[ОТВЕТИТЬ]
20.10.2014 07:30
aldemko
 
С сарафанной почтой, по высокоскоростным сетям передачи данных, пришла новость о новом вирусе, проникающем в систему и сканирующим файловую структуру и сетевые диски на наличие определенных файлов по маске расширений, т.е выискивает документы Microsoft Office, pdf, изображения и прочие, важные для конечного пользователя файлы.
После того, как документы найдены, зловред шифрует их, с использованием алгоритма ассимитричного шифрования RSA-1024 (Rivest-Shamir-Adleman), и выдает страницу, на которой это все описывается и предлагается занести денег на домики талантливым программистам. Конечная сумма варьируется в зависимости от количеств зашифрованных файлов.



Сегодня один из менеджеров словил такое чудо. Все файлы переименовались и имели доп расширение.
Я сразу выключил комп, загрузился с флешки, проверил термя антивирями, каждый чтото нашел и грохнул.
Затем зашел в безопасный режим, с помощью тотал кмд, нашел все файлы имеющие доп расширение, и убрал его.
Файлы читабельны и не зашифрованы.
Не пойму, или в чем то подвох, или я успел выключить ПК и проверить его, либо он ничего не шифрует вовсе, кроме как добавляет доп расширение, которое не позволяет открыть документ.
Кто сталкивался ?


PS при включении компа, все равно блокнотик открывается с "коммерческим " предложением.
сейчас пытаюсь найти по имени файла этот документик. - Нашел в реестре был прописан, вызывался в виде WinHelp при включении пк
20.10.2014 08:37
aldemko
 
Да, ни одного пункта их "Тех справки для сис админа" не делал, боюсь что файл который они просят запустить, и приведет к реальному кодированию айлов
20.10.2014 08:49
OlegON
 
Антивирусом Зайцева смотрел уже? Сейчас-то в чем проблема, вылечил?
20.10.2014 09:00
aldemko
 
Проблема, в отсутствии проблемы.
Так как я везде в интернете читал что файлы шифруются и все ппц забыть про них, и мол удалить его ну никак нельзя, я не пойму в чем подвох ?
а вдруг завтра эти файлы реально заблокируются на всегда.
Почему файлы не зашифровались, почему решение такое простое, массовое переименование.
зайцеваым, в первую же очередь с загрузочной флешки проверил. удалил все что нашел.
Но почитав в интернете, это даже не вирус, технология легальна (RSA) при шифровке у всех просит ключ, у меня не просил ничего ибо не запускал нчиего лишнего после сообщения.
Хотелось бы знать профилактику данного действия ?
полный бэкап уже сделал, но вдруг файлы в бэкапе по истечению суток, как описано в предупреждении заблокируются

PS копию архива сохранил. пока не знаю зачем, но мало ли подсказки там какие, пути и так далее
20.10.2014 09:10
OlegON
 
RSA-алгоритм шифрования, вирус, если он есть, шифрует документы этим шифрованием. Сами по себе файлы не заблокируются, кто-то должен блокиратор запустить.
Перепиши в хранилище на Linux, разделение платформ достаточно хорошо влияет на вирусобезопасность.
"Удалил, что нашел" неправильный вариант. Надо еще и понять, что удалил.
20.10.2014 09:15
aldemko
 
Может ли быть пункт 1 в инструкции так называемой, запуском механизма шифрования ?
Просто я не пойму, почему эту проблему и решение обсуждают по всем форумам антивирусников и не могут решить проблему, а я просто переименовал файлы, хотя возможно они как раз и запустили файл что бы убедится что попросит некий ключ а тем временем шифрует файлы.
у меня пока только ShareCenter от D-link, копирую на него
20.10.2014 09:22
aldemko
 
в общем, на выходных, из гаража запчастей старых наберу, соберу пк, установлю винду. и посмотрю на каком этапе происходит это шифрование файлов.
Антивирусом буду проверять после каждой стадии, и выписывать изменения.
Затем отпишусь сюда что и как вышло.
Может на будущее кому то пригодится
20.10.2014 09:23
OlegON
 
