# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  .arest файлов или новый шифровальщик

## thyrex

В первой половине августа начал свою «деятельность» новый шифровальщик, использующий для шифрования файлов алгоритм AES. Шифрует все файлы на жестком диске со следующими расширениями (59 типов)



> .txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx,
> .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo,
> .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr,
> .frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx,
> .dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf,
> .xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl


По окончании шифрования выводит на экран картинку с сообщением

текст сообщения
Ваш идентификационный номер: ***
Ваш IP адрес: ************

Протокол 1637/04 системы контроля НРНП МВД РФ

Автоматизированная система по надзору за распространением нелегального программного обеспечения  Министерства Внутренних Дел Российской Федерации

Ваш компьютер заблокирован!


На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов: 

Загрузка и сохранение аудио  материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев.


На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав». 

Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок.


По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по  вашему  делу.

В письме будет указан код разблокировки.


Для оплаты штрафа следуйте инструкциям ниже:


Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу [email protected]. Для регистрации и разблокировки  вашей системы в письме необходимо указать: Идентификационый номер и IP адрес.


Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп.


Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать»


ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности

и т.д.Скрыть


*Механизм работы* (возможны неточности):

1. После запуска создает mutex с именем *SYSTEMMVDRF* для предотвращения запуска нескольких копий

2. Окно программы скрывается до момента окончания шифрования

3. В реестр записывается ключ автозапуска вируса при старте системы, сам файл сохраняется в папку Application Data (Windows XP) или AppData\Roaming (для систем выше XP) учетной записи пользователя, под которым происходило шифрование

4. Проверяется наличие параметров id и IP в реестре + наличие файла с ключом шифрования
- если это первый запуск (данных, естественно, еще нет), идет обращение к серверу, откуда приходит ключ шифрования (ключ шифруется и сохраняется на диск в папку с вирусом), а также id и IP, которые нужно указать при обращение за ключом. Шифрование начинается. Оригинальные файлы удаляются*** В каждую папку с зашифрованными файлами дополнительно сбрасывается файл WARNING.txt, дублирующий сообщение о шифровании
- если это не первый запуск, программа продолжает шифрование.

5. По окончании шифрования файл с ключом (похоже на то) стирается, а пользователя «радует» сообщение вымогателя

6. После оплаты и нажатия кнопки *Разблокировать*, проверяется валидность ключа: при шифровании в папке с вирусом создается файл с текстом 


> Спасибо!


, который попутно шифруется с остальными файлами, а при нажатии кнопки *Разблокировать* происходит его дешифровка и сравнение

*** При удалении файлов (будь то оригинальные файлы, временные файлы или зашифрованные) вирус трижды перезаписывает их мусорным кодом и только после этого удаляет

Шифровальщик детектируется Лабораторией Касперского как *Trojan-Ransom.Win32.Elcore.a*

P.S. В процессе анализа случайно запустил тело у себя, также случайно обнаружил и вовремя остановил. Да, кстати, механизм самозащиты у вируса оказался хилым, и он дал мне открыть диспетчер задач и снять процесс

----------

*Никита Соловьев*,  *Ilya Shabanov*,  *olejah*,  roddom,  Val_Ery,  *Дeнис*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## roddom

> ... Дальше работаю над профессиональной версией дешифратора.


Отличная новость! Ждем с нетерпением!

----------


## thyrex

Как показало испытание на файле другого пострадавшего, результат печальный - ключ не подходит.
И вместо расшифрованного файла на выходе имеем файл размером 0 байт

Потому универсального дешифратора не получится

----------


## ftoros

> В первой половине августа начал свою «деятельность» новый шифровальщик, использующий для шифрования файлов алгоритм AES. Шифрует все файлы на жестком диске со следующими расширениями (59 типов)
> 
> 5. По окончании шифрования файл с ключом (похоже на то) стирается, а пользователя «радует» сообщение вымогателя


а какие признаки у файла с ключом, может можно его восстановить и с его помощью как-то расшифровать файлы?
а то приходиться сейчас сидеть и набирать многие arestованные документы по памяти заново.

----------


## wild26

Добрый день! получилось ли создать "профессиональную версию дешифратора" ? а то даже электрический адрес злоумышленников не доступен ((( а файлы нужны.

----------


## thyrex

> "профессиональную версию дешифратора"


*Если есть в наличии файлы UpdatesLog.txt.arest и ok.txt.arest*, то дешифратор, который находится в разработке, должен помочь.  
Если таких файлов нет, увы

----------


## wild26

А если имеется только ok.txt.arest а UpdatesLog.txt.arest каким то загадочным образом исчез. пытаюсь восстановить.

----------


## thyrex

> UpdatesLog.txt.arest


Скорее всего по окончании шифрования он был удален самим вирусом (причем с троекратной перезаписью после удаления)
Потому помочь вряд ли будет возможно

----------

wild26

----------


## wild26

А если тело вируса запустить на виртуальной машине с таким же IP ? ну или на этой же машине , может что-нибудь получится или он по любому другой ID даст ? 
(Ваш идентификационный номер: 12  Ваш IP адрес: 94.255.103.176)
И вообще возможно ли создать условия чтоб повторился ключ шифрования, или тупо рандом?

----------


## thyrex

> А если тело вируса запустить на виртуальной машине с таким же IP ? ну или на этой же машине , может что-нибудь получится или он по любому другой ID даст ?


Это надо экспериментировать.

----------


## wild26

А можете скинуть тело вируса wild-w(a)xaker.ru

----------


## thyrex

Скачать дешифратор с описанием работы можно в данной теме

----------

Cassini,  FaGOD

----------


## Cassini

> Скачать дешифратор с описанием работы можно в данной теме


Спасибо за работу.
Без ключевых файлов, которые удалил и восстановить не удается - расшифровать будет все-таки  невозможно? 
Из зашифрованных файлов этот ключ не получится выудить???

----------


## thyrex

> Из зашифрованных файлов этот ключ не получится выудить???


Нет

----------

