Скрипт по почте или снова о шифровальщиках

Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем, если две версии не получили массового распространения, то две других, особенно четвертая (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно, что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь и эта лазейка закрыта.

[u]Как опознать[/u]: файлы получают дополнительное расширение (в порядке появления версий)
[quote]uncrpt@gmail_com
unstyx@gmail_com
unblck@gmail_com
paystyx@gmail_com[/quote]

[u]Примеры тем[/u]
[quote][url]http://forum.kaspersky.com/index.php?showtopic=296933[/url]
[url]http://forum.kaspersky.com/index.php?showtopic=297336[/url]
[url]http://virusinfo.info/showthread.php?t=162003[/url]
[url]http://virusinfo.info/showthread.php?t=162070[/url]
и множество других…[/quote]

[u]Механизм распространения[/u]: вредоносный обфусцированный js-скрипт, который приходит по электронной почте ([b]зачастую от известных пострадавшим пользователям отправителей[/b])

[u]Механизм работы[/u]: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
1. bat-файл, который и отвечает за процедуру шифрования
2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA ([B][COLOR="#FF0000"]с длинным ключом, что делает нерациональным по временным меркам простой подбор ключа для дешифровки[/COLOR][/B])
3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)

Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar), пропуская скрытые и системные.
Не подлежат шифровке (как минимум в первой версии так было) файлы, в полном пути к которым встретились
[quote]windows
temp
com_
Program
Common
AppData
Temporary Internet
Recycle
Intel
AppData[/quote]

После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются

Сам bat-файл детектируется Лабораторией Касперского, как [b]Trojan-Ransom.Bat.Agent.*[/b]

P.S. Оформление и дополнение темы через пару дней

В новой модификации сам bat-файл извлекается из инсталлятора [url]https://www.virustotal.com/ru/file/509bdc9725d515f304d48617babb8c1f66f75bd7c89a8501f83cad1529db0180/analysis/[/url]

К файлам добавляется расширение [B].pzdc[/B]

Да и список файлов, подлежащих шифрованию несколько расширился
[QUOTE]*.txt *.bmp *.doc *.rtf *.xls *.docx *.xlsx *.pdf *.cs *.jpg *.jpeg *.gif *.cdr *.cpt *.psd *.rar *.zip *.7z *.ppt *.pptx *.mp3 *.ogg *.edb *.1cd *.dt[/QUOTE]

Из-за ошибки не шифруются файлы на диске [B]Y:[/B]

Исключение [U]не делается[/U] ни для одного файла

[url]http://virusinfo.info/showthread.php?t=163112[/url] - Очередная разновидность
[url]https://www.virustotal.com/ru/file/347be4f76d33798718a3601a98bc887ca39941d6b809c8b7d45901babd927cde/analysis/1405343416/[/url]

К зашифрованным файлам добавляется расширение [B].gpg[/B]. Судя по всему здесь тушка не отработала с переименованием.

На самом деле файлы должны получать дополнительное расширение [B].crypt[/B], как в теме [url]http://virusinfo.info/showthread.php?t=163149[/url]

В остальном все ничем не отличается от предыдущей модификации.

Есть две новости. Похоже обе радостные
1. Прислали дешифратор к последней версии (спасибо поделившемуся пользователю). Как оказалось универсальный. Но тестирую дальше.
2. DrWeb обещает расшифровку и для предыдущей версии

п.2 в моем предыдущем сообщении реализован [url]http://forum.drweb.com/index.php?showtopic=318058[/url]
Но доступен только лицензионным пользователям продуктов DrWeb

Дешифратор из п. 1 ушел в вирлаб ЛК. Утилиту обещают, о сроках неизвестно

Новости из Лаборатории Касперского

1. Данный шифровальщик выделен в отдельное семейство [B]Trojan-Ransom.BAT.Scatter[/B]
2. Разработана утилита для расшифровки некоторых модификаций данного шифровальщика, скачать которую можно по ссылке [URL="http://support.kaspersky.ru/11333"]ScatterDecryptor[/URL]

Начала распространение новая версия

[B][COLOR="#0000CD"]Примеры тем[/COLOR][/B]
[url]http://virusinfo.info/showthread.php?t=164306[/url]
[url]http://virusinfo.info/showthread.php?t=164313[/url]
[url]http://virusinfo.info/showthread.php?t=164317[/url]

По почте приходит zip-архив с именем [B]Счет на оплату (ТД Алмаз)[/B], в котором находится якобы документ Word (файл с длинным именем и имеет [U]двойное расширение[/U] [B]doc.js[/B]), а на самом деле js-скрипт, скачивающий компоненты шифровальщика и запускающий на выполнение cmd-файл

Файлы получают новое расширение [B]KEYBTC@GMAIL_COM[/B]

Шифруются файлы следующих типов
[SPOILER]*.xls *.xlsx *.xlsm *.doc *.docx *.pdf *.dwg *.slddrw *.cdr *.jpg *.jpeg *.ppt *.cd *.mdb *.accdb *.1cd *.rar *.zip *.ai *.svg *.max [/SPOILER]

Информация из вирлаба DrWeb [url]http://virusinfo.info/showthread.php?t=164313&p=1145065&viewfull=1#post1145065[/url]

Несколько обнадеживающая информация из лагеря DrWeb [url]http://forum.drweb.com/index.php?showtopic=318074&page=4#entry730442[/url] :)

Пошла новая волна

Новое расширение снова [B]paycrypt@gmail_com[/B]
[SPOILER=список шифруемых форматов]
[B]*.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf[/B][/SPOILER]

Простейшая защита от шифрования - создать на всякий случай файл [B]%temp%\paycrpt.bin[/B] (в предыдущей версии - [B]%temp%\crypti.bin[/B])