вполне возможно, что просто не успел зашифровать, убедись, что все документы целы... при копировании не забудь потом доступ к ресурсу перекрыть, а то какая-то машина может и в шару залезть, чтобы попереименовывать.
20.10.2014 09:55
Ferus
 
Еще вариант, студента-подражателя, решил бабосика срубить, кто-то ведь клюнет на это
20.10.2014 10:12
aldemko
 
Цитата:
Ferus Еще вариант, студента-подражателя, решил бабосика срубить, кто-то ведь клюнет на это
судя по нарытым данным в интернете, врятле студент. И бабосиков просят от 300 евро и до 1000 (ну это из примеров которые я вычитал в интернете), бабосики на биткоины и все ищи в сене иголку.
Я просто не пойму - да такого просто быть не может, я первый додумался переименовать расширение документов в прежнее ?
в интернете ситуации только когда файлы уже зашифрованы, а я экстренно вырубил комп, через флешку погонял антивирусам и, убрал из реестра все ключи с словами связанными с этим вирсом, затем через тотал переименовал и все, но опасность в том что завтра включу и все кирдык, поэтому сейчас резервку делаю всего и вся с того пк
20.10.2014 11:29
Stels
 
Цитата:
aldemko Я просто не пойму - да такого просто быть не может, я первый додумался переименовать расширение документов в прежнее ?
Всё же очень похоже, что по какой-то причине вирь не успел зашифровать файлы..

Мы пару раз с таким (подобным) сталкивались ...
расширение файлов не причём было: внутри всё через мясорубку было пропущено :(
20.10.2014 16:53
Truev
 
Тоже, пару раз видел. Из последнего: были файлы с нормальным именем и расширением, и тут же лежали файлы с нормальным именем и кривым расширением (и внутри файла бардак был). Создалось впечатление, что файлы зашифровал, положил рядом с оригиналом, а вот оригинал не удалил (возможно, не успел удалить). Данные не потеряли. Затронуты были jpg, doc, xls ну может еще что, не помню.
21.10.2014 03:17
aldemko
 
Предварительный отчет - с компа жертвы.
Вчера пришел архив якобы с счетом на оплату, после распаковки, открылся текстовый документ с заголовком PAYCRYPT.
в тот же момент в файлах (фото, документы) появилось доп расширение .PAYCRYPT_gmail_com.
Менеджер сразу сообщил мне, я в экстренном порядке выключил ПК.
загрузился с флешки, проверил зайцевым все диски, он ругался на несколько DLL я их отправил в карантин. (на всякий случай) ибо лежали они в системных папках.
После - с той же загрузочной флешки, я убрал расширение .PAYCRYPT_gmail_com с одного из документов, он преобразовался в обычный документ ворд, с вполне читабельным содержанием.
После, пошел в содержимое присланного архива. там был батник, открыл, посмотрел он в тем папку закинул два файла (1 ексешник, 1 батник) названия могут менятся в зависимости от отправителя и создателя крипта, но все же они прописаны в батнике присланного в письме.
Далее, с рабочего стола удалил появившийся текст документ PAYCRYPT.txt с "Инструкцией", перезагрузил пк, но эта "инструкция" все же появлялась при входе в винду.
Открыл Реестр (regedit) и искал все что имеет PAYCRYPT. нашлось несколько переменных, одна из них вызывала данное окно под видом WinHelp. удалил.
Переименовал еще один файл - убрал доп расширение. Файл оказался вполне читабелен.
Затем думал как можно убрать массово это доп расширение, что бы не мучатся в ручную. На помощь пришел тотал командер.
Начал искать по масте *.PAYCRYPT_gmail_com нашлось уйма файлов на трех разных дисках.
Нажал перенести на панель все файлы появились в отдельном окне, при помощи Ctrl+A все выдели, затем CTRl+M, указал что .PAYCRYPT_gmail_com нужно заменить на пустоту, то есть убрать данное доп расширение.
Все все файлы живы целы и работают. Но небольшое опасение было в содержании самого PAYCRYPT в котором говорится что на следующий день если не в веду "Ключ" то всем файлам *.опа.
На всякий случай я перенес на независимый носитель все документы которые были подвергнуты изменению.
И вот наступил следующий день, включаю ПК, никаких сообщений, все файлы имеют "РОДНОЕ" расширение, и вполне читабельны.
Почему файлы не заразились, или еще не время пока не понятно.
Полный тест поставлю на отдельно собранной машине на выходных, попробую 3 варианта, 1 следовать "инструкции" и все запустить, посмотрев на результат.
Второй - проделаю тоже что и вчера.
Третий - ничего не делать, и в штатном режиме перезапустить пк
Возможно результаты кому то помогут в будущем.
22.10.2014 10:50
BotMan
 
