# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Скрипт по почте или снова о шифровальщиках

## thyrex

Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта.

Как опознать: файлы получают дополнительное расширение (в порядке появления версий)



> [email protected]_com
> [email protected]_com
> [email protected]_com
> [email protected]_com


Примеры тем



> http://forum.kaspersky.com/index.php?showtopic=296933
> http://forum.kaspersky.com/index.php?showtopic=297336
> http://virusinfo.info/showthread.php?t=162003
> http://virusinfo.info/showthread.php?t=162070
> и множество других…


Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (*зачастую от известных пострадавшим пользователям отправителей*)

Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
1. bat-файл, который и отвечает за процедуру шифрования
2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (*с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки*)
3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)

Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились 



> windows
> temp
> com_
> Program
> Common
> AppData
> Temporary Internet
> Recycle
> Intel
> AppData


После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются

Сам bat-файл детектируется Лабораторией Касперского, как *Trojan-Ransom.Bat.Agent.**

P.S. Оформление и дополнение темы через пару дней

----------

Alaine,  *Никита Соловьев*,  Maximus_1982,  *mike 1*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## thyrex

В новой модификации сам bat-файл извлекается из инсталлятора https://www.virustotal.com/ru/file/5...0180/analysis/

К файлам добавляется расширение *.pzdc*

Да и список файлов, подлежащих шифрованию несколько расширился



> *.txt *.bmp *.doc *.rtf *.xls *.docx *.xlsx *.pdf *.cs *.jpg *.jpeg *.gif *.cdr *.cpt *.psd *.rar *.zip *.7z *.ppt *.pptx *.mp3 *.ogg *.edb *.1cd *.dt


Из-за ошибки не шифруются файлы на диске *Y:*

Исключение не делается ни для одного файла

----------

*olejah*

----------


## thyrex

http://virusinfo.info/showthread.php?t=163112 - Очередная разновидность
https://www.virustotal.com/ru/file/3...is/1405343416/

К зашифрованным файлам добавляется расширение *.gpg*. Судя по всему здесь тушка не отработала с переименованием.

На самом деле файлы должны получать дополнительное расширение *.crypt*, как в теме http://virusinfo.info/showthread.php?t=163149

В остальном все ничем не отличается от предыдущей модификации.

----------

*olejah*

----------


## thyrex

Есть две новости. Похоже обе радостные
 1. Прислали дешифратор к последней версии (спасибо поделившемуся пользователю). Как оказалось универсальный. Но тестирую дальше.
 2. DrWeb обещает расшифровку и для предыдущей версии

----------

*mike 1*,  *olejah*

----------


## thyrex

п.2 в моем предыдущем сообщении реализован http://forum.drweb.com/index.php?showtopic=318058
Но доступен только лицензионным пользователям продуктов DrWeb

Дешифратор из п. 1 ушел в вирлаб ЛК. Утилиту обещают, о сроках неизвестно

----------


## thyrex

Новости из Лаборатории Касперского

1. Данный шифровальщик выделен в отдельное семейство *Trojan-Ransom.BAT.Scatter*
2. Разработана утилита для расшифровки некоторых модификаций данного шифровальщика, скачать которую можно по ссылке ScatterDecryptor

----------

*mike 1*,  *olejah*

----------


## thyrex

Начала распространение новая версия

*Примеры тем*
http://virusinfo.info/showthread.php?t=164306
http://virusinfo.info/showthread.php?t=164313
http://virusinfo.info/showthread.php?t=164317

По почте приходит zip-архив с именем *Счет на оплату (ТД Алмаз)*, в котором находится якобы документ Word (файл с длинным именем и имеет двойное расширение *doc.js*), а на самом деле js-скрипт, скачивающий компоненты шифровальщика и запускающий на выполнение cmd-файл

Файлы получают новое расширение *[email protected]_COM*

Шифруются файлы следующих типов

Скрытый текст
*.xls *.xlsx *.xlsm *.doc *.docx *.pdf *.dwg *.slddrw *.cdr *.jpg *.jpeg *.ppt *.cd *.mdb *.accdb *.1cd *.rar *.zip *.ai *.svg *.max Скрыть


Информация из вирлаба DrWeb http://virusinfo.info/showthread.php...=1#post1145065

----------

Dukalisifns4,  IgorSPb,  JungleIsMassive,  *mike 1*,  *olejah*,  Дмитрий Юзепчук

----------


## thyrex

Несколько обнадеживающая информация из лагеря DrWeb http://forum.drweb.com/index.php?sho...=4#entry730442  :Smiley:

----------

JungleIsMassive

----------


## thyrex

Пошла новая волна

Новое расширение снова *[email protected]_com*

список шифруемых форматов

**.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf*Скрыть


Простейшая защита от шифрования - создать на всякий случай файл *%temp%\paycrpt.bin* (в предыдущей версии - *%temp%\crypti.bin*)

----------

*mrak74*,  *olejah*

----------

