Вирус-шифровщик

Пивован
12/19/2014, 9:41:39 AM
Гадость, шифрующая файлы данных и предлагающая их восстановить за денежку, появилась года полтора назад. Раньше это было страшно, но далеко, а теперь увидел это дрянь воочию. Хорошо, что не у себя.
Вирус, как я понял из сбивчивых объяснений, пришел с письмом от якобы судебных приставов: бла-бла-бла, на вас наложен штраф, подробности в прицепе. Прицеп - вроде как вордовский файл. Юзер его попытался открыть и ...ц!
Видимо, файл имел двойное расширение типа doc.exe. Винда - сволочь! заднее расширение никогда не показывает, мол, это не вам, а системе. А юзер, видя знакомое doc, ни о чем не задумывается. И не надо сложных механизмов проникновения.
Вирус, или правильнее - диверсант, прошелся по винту и зашифровал все файлы данных: доки, таблицы, фотки и данные бухгалтерии. Файли переименовались в вид ххх id-{CCDEFGGGHIJKKLLMMNOPPPQRRSTUUUVWWXYY-18.12.2014 11@26@405895325}[email protected]
На десктопе предложение прислать письмо на указанное мыло, вам сообщат, на сколько вы попали. После оплаты, возможно, пришлют дешифратор.

Катим дальше.
Поиски в сети показали, что это один из многих случаев. Рапостраняются с письмами во вложениях. Отличаются картинкой десктопа и почтой, на какую писать вымогателю. Ну и, видимо, чем-то внутри.
Каспер на убитом винте ничего не нашел. Мне не понравился каталог Program Files\SUD INFORMER\ROS INFORM SOFT, в котором лежат ехешники svchost и update, явно с левой начинкой.
Пивован
12/19/2014, 9:57:41 AM
Восстановление данных.
Касперские после умных объяснений по оформлению заявки отказываются дешифровывать.
Др.Веб принимает заявы только от тех, у кого есть лицензия на его продукты. Первоначально как-то помогали, сейчас попритихли.
Всякие панацеи от перечисленных авторов и некоторые другие не спасли.
Есть мнение, что в шифровке использован алгоритм RSA с длиной ключа 1024 байта. Вскрыть - нереально. Ключ шифровки - свой для каждого компа.
В общем, картина Репина. Идти на поклон к вымогателю. Я - решил попробовать восстановление предыдущих версий файлов. В удаленных уже поиск сделал - голяк. После этого - формат С: и новая жизнь.

По предыдущим версиям по прошло - точка восстановления была в 2012 г. Все, формат.
Тем, кто еще не пострадал:
1. Бекап, бекап и еще раз ... На флешки, DVD, а не тот же винт. Дважды не забекапленная информация потеряна априори.
2. Для продвинутых - смотрите, что ташите. Сохранили на диск - посмотрели. Использование более адекватных файл-менеджеров может избавить от нежданной гадости. Тот же FAR спокойно отобразит все подленько спрятанные расширения, да еще и разукрасит. Ну и кнопочка F3 для просмотра сомнительного файла. Четко видно MZ в начале программ. Если в доке видишь такое - это не док. В общем, учите матчасть.
multiman3
12/26/2014, 11:07:10 AM
раньше не слышал про такие пакости. спасибо!
Ugols.law
12/30/2014, 5:02:10 PM
(Пивован @ 19.12.2014 - время: 07:57)
1. Бекап, бекап и еще раз ... На флешки, DVD, а не тот же винт. Дважды не забекапленная информация потеряна априори.
2. Для продвинутых - смотрите, что ташите. Сохранили на диск - посмотрели. Использование более адекватных файл-менеджеров может избавить от нежданной гадости. Тот же FAR спокойно отобразит все подленько спрятанные расширения, да еще и разукрасит. Ну и кнопочка F3 для просмотра сомнительного файла. Четко видно MZ в начале программ. Если в доке видишь такое - это не док. В общем, учите матчасть.

1. Воистину - если есть бекап важной информации, то дальше все просто, хоть винт об стену и новый ставить 00003.gif

2 Почему для продвинутых, это следует делать всем! Главное не стереть расширение =)) И не обязательно использовать спец. программы, тем более их как правило все равно надо настраивать под себя. Достаточно в проводнике нажать кнопку "alt" -> сервис -> параметры папок -> вид -> снять галку с "скрывать расширения для зарегистрированных типов файлов".

П.с.: Так лично сам пользуюсь total commander, настроенную под мои предпочтения, но она платная, но если не хочешь платить, то вначале придется нажать одну и трех цифр, которые прога попросит =))))
СтавСтас
2/8/2015, 4:06:15 PM
Полезная информация, спасибо. К счастью не сталкивался и, надеюсь, не столкнусь с подобной пакостью.
Важные файлы, тем более данные по финансам и т.д. - всегда храню вне компа, при необходимости подключаю. Ну и бэкап тоже присутствует.
Кетцаль
VIP
2/13/2015, 8:12:02 PM
Проблема уже не новая, в середине прошлого года сталкивался у одного клиента. От какого-то клиента пришло письмо с таким сюрпризом. Расшифровать самому - в некоторых случаях нереально, в некоторых случаях занимает недели. В бизнесе столь длительное отсутствие доступа к важным документам - недопустимо. Решение очень простое. Юзеры научены хранить всё самое важное на файловой шаре, которая бэкапится раз в сутки. Ничего критического и важного не ушло. Можно конечно заморачиваться с более серьёзными системами бэкапа, но дома или в малом бизнесе ничего такого обычно нет :)
Просто бэкапим важное - и всё. Например на внешний носитель с переключателем режима rw/ro, как на моднявых активных кейсах от Zalman. Либо на какую нибудь хранилку. Домашние варианты стоят копейки.

