thyrex
18.07.2016, 13:16
5 июля на форум фан-клуба Лаборатории Касперского обратились с проблемой Вирус зашифровал файлы cerber ('http://forum.kasperskyclub.ru/index.php?showtopic=50919'). Результаты осмотра не выявили характерных для Cerber сообщений для связи Cerber Ransomware Support and Help Topic - # DECRYPT MY FILES #.html/.txt/.vbs ('http://www.bleepingcomputer.com/forums/t/606583/cerber-ransomware-support-and-help-topic-decrypt-my-files-htmltxtvbs/')
Зато в файле HOW TO DECRYPT FILES.html была точная копия оставляемых им сообщений :)
Осмотр присланных файлов показал, что Cerber'а там нет и в помине, а есть старинушка Xorist. Утилитой от Emsisoft подобрал ключ и другие параметры шифрования. Но выдал пользовательнице свою утилиту, ибо не был уверен в ее способности правильно запустить подбор ключа. :)
Удалось раздобыть у иностранцев тушку и пришлось разбираться с MSIL. Такой способ распространения Xorist вижу впервые.
Сначала из ресурсов в память извлекается еще один MSIL-файл. Этот файл что-то типа конструктора. Сначала он расшифровывает конфигуратор с настройками дальнейшей работы. Детально с настройками не разбирался, но он может выдавать себя и за легальные программы (notepad.exe, svchost.exe и т.д.), и отладчик проверять, и блокировку диспетчера задач и редактора реестра, и т.д.
Сам шифратор имеет привычный вид после конструктора от Vazonez и тоже запускается вроде как прямо из памяти.
Остается неясным вопрос, почему он не может иногда менять расширения с первого захода и поэтому шифрует по несколько раз. Ну ладно с базами 1С такое может быть, но у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.
Пришлось целую инструкцию ('http://www.bleepingcomputer.com/forums/t/606583/cerber-ransomware-support-and-help-topic-decrypt-my-files-htmltxtvbs/#entry4038034') сочинять :)
Кстати, это не первый случай такого обмана. В теме на Вирусинфо Win32.Xorist.bl/Trojan.Encoder.94 [Trojan-Ransom.Win32.Xorist.bl ] (заявка № 201768) ('http://virusinfo.info/showthread.php?t=201768') Xorist выдавал себя по расширению за шифровальщика Neitrino (который тоже не расшифровать без помощи злодеев)
Зато в файле HOW TO DECRYPT FILES.html была точная копия оставляемых им сообщений :)
Осмотр присланных файлов показал, что Cerber'а там нет и в помине, а есть старинушка Xorist. Утилитой от Emsisoft подобрал ключ и другие параметры шифрования. Но выдал пользовательнице свою утилиту, ибо не был уверен в ее способности правильно запустить подбор ключа. :)
Удалось раздобыть у иностранцев тушку и пришлось разбираться с MSIL. Такой способ распространения Xorist вижу впервые.
Сначала из ресурсов в память извлекается еще один MSIL-файл. Этот файл что-то типа конструктора. Сначала он расшифровывает конфигуратор с настройками дальнейшей работы. Детально с настройками не разбирался, но он может выдавать себя и за легальные программы (notepad.exe, svchost.exe и т.д.), и отладчик проверять, и блокировку диспетчера задач и редактора реестра, и т.д.
Сам шифратор имеет привычный вид после конструктора от Vazonez и тоже запускается вроде как прямо из памяти.
Остается неясным вопрос, почему он не может иногда менять расширения с первого захода и поэтому шифрует по несколько раз. Ну ладно с базами 1С такое может быть, но у иностранцев и картинки (возможно и не только они) зашифрованы по несколько раз. Упоминались случаи и 5-6-кратной шифровки.
Пришлось целую инструкцию ('http://www.bleepingcomputer.com/forums/t/606583/cerber-ransomware-support-and-help-topic-decrypt-my-files-htmltxtvbs/#entry4038034') сочинять :)
Кстати, это не первый случай такого обмана. В теме на Вирусинфо Win32.Xorist.bl/Trojan.Encoder.94 [Trojan-Ransom.Win32.Xorist.bl ] (заявка № 201768) ('http://virusinfo.info/showthread.php?t=201768') Xorist выдавал себя по расширению за шифровальщика Neitrino (который тоже не расшифровать без помощи злодеев)