документы по памяти заново.

  6. #5
    Junior Member Репутация
    Регистрация
    13.08.2012
    Сообщений
    5
    Вес репутации
    43
    Добрый день! получилось ли создать "профессиональную версию дешифратора" ? а то даже электрический адрес злоумышленников не доступен ((( а файлы нужны.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от wild26 Посмотреть сообщение
    "профессиональную версию дешифратора"
    Если есть в наличии файлы UpdatesLog.txt.arest и ok.txt.arest, то дешифратор, который находится в разработке, должен помочь.
    Если таких файлов нет, увы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2012
    Сообщений
    5
    Вес репутации
    43
    А если имеется только ok.txt.arest а UpdatesLog.txt.arest каким то загадочным образом исчез. пытаюсь восстановить.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от wild26 Посмотреть сообщение
    UpdatesLog.txt.arest
    Скорее всего по окончании шифрования он был удален самим вирусом (причем с троекратной перезаписью после удаления)
    Потому помочь вряд ли будет возможно
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. Это понравилось:


  11. #9
    Junior Member Репутация
    Регистрация
    13.08.2012
    Сообщений
    5
    Вес репутации
    43
    А если тело вируса запустить на виртуальной машине с таким же IP ? ну или на этой же машине , может что-нибудь получится или он по любому другой ID даст ?
    (Ваш идентификационный номер: 12 Ваш IP адрес: 94.255.103.176)
    И вообще возможно ли создать условия чтоб повторился ключ шифрования, или тупо рандом?
    Последний раз редактировалось wild26; 04.09.2012 в 10:34.

  12. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от wild26 Посмотреть сообщение
    А если тело вируса запустить на виртуальной машине с таким же IP ? ну или на этой же машине , может что-нибудь получится или он по любому другой ID даст ?
    Это надо экспериментировать.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #11
    Junior Member Репутация
    Регистрация
    13.08.2012
    Сообщений
    5
    Вес репутации
    43
    А можете скинуть тело вируса wild-w(a)xaker.ru

  14. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачать дешифратор с описанием работы можно в данной теме
    Последний раз редактировалось thyrex; 10.09.2012 в 20:59.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. Это понравилось:


  16. #13
    Junior Member Репутация
    Регистрация
    11.09.2012
    Сообщений
    2
    Вес репутации
    43
    Цитата Сообщение от thyrex Посмотреть сообщение
    Скачать дешифратор с описанием работы можно в данной теме
    Спасибо за работу.
    Без ключевых файлов, которые удалил и восстановить не удается - расшифровать будет все-таки невозможно?
    Из зашифрованных файлов этот ключ не получится выудить???

  17. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Cassini Посмотреть сообщение
    Из зашифрованных файлов этот ключ не получится выудить???
    Нет
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Ответов: 13
    Последнее сообщение: 12.09.2012, 08:48
  2. Вирус - шифровальщик файлов jpeg pdf mp3 и так далее
    От DenisBerezhnoy в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.05.2012, 17:54
  3. Ответов: 2
    Последнее сообщение: 22.05.2012, 17:30
  4. Новый шифровальщик файлов doc xls jpeg...
    От SAMoWAR в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 13.03.2012, 23:34
  5. Вирус шифровальщик файлов!
    От Лев Таптунов в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 19.10.2011, 21:55

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00754 seconds with 19 queries