Ах да, стоял Каспер, с действующей лицензией но достаточно старой версией самого Каспера - 10ка. Но я уверен, что ни более новый Каспер, ни Нод32, ни другие антивирусы - данный сюрприз бы не обнаружили. Уже несколько раз сталкивался с подобными вещами на компах где стояли Nod, Др Веб..
Follow your heart to the light, Live your dream and breathe.. © Lacrimosa
Пивован
2/13/2015, 9:54:54 PM
13-е, пятница.
Ездил любоваться на очередные проделки каки. Кроме доков и фото, зашифровалась база 1С магазина. Бекапов не было...
Пивован
2/14/2015, 9:56:05 PM
Очередную дрянь поймали дома. Якобы, при поиске учебников. Тоже зашифровала все подряд. В названии файлов почтового адреса нет, расширение .xtbl
А вот Readme:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
******
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Кетцаль
VIP
2/15/2015, 6:21:30 AM
(Пивован @ 13.02.2015 - время: 19:54)
13-е, пятница.
Ездил любоваться на очередные проделки каки. Кроме доков и фото, зашифровалась база 1С магазина. Бекапов не было...

Надеюсь юзеры урок усвоили? :) Задумались о нормальных бэкапах?
С мозгами хуже, если люди любят открывать палёные ссылки или почтовые вложения - это тоже конечно в большинстве случаев "лечится", но дольше и сложнее. Для начала надо бэкап - потеря дня не так страшна, как потеря вообще всего.
Follow your heart to the light, Live your dream and breathe.. © Lacrimosa
Пивован
7/18/2015, 8:27:19 AM
Вновь посмотрел на работу нетонушей у чела дома. Поймал ребенок в Инете, внятно не знает, где. Все как в февральском посте. Мужик сразу форматировать винт отказался. Сказал ему, что восстановиться реально только через бабки вымогателю. Думает, на что-то надеется...
Tapochka
8/26/2015, 3:48:17 PM
За деньги обычно восстанавливают. если речь идёт о юр.лице и сумме не менее 20000 руб. Сам был дважды свидетелем. Зацепить шифровщик случайно - бред. Люди, что на этом зарабатывают, знают о жертве ВСЁ. Рассылается он целенаправленно по конкретную операционку.
Пивован
8/26/2015, 8:21:47 PM
В том-то и дело, что период целенаправленного бомбления прошел. Или исходники пошли в массы. Цепляют дома, самые простые челы, с которых особо ничего не поимеешь.
По расшифровке идет реклама конторок, которые за это берутся. Как они борят криптосотйкие алгоритмы с достаточно длинным ключом - не въезжаю. Сами вирусняк и распространяют?
Пивован
3/3/2017, 7:31:15 PM
Очередная инновация называется spora. Пошла с конца января. Шифрует документы, картинки, базы 1С, архивы. Расшифровка только за деньги - порядка $280. Но, есть мнение, что, во-первых, срабатывает не на 100%, и во-вторых, после 20-го февраля вымогатели снизили активность и ложатся на дно, т.е. деньги берут, а расшифровщик могут не прислать.
Распространяется в письмах от социальных сетей, типа "Ответ на заявку" и т.п. В письме вкладыш с двойным расширением. Первое PDF вопросов не вызывает, а второе HTA по доброй традиции Винды скрывается ей, т.к. оно ей знакомо. При попытке открыть вирус запускается и извольте бриться!
В корне дисков создается скрытый исполняемый файл со случайным именем размером примерно 770 кб, и HTML с именем вида RUxxx-xxx.. xxx - ID юзера, а в файле - инструкция по утрате денег.
Лезет на сетевые папки/диски. Заменяет ярлыки на ссылки на себя. Так что при попытке открыть сетевую папку на чистой машине получаем еще одну радость. Антивирусы его видят постфактум, деятельности не препятствуют, впрочем, левую ссылку на сетевой папке обнаруживают и лечат, не давая распространяться дальше.
Удалить не фокус руками, но толку, если расшифровать нельзя? Я вылечил зараженную машину полной перестановкой системы с форматированием дисков, перезаписью MBR и прочими танцами.
Совет:
1. постоянный бекап всего важного
2. не тянуть и не открывать всякую непонятную каку
3. если уж не втерпеж - песочница антивируса, просмотр полных расширений скачанного, тела файла вьювером кода (напр., в FARе все это есть просто по умолчанию, а PDF отличается от чего-то левого на ура)
Вот таких бы гадов ловили реально, а не Васю П. за "левую" Винду!
Alex KissIx
6/8/2018, 9:24:26 PM
К сожалению, вирусы-шифровальщики - это зло Абсолютное, ибо практически абсолютно неизлечимое.

Появление таких вирусов ожидалось уже давно, еще с начала 2000 годов.

Касперский и все прочие анти-вирусники - просто детские халтурщики, раз либо не догадывались о возможности появления такой дряни, либо догадывались, но подготовиться к ее появлению так и не смогли, то есть попросту капитулипровали и сдулись вконец изначально.

Но зато слишком оглушительно трубили о своих антивирусных подвигах, расписывая свои самодельные продуктики с базами как самую настоящую всемогущую панацею от любых напастей и невзгод

Впервые у моих знакомых эта гадость залетела в 2014 - 2015 гг.

Бороться - бесполезно пока что, платить - практически также бессмыслензно, поскольку присланные ключи-дешифровки вроде бы рассчитаны на замороженное состояние компьютера на момент шифрации и перестают срабатывать при малейшем изменении этого моментального состояния зашифрованного ящика