olejah
18.04.2013, 12:01
Уважаемые пользователи и гости портала VirusInfo.info!
Хотелось бы прояснить ситуацию с разными видами шифровальщиков. И предупредить еще раз всех - будьте внимательны, не дайте себя обмануть разными уловками!
Сначала подробнее остановимся на методах социальной инженерии, которыми пользуются в настоящее время распространители шифровальщиков:
В основном, в последнее время, это различного вида уведомления на электронную почту о какой-либо задолженности, отправитель якобы является банком, либо коллекторским агенством. Будьте очень бдительны и внимательны к подобного рода письмам. И ни в коем случае не запускайте/открывайте вложенные в такие письма файлы. Если у вас есть какие-либо дела с тем банком, от которого якобы пришло письмо, лучше непосредственно позвонить в этот банк и узнать у них всю нужную информацию.
Далее пройдемся во версиям:
- Так называемые Xorist'ы. Все новые версии попадают на компьютер жертвы с помощью предварительно внедренного Backdoor (http://ru.wikipedia.org/wiki/%D0%91%D1%8D%D0%BA%D0%B4%D0%BE%D1%80). Xorist запускаются вручную удаленно после открытой бэкдором дыры. После запуска, такая программа-шифровальщик ищет наиболее популярные расширения (.docdocx .xlsxlsx .key .mp3 .jpg .gif .waw .cfg .bmp .rar .zip .psd .jpeg), после чего, все найденное шифруется при помощи AES. После этого, зловред создает в корне системного диска текстовый файл с именем "Прочти Меня - как расшифровать файлы.txt" и запускает на выполнение. О тех. деталях одной из версий подробнее можно прочитать здесь - securelist.com (http://www.securelist.com/ru/descriptions/7163666/Trojan-Ransom.Win32.Xorist.j)
Также рекомендуется ознакомиться со статьей Лаборатории Касперского - Как бороться с вредоносными программами семейства Trojan-Ransom.Win32.Xorist (http://support.kaspersky.ru/2911?el=88446). Там подробно описаны признаки заражения и способы вылечить систему.
Примеры обращений с Xorist:
http://virusinfo.info/showthread.php?t=129440
http://virusinfo.info/showthread.php?t=128463
http://virusinfo.info/showthread.php?t=126976
http://virusinfo.info/showthread.php?t=122958
- Также сейчас популярны Rector+RSA. У новых версий этой разновидности есть крайне неприятная особенность - привязка к железу. Начиная где-то с варианта thyrex, дешифратор для каждого купившего накрывается защитой Armadillo, одной из опций в которой и есть привязка к железу. Потому пользователи теперь будут обречены на покупку. За компанию к RectorRSA и некоторым другим, скорее всего, может идти вор паролей от много чего. Так что это тоже надо учитывать, незамедлительно меняя все пароли.
Примеры обращений с Rector RSA:
http://virusinfo.info/showthread.php?t=122282
http://virusinfo.info/showthread.php?t=122544
http://virusinfo.info/showthread.php?t=120792
http://virusinfo.info/showthread.php?t=125463
http://virusinfo.info/showthread.php?t=108077
Пользователям, пострадавшим от lockdir.exe, рекомендуется ознакомиться с этими темами:
Список известных на данный момент кодов расшифровки шифровальщика lockdir.exe (http://virusinfo.info/showthread.php?t=120806)
Превентивные меры (http://virusinfo.info/showthread.php?t=122634)
Объединяемся в решении проблемы (http://virusinfo.info/showthread.php?t=120871)
P.S. Информация в этой теме будет дополняться. Также, вы сами можете дополнить ее.
Хотелось бы прояснить ситуацию с разными видами шифровальщиков. И предупредить еще раз всех - будьте внимательны, не дайте себя обмануть разными уловками!
Сначала подробнее остановимся на методах социальной инженерии, которыми пользуются в настоящее время распространители шифровальщиков:
В основном, в последнее время, это различного вида уведомления на электронную почту о какой-либо задолженности, отправитель якобы является банком, либо коллекторским агенством. Будьте очень бдительны и внимательны к подобного рода письмам. И ни в коем случае не запускайте/открывайте вложенные в такие письма файлы. Если у вас есть какие-либо дела с тем банком, от которого якобы пришло письмо, лучше непосредственно позвонить в этот банк и узнать у них всю нужную информацию.
Далее пройдемся во версиям:
- Так называемые Xorist'ы. Все новые версии попадают на компьютер жертвы с помощью предварительно внедренного Backdoor (http://ru.wikipedia.org/wiki/%D0%91%D1%8D%D0%BA%D0%B4%D0%BE%D1%80). Xorist запускаются вручную удаленно после открытой бэкдором дыры. После запуска, такая программа-шифровальщик ищет наиболее популярные расширения (.docdocx .xlsxlsx .key .mp3 .jpg .gif .waw .cfg .bmp .rar .zip .psd .jpeg), после чего, все найденное шифруется при помощи AES. После этого, зловред создает в корне системного диска текстовый файл с именем "Прочти Меня - как расшифровать файлы.txt" и запускает на выполнение. О тех. деталях одной из версий подробнее можно прочитать здесь - securelist.com (http://www.securelist.com/ru/descriptions/7163666/Trojan-Ransom.Win32.Xorist.j)
Также рекомендуется ознакомиться со статьей Лаборатории Касперского - Как бороться с вредоносными программами семейства Trojan-Ransom.Win32.Xorist (http://support.kaspersky.ru/2911?el=88446). Там подробно описаны признаки заражения и способы вылечить систему.
Примеры обращений с Xorist:
http://virusinfo.info/showthread.php?t=129440
http://virusinfo.info/showthread.php?t=128463
http://virusinfo.info/showthread.php?t=126976
http://virusinfo.info/showthread.php?t=122958
- Также сейчас популярны Rector+RSA. У новых версий этой разновидности есть крайне неприятная особенность - привязка к железу. Начиная где-то с варианта thyrex, дешифратор для каждого купившего накрывается защитой Armadillo, одной из опций в которой и есть привязка к железу. Потому пользователи теперь будут обречены на покупку. За компанию к RectorRSA и некоторым другим, скорее всего, может идти вор паролей от много чего. Так что это тоже надо учитывать, незамедлительно меняя все пароли.
Примеры обращений с Rector RSA:
http://virusinfo.info/showthread.php?t=122282
http://virusinfo.info/showthread.php?t=122544
http://virusinfo.info/showthread.php?t=120792
http://virusinfo.info/showthread.php?t=125463
http://virusinfo.info/showthread.php?t=108077
Пользователям, пострадавшим от lockdir.exe, рекомендуется ознакомиться с этими темами:
Список известных на данный момент кодов расшифровки шифровальщика lockdir.exe (http://virusinfo.info/showthread.php?t=120806)
Превентивные меры (http://virusinfo.info/showthread.php?t=122634)
Объединяемся в решении проблемы (http://virusinfo.info/showthread.php?t=120871)
P.S. Информация в этой теме будет дополняться. Также, вы сами можете дополнить ее.