Шифровирусы шумной толпою
1. Откочевал недавно (с мая и до осени 2014г) и отплясал по нервам пользователей и ИТ сотрудников bat.encoder. Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и письмах. К печатному слову особенное доверие. "К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС, судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.
В основе такого поведения, конечно же, незнание того факта что исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat никак не могут быть офисным документом. Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.
Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.
На дворе стоит уже февраль 2015 г, и новый, не менее (а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000 руб!
Принцип работы команды злоумышленников тот же. Письмо, помимо цепляющего текста, содержит вложенный документ, который обычно является загрузчиком шифратора из сети. Расчет на законопослушных граждан, которые теряют бдительность при появлении в почте сообщений от невидимых (и неведомых) чиновников. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.
1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла: Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера)
мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com
2. encoder.567 / filecoder.CQ / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma C:\Program Files\temp\WINRAR.EXE
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com
3. *protectdata@inbox.com
encoder.741 (DrWeb)/ Win32/Filecoder.DG (ESET)
пример файла шифратора: Архивная документация о привлечении в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$
4.*sos@xmail.com
Encoder.741 (DrWeb) / Win32/Filecoder.NAM (ESET)
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com
5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORmAt73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .
6. СTB-locker (Curve-Тор-Bitcoin Locker)
/Critroni / Encoder.686 (DeWeb)/Ransom.Win32.Onion.y/ Filecoder.DA
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы проиписывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
3. Что делать?
готовим сани к зиме летом, а систему безопасности укрепляем круглый год.
1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.
http://lib.aldebaran.ru/author/saim...obmana/saimon_vilyam_iskusstvo_obmana.rtf.zip
2. настраиваем в локальных политиках безопасности правила ограниченного использования программ. С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
SRP - лучшая бесплатная защита от вирусов | Айти Лайн @ Компьютеры и сервис
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути
%UserProfile%\Local Settings\*.exe
для автоматизации создания правил ограниченного использования программ можно использовать программу CryptoPrevent.
CryptoPrevent | Foolish IT
4. Если ваши файлы уже зашифрованы..
Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.
Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных (удаленных) файлов.
Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневых копий тома. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
(с), chklst.ru
1. Откочевал недавно (с мая и до осени 2014г) и отплясал по нервам пользователей и ИТ сотрудников bat.encoder. Первые - продолжают открывать все письма подряд, так как привыкли доверять тому что говорят по телевизору, и тому что печатают в газетах и письмах. К печатному слову особенное доверие. "К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС, судебная повестка по гражданскому делу и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.
В основе такого поведения, конечно же, незнание того факта что исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat никак не могут быть офисным документом. Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери важных документов, а отдельные работники, сотрудники и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.
Криптологического решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com до сих пор нет и скорее всего не будет.
На дворе стоит уже февраль 2015 г, и новый, не менее (а может быть и более) технологичный шифратор, ctb-locker, он же encoder.686, Critroni.A, FileCoder.DA, уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000 руб!
Принцип работы команды злоумышленников тот же. Письмо, помимо цепляющего текста, содержит вложенный документ, который обычно является загрузчиком шифратора из сети. Расчет на законопослушных граждан, которые теряют бдительность при появлении в почте сообщений от невидимых (и неведомых) чиновников. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.
1. bat.encoder/paycrypt/keybtc/
в сети появился примерно в мае-июне 2014 года.
запуск шифратора происходит из вложенного в архив zip js-скрипта.
для шифрования файлов используется легальная утилита GnuPG (v 1.4.18), скачиваемая из сети.
метод шифрования PGP, к исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com, paycrypt@gmail_com
пример зашифрованного файла: Паркет доска.doc.keybtc@gmail_com
файлы необходимые для расшифровки: KEY.UNIQUE (содержит список зашифрованных файлов), KEY.PRIVATE (содержит sec key из ключевой пары, созданной на стороне юзера)
мануал злоумышленников UNCRYPT.TXT содержит инструкцию по расшифровке документов после оплаты.
электронная почта злодеев: keybtc@gmail.com или paycrypt@gmail.com
2. encoder.567 / filecoder.CQ / Cryakl* /
файл шифратора маскируется под утилиту winrar.exe
после запуска шифратор прописывает в автозапуск в реестр, поэтому возможен повторный запуск шифратора после перезагрузки системы
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma C:\Program Files\temp\WINRAR.EXE
пример зашифрованного файла:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf
электронная почта злодеев: masfantomas@aol.com
3. *protectdata@inbox.com
encoder.741 (DrWeb)/ Win32/Filecoder.DG (ESET)
пример файла шифратора: Архивная документация о привлечении в качестве свидетеля по гражданскому делу №573265.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифрованного файла: к имени файла добавлено id-1838430874_protectdata@inbox.com
стоимость расшифровки: 200$
4.*sos@xmail.com
Encoder.741 (DrWeb) / Win32/Filecoder.NAM (ESET)
пример файла шифровальщика: Судебная повестка по гражданскому делу №17695.exe
файл шифратора копируется в папку автозапуска (StartUp) поэтому возможно продолжение шифрования, если оно не завершено.
пример зашифр. файла: url.txt.id-0944860228_sos@xsmail.com
5. *.xtbl/Win32/Filecoder.ED
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
62k2lvR1pid5uS5SAGR0VpQEjBgswoy8yDb9rq8a9X7KknbkYNrERlLr1ORmAt73.xtbl
файл шифратора прописывается в автозапуск:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
после завершения шифрования и перезапуска системы, остается в памяти.
e-mail: deshifrovka01@gmail.com или deshifrovka@india.com .
6. СTB-locker (Curve-Тор-Bitcoin Locker)
/Critroni / Encoder.686 (DeWeb)/Ransom.Win32.Onion.y/ Filecoder.DA
дата создания - июнь 2014 год
исполняемый файл, шифрующий документы проиписывается так же в планировщик задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
поэтому, после перезагрузки системы шифрование будет продолжено, если по каким то причинам не было завершено.
расширение зашифрованных файлов может быть случайным. например: *.onklibe
особенность данного шифратора в том, что он использует сеть TOR для связи с командным сервером
3. Что делать?
готовим сани к зиме летом, а систему безопасности укрепляем круглый год.
1. для укрепления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.
http://lib.aldebaran.ru/author/saim...obmana/saimon_vilyam_iskusstvo_obmana.rtf.zip
2. настраиваем в локальных политиках безопасности правила ограниченного использования программ. С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
SRP - лучшая бесплатная защита от вирусов | Айти Лайн @ Компьютеры и сервис
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути
%UserProfile%\Local Settings\*.exe
для автоматизации создания правил ограниченного использования программ можно использовать программу CryptoPrevent.
CryptoPrevent | Foolish IT
4. Если ваши файлы уже зашифрованы..
Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.
Метод 2: File Recovery Software
Похоже, что, когда CTB Locker шифрует файл, он сначала делает копию, шифрует копию, а затем удаляет оригинал.
Поэтому пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных (удаленных) файлов.
Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневых копий тома. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
(с), chklst.ru
. Некоторые горючими слезами умываются от потери именно личных файлов и за не имением копий. Пусть уж лучше бы пароли украли или банеры повесили, а то сразу порубали_пошинковали_и_пошифровали все полезные файлы.