thyrex
26.06.2014, 21:01
Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта.
Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
uncrpt@gmail_com
unstyx@gmail_com
unblck@gmail_com
paystyx@gmail_com
Примеры тем
http://forum.kaspersky.com/index.php?showtopic=296933
http://forum.kaspersky.com/index.php?showtopic=297336
http://virusinfo.info/showthread.php?t=162003
http://virusinfo.info/showthread.php?t=162070
и множество других…
Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (зачастую от известных пострадавшим пользователям отправителей)
Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
1. bat-файл, который и отвечает за процедуру шифрования
2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)
Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились
windows
temp
com_
Program
Common
AppData
Temporary Internet
Recycle
Intel
AppData
После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются
Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*
P.S. Оформление и дополнение темы через пару дней
Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
uncrpt@gmail_com
unstyx@gmail_com
unblck@gmail_com
paystyx@gmail_com
Примеры тем
http://forum.kaspersky.com/index.php?showtopic=296933
http://forum.kaspersky.com/index.php?showtopic=297336
http://virusinfo.info/showthread.php?t=162003
http://virusinfo.info/showthread.php?t=162070
и множество других…
Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной почте (зачастую от известных пострадавшим пользователям отправителей)
Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
1. bat-файл, который и отвечает за процедуру шифрования
2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)
Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились
windows
temp
com_
Program
Common
AppData
Temporary Internet
Recycle
Intel
AppData
После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются
Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*
P.S. Оформление и дополнение темы через пару дней