-
Скрипт по почте или снова о шифровальщиках
Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта.
Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
uncrpt@gmail_com
unstyx@gmail_com
unblck@gmail_com
paystyx@gmail_com
Примеры тем
Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (зачастую от известных пострадавшим пользователям отправителей)
Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
1. bat-файл, который и отвечает за процедуру шифрования
2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)
Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились
windows
temp
com_
Program
Common
AppData
Temporary Internet
Recycle
Intel
AppData
После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются
Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*
P.S. Оформление и дополнение темы через пару дней
Последний раз редактировалось thyrex; 30.06.2014 в 20:53.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В новой модификации сам bat-файл извлекается из инсталлятора https://www.virustotal.com/ru/file/5...0180/analysis/
К файлам добавляется расширение .pzdc
Да и список файлов, подлежащих шифрованию несколько расширился
*.txt *.bmp *.doc *.rtf *.xls *.docx *.xlsx *.pdf *.cs *.jpg *.jpeg *.gif *.cdr *.cpt *.psd *.rar *.zip *.7z *.ppt *.pptx *.mp3 *.ogg *.edb *.1cd *.dt
Из-за ошибки не шифруются файлы на диске Y:
Исключение не делается ни для одного файла
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
http://virusinfo.info/showthread.php?t=163112 - Очередная разновидность
https://www.virustotal.com/ru/file/3...is/1405343416/
К зашифрованным файлам добавляется расширение .gpg. Судя по всему здесь тушка не отработала с переименованием.
На самом деле файлы должны получать дополнительное расширение .crypt, как в теме http://virusinfo.info/showthread.php?t=163149
В остальном все ничем не отличается от предыдущей модификации.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Есть две новости. Похоже обе радостные
1. Прислали дешифратор к последней версии (спасибо поделившемуся пользователю). Как оказалось универсальный. Но тестирую дальше.
2. DrWeb обещает расшифровку и для предыдущей версии
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
п.2 в моем предыдущем сообщении реализован http://forum.drweb.com/index.php?showtopic=318058
Но доступен только лицензионным пользователям продуктов DrWeb
Дешифратор из п. 1 ушел в вирлаб ЛК. Утилиту обещают, о сроках неизвестно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Новости из Лаборатории Касперского
1. Данный шифровальщик выделен в отдельное семейство Trojan-Ransom.BAT.Scatter
2. Разработана утилита для расшифровки некоторых модификаций данного шифровальщика, скачать которую можно по ссылке ScatterDecryptor
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Начала распространение новая версия
Примеры тем
http://virusinfo.info/showthread.php?t=164306
http://virusinfo.info/showthread.php?t=164313
http://virusinfo.info/showthread.php?t=164317
По почте приходит zip-архив с именем Счет на оплату (ТД Алмаз), в котором находится якобы документ Word (файл с длинным именем и имеет двойное расширение doc.js), а на самом деле js-скрипт, скачивающий компоненты шифровальщика и запускающий на выполнение cmd-файл
Файлы получают новое расширение KEYBTC@GMAIL_COM
Шифруются файлы следующих типов
Скрытый текст
*.xls *.xlsx *.xlsm *.doc *.docx *.pdf *.dwg *.slddrw *.cdr *.jpg *.jpeg *.ppt *.cd *.mdb *.accdb *.1cd *.rar *.zip *.ai *.svg *.max
Скрыть
Информация из вирлаба DrWeb http://virusinfo.info/showthread.php...=1#post1145065
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Пошла новая волна
Новое расширение снова paycrypt@gmail_com
список шифруемых форматов
*.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdfСкрыть
Простейшая защита от шифрования - создать на всякий случай файл %temp%\paycrpt.bin (в предыдущей версии - %temp%\crypti.bin)
Последний раз редактировалось thyrex; 19.08.2014 в 23:01.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-