честно говоря, никогда не верил в такие вирусы, в более чем 90% случаях это все фейк.
вирусняки или режут сразу по самое не хочу, или пугают юзеров до дрожи в руках страшной картинкой.

P.S. может просто мне не попадались конечно такие, хотя количество обслуженных машин перевалило за 1к
22.10.2014 10:52
baggio
 
есть.. шифровали.... отдавали деньги... расшифровали...
есть такие точно...
23.10.2014 03:44
aldemko
 
Цитата:
BotMan честно говоря, никогда не верил в такие вирусы, в более чем 90% случаях это все фейк.
вирусняки или режут сразу по самое не хочу, или пугают юзеров до дрожи в руках страшной картинкой.

P.S. может просто мне не попадались конечно такие, хотя количество обслуженных машин перевалило за 1к
СМИ:

18:28, 22 октября 2014

Массовая рассылка вредоносной программы Cryakl, шифрующей от имени Фантомаса файлы различных форматов на компьютере пользователя, зафиксирована в России и ряде других стран. Об этом говорится в сообщении компании «Лаборатория Касперского».

В России программа-шифровальщик уже заразила 2,5 тысячи компьютеров. В зоне особого риска также оказались Германия, Казахстан, Украина и Белоруссия.

Согласно сообщению, на вредоносную программу вела ссылка в письме, отправленном якобы от имени Высшего арбитражного суда Российской Федерации. Cryakl делает нечитаемыми файлы самых разных форматов, в том числе образы дисков и резервные копии, хранящиеся непосредственно на компьютере. При этом восстановить целостность данных невозможно, если пользователь заранее не озаботился сохранением бэкап-файлов (резервных копий), отмечают эксперты.

Шифровальщик Cryakl подвергает изменениям не весь файл целиком, а лишь отдельные его фрагменты. Затем программа генерирует уникальный ключ, копия которого в обязательном порядке отправляется злоумышленникам.

После окончания шифрования Cryakl выводит на рабочий стол пользователя объявление от лица знаменитого злодея Фантомаса. Из текста пострадавший может узнать, что доступ к его файлам ограничен и у него есть 48 часов на то, чтобы отправить Фантомасу деньги за расшифровку. Причем злоумышленники не указывают конкретную сумму, которую должен заплатить пользователь.

Если пользователь не отреагирует в течение двух суток, то ключ, при помощи которого был сгенерирован шифр, будет уничтожен.

По словам Артема Семенченко, антивирусного эксперта «Лаборатории Касперского», опасность Cryakl заключается, прежде всего, в том, что расшифровать обработанные им файлы на данный момент невозможно.



PS Алгоритм тот же, просто название другое



А вот заметка 2008 года




!!!:
Bugi 09-06-2008 15:25
Вирусная эпидемия GPCode
Антивирусная лаборатория Касперского обнаружила новую версию опасного вируса, известного как GPcode. Вирус шифрует пользовательские файлы из широкого набора расширений: DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др.

Детектирование нового вируса Virus.Win32.Gpcode.ak было добавлено в антивирусные базы 4 июня 2008 года. На данный момент расшифровать поражённые файлы не представляется возможным, поскольку вирус использует криптостойкий алгоритм шифрования RSA с длинной ключа 1024 бита.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

На этом принципе основан вирус GPcode. Он шифрует пользовательские файлы при помощи имеющегося у него открытого ключа, находящегося в теле вируса. Расшифровать файлы затем может лишь владелец секретного ключа, т.е. автор вредоносной программы GPcode.

Лаборатория Касперского уже сталкивалась с вирусом GPcode ранее (см. статью <Шантажист> ), и нам удавалось получить секретный ключ путем детального криптоанализа имеющихся данных. До сих пор максимальная длина ключа RSA, которую нам удалось <взломать> составляла 660 бит, и взлом был возможен благодаря неосторожным допущениям автора в реализации алгоритма шифрования. Автор выждал почти 2 года прежде чем создать новую усовершенствованную версию вируса с RSA-шифрованием, и эта новая версия больше не содержит старых ошибок.

При обнаружении первых версий GPcode на основе RSA в 2006 году мы предупреждали, что в случае аккуратного использования RSA вирусописателем, мы не сможем помочь пользователям, файлы которых окажутся зашифрованы. Шифрование файлов таким образом равносильно их несанкционированному копированию на компьютер преступника с удалением с компьютера пользователя. В таких случаях помочь могут лишь уполномоченные правоохранительные органы.

После шифрования файлов вирус оставляет текстовое сообщение рядом с зашифрованными файлами, в котором говорится:


Код
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com


К сожалению, пути распространения вируса пока не определены, поэтому мы рекомендуем включить все имеющиеся у вас компоненты защиты от вредоносных программ.

Внимание! Если вы стали свидетелем такого сообщения на своём компьютере:

...То, скорее всего, он был атакован GPcode.ak. В этом случае, не перезагружая и выключая систему, постарайтесь связаться с лабораторией Касперского, используя другой компьютер с выходом в интернет.

Напишите на e-mail [email]stopgpcode@kaspersky.com[/email] и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли. Лаборатория Касперского постарается помочь вам вернуть зашифрованные данные.

Несмотря на трудность сложившейся ситуации, наши аналитики продолжат анализировать вирус и искать подходы для дешифровки файлов без секретного ключа.

Лаборатория Касперского приглашает экспертов и специалистов в области криптографии к участию в проекте Stop GPcode!

4 июня 2008 года специалистами ЛК был обнаружен новый вариант опасной вредоносной программы - шифровальщика GPcode.

Для шифрования файлов новый вариант GPcode использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA длиной 1024 бит, содержащимся в теле вируса.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение, достаточно иметь открытый ключ. Расшифровать зашифрованное сообщение можно, только располагая секретным ключом.

До сих пор все попытки факторизации ключей RSA останавливались на отметке 663 бит, решение этой задачи потребовало трехмесячной работы кластера из 80-ти компьютеров.

Лаборатория Касперского ранее уже сталкивалась с другими версиями вируса GPcode (см. статью Шантажист), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных. Максимальная длина ключа RSA, который удалось взломать специалистам Лаборатория Касперского, составляла 660 бит.

Задача взлома ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей и фундаментальной криптографической проблемой.

По нашим оценкам, на взлом подобного ключа требуется примерно год работы пятнадцати миллионов современных компьютеров.

Мы не обладаем подобными вычислительными мощностями.

Лаборатория Касперского приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы.

Мы считаем задачу взлома ключа RSA-1024, который использовал злоумышленник, первым в истории случаем, который требует объединения накопленных знаний и существующих вычислительных ресурсов для достижения практической и благородной цели, а не только для академических исследований или хакерства.

Мы публикуем открытые ключи, использованные автором GPcode.

Один ключ используется для шифрования в операционных системах Windows XP и выше.

Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
c0c21d693223d68fb573c5318982595799d2d295ed37da38be41ac8486ef900a
ee78b4729668fc920ee15fe0b587d1b61894d1ee15f5793c18e2d2c8cc64b053
9e01d088e41e0eafd85055b6f55d232749ef48cfe6fe905011c197e4ac6498c0
e60567819eab1471cfa4f2f4a27e3275b62d4d1bf0c79c66546782b81e93f85d

Второй - в Windows ранних версий (до Windows XP).

Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
d6046ad6f2773df8dc98b4033a3205f21c44703da73d91631c6523fe73560724
7cc9a5e0f936ed75c75ac7ce5c6ef32fff996e94c01ed301289479d8d7d708b2
c030fb79d225a7e0be2a64e5e46e8336e03e0f6ced482939fc571514b8d7280a
b5f4045106b7a4b7fa6bd586c8d26dafb14b3de71ca521432d6538526f308afb

Экспонента для обоих ключей: 0x10001 (65537).

Этой информации достаточно для того, чтобы специалисты смогли приступить к факторизации ключа.

Значительную помощь в решении задачи может оказать создание специальной утилиты для проведения факторизации.

Лаборатория Касперского готова предоставить любую дополнительную информацию и открыта для диалога с участниками проекта. Для координации действий между участниками создан специальный форум Stop GPCode.



сколько времени прошло, а лекарства нет

24.10.2014 18:41
BotMan
 
ну что тут скажешь! я счастливчик ))))
30.10.2014 09:26
aldemko
 
Доброго времени суток. Как и обещал на выходных я провел тесты с этим "вирусом"
Раньше к сожалению не смог опубликовать свои "исследования"
Так уж получилось что опыт я ставил на 2 ПК. - буквально перед выходными собрал себе машинку, не зверь топовый но пока все летает (в тч, самые последние игры)
CPU Intel Core i3-3220 3.3 GHz
Мать ASUS LGA1155 P8Z77-V LX Z77 4xDDR3 2xPCI-Ex16 HDMI/DVI/DSub 8ch 2xSATA3 4xSATA Raid 4xUSB3 ATX
Видеокарта PCI-E MSI GeForce GTX 750 Ti GAMING 2048MB 128bit GDDR5 [N750Ti TF 2GD5/ОС] DVI HDMI DSub
16 ГБ ОЗу

собрал значит, и решил с флешки установить винду, (установка прошла очень быстро) и я решил на нем провести опыт
N1
Чистая W7 х64, закинул на нее около 1 Гб всяких документ файлов (постоянно есть какой то мусор на внешнем HDD, место позволяет)
Распаковал "вирус", через секунд 5 всплыл TXT с информацией о вирусе, о его возможностях и о том как и что оплатить что бы избавиться.
Возьмем вышеописанное за стартовую позицию.
Дальше сценарии теста N1
а) Я поступил, точно так же, как и в первом топике этой темы, я выключил мой новый комп из розетки. Загрузился с Флешки, AVZ убил несколько подозрительных DLL и некий JS (который кстати трактовался как не подозрительный а не опасный, но все равно винду потом сносить), все удалил. Зашел в Реестр почистил все ключи в которых упоминалось название скрипта (обычно это заголовок TXT файла с инструкцией который открывается автоматически при "заражении")
Все удалил, все почистил. Файлы все же успели получить доп расширение
Как массово переименовать (в моем случае избавится от доп расширения)
я уже писал здесь .
Запустил машинку в штатном режиме, все работает стабильно и никаких признаков шифровки файлов я не заметил.

Б) после всплытия окошка о заражении, я просто закрыл окно, и ушел курить, по пути налил кофе, а так же запустил музыку, что бы было не так скучно. Сделав свои дела, я вернулся к "зараженному" обьекту и просмотрел еще пару выпусков о Дураках на Дорогах в ютубчике. затем я все же решил посмотреть на файлы, они как и в пункте a) получили доп расширение, но открывать не стал, в штатном режиме я перезагрузил ОC. После запуска, я попытался открыть файл. и увидел там краказябры, сначала (представим я не знал о "вирусе") я подумал проблемы с кодировкой текста, но смена на какой либо приносила еще более ужасающий вид и без того ужасного текста. Я перезагрузил ПК, опять загрузился с флешки, опять AVZ, опять реестр. Включаю компьютер, открываю файлы венигрет как был так и есть. Полное форатирование переустановка ОС.

в) Меняю SSD на HDD 5400 оборотный. убираю 12 ГБ Озу, оставляя 4 гбайтика. Закидываю на комп документов на 5 гб, фоток/картинок на 10 ГБ. проделываю тоже самое что в пункте Б) В результате эффект тот же.

Г)
Все то же, что и в пункте в), только я вытаскиваю еще видеокарту, и запускаю фильм с высоким расширением (тупит ужасно но что то пытается через CPU прогнать). открываю фотошоп и загоняю туда в 4 окна PSD с векторами по 50-100 мб каждый
Загрузка ЦП не на пике, но вот вот
Опять курить кофе (правда уже без роликов в интернете)
Перезагрузка, AVZ, реестр, убираю доп расширение, и огорчаюсь, файлы опять зашифрованы, - но этот пункт я не с проста начал описывать, так как совершенно случайно ткнул соседний доковский файл, и там был чистый текст без венигрета


Тут я хотел еще один подпункт написать, но увы не стал рисковать отключением ядер на ЦП, комп новый, да и пока не совсем понял как, да и не вникал особо, для этого я собрал комп, который предварительно и собирался сделать жертвой


Тест N2
подопытный CPU Core Duo 2 Гц
Озу 2 Гб 800 MHZ, видео карта интегрирована.
Win7 , HDD 5400 оборотов.

а)
1-2 Гб документов
Заразил, сразу выключил, AVZ и все дела. Файлы чистые.

б)
1-2 Гб документов
Заразил, покурил, чай кофе (10 мин), перезапуск, AVZ и так далее. Файлы не читабельны.

в)
1-2 Гб доков, запуск фильма в высоком качестве, фотошоп с 3 PSD.
Заразил, покурил, чай кофе (10 мин) перезагрузил (без AVZ и других мер), файлы живы.
Тут я решил не спешить, сходил в магазинчик купил пива, рыбки (потратил минут 30), вернулся, перезагрузка, включаю и файлы читабельны. (проверял не все файлы, так 100-150 шт открыл в случайном порядке)
Включил на ТВ киношку, пью курю ем рыбку. (прошёл еще час сорок)
Перезапуск пк, файлы не читабельны.


К сожалению, на это все у меня ушло не так уже и мало времени и день почти закончился.

В результате тестов, я начал предполагать (может и глупо) скорость заражения вируса напрямую зависит от мощности CPU и его загруженности а так же от HDD в тот момент времени, для проверки, я проделал на испытуемом ПК N2 еще один тест
HDD сменил на SSD, ОЗУ по прежнему 2 Гб (больше просто не было таких планок у меня в тот момент времени)
Проц ничем не грузил, работала просто Win
Заразил ПК, появилось окошко, я не стал ничего делать.
не спеша пил себе пиво смакуя с рыбкой, спустя 30 минут, обнаружил что все файлы на ПК были уже не читабельны.


Я уже думал остановится на тестах, примерную причину и от чего все таки зависит заражение я уже как бы начинал понимать, но раздался стук в дверь, это оказался сосед (с пакетом, а в нем пиво)
В общем мы сели начали мусолить эту тему, и оказалось что у него есть где то на полке, хлам в виде AMD Athlon XP 1700+

В общем собрали динозавра.
запустили, заразили, ничего не делали. через уже 40 минут обратили внимание на то что файлы не читабельны.

Форматирование, нагрузка на CPU все возможными способами до 70-85%
Заразили, ничего не делали. файлы пришли в негодность только спустя ЧАС ДВАДЦАТЬ



Теперь я могу смело ответить, почему компьютер на работе, у меня не был заражен.
Дело в том что компьютер на работе, это ноутбук, который имеет Cure Duo 1,8 Гц. В момент заражения (кроме то го что в максимально короткие сроки после того как мне сообщили, были предприняты все возможные попытки избавится от "вируса"), так еще и на момент заражения у пользователя проц был нагружен процентов на 80% (на тот момент я этого не знал), но на этой рабочей неделе, я загрузил все чо обычно у него открыто, это около 40 вкладок в G chrome, открытых вордовких документов около 15-20 всегда, скайпы, и так далее.



И так подведем итог - возможно ошибочный, может кто меня поправит, но все же тест я произвел. и пришел вот к чему:
"Вирус" использует для шифрования, процессор и HDD/SSD.
В идеальной ситуации на моем новом компе при нагрузке на проц 1-2% заражение происходило в течении минут 10.
В тесте с очень нагруженым, и до того не мощным CPU это продлилось ~ОДИН ЧАС ДВАДВАТЬ МИНУТ
Причем: Мощный комп, с нагрузкой на проц в 60% заразился полностью примерно за 15-20 мин
Поэтому, если вы, достаточно быстро (имея мощный комп), и не очень быстро (имея не мощный комп), произведете все необходимые меры, то заражения никакого не произойдет.

Как то так.
PS , никогда не умел четко излагать свою мысль. да и не писатель я, но постарался максимально донести то чем занимался на выходных и что из этого вышло.
Может кому пригодится.
30.10.2014 09:47
Vovantus
 
объективности ради, нужно было ещё один пункт добавить. заплатить вымогателю денег и посмотреть, дешифрируются ли обратно файлы :) шутка, если что.
31.10.2014 20:57
KirillHome
 
Вирус-вымогатель CryptoBot сдаёт своих жертв через Twitter
Вирусы-вымогатели, которые шифруют файлы пользователей, требуя денег за расшифровку, терроризируют Интернет уже не первый год. Однако в нынешнем октябре они разбушевались не на шутку – очевидно, совершив новый эволюционный скачок в области автоматизации. В начале месяца массовому заражению криптолокером подверглись сотрудники крупнейшей австралийской вещательной компании ABC, а и также почтовые и другие государственные службы страны. В середине месяца более 100 тыс. американцев были заражены вирусом-шифровальщиком через рекламные баннеры, крутившиеся в роликах на YouTube.

Ну а в последние дни октября случилась активизация опасного шифровальщика в российском сегменте Интернета. Пользователи получают по почте вредоносный файл, который представляет собой обфусцированный JavaScript размером 2.5 кб (MD5 ea834605f6bee2d4680aae0936655a30). При запуске троян загружает из Интернета и запускает дополнительные компоненты


Описание вируса присутствует на Virustotal, там же в комментариях приводится и деобфусцированная версия скрипта. Можно заметить, что файл неоднократно загружался на ресурс 29 и 30 октября 2014 г:


А вот как выглядят имена зараженных файлов, приходящих в почте – в основном они изображают деловые документы, причём якобы проверенные антивирусом (Avast.Scanned.OK)


После того, как пользователь откроет приложенный файл и запустит вредоносный скрипт, его информируют о том, что его документы, фото, базы данных, а также другие важные файлы «были зашифрованы с использованием криптостойкого алгоритма RSA-1024».


Далее пользователю предлагается подробная инструкция по спасению своих цифровых активов, которая сводится к следующему набору действий:
  1. Ваши файлы зашифрованы. Отправьте нам письмо с KEY и UNIQUE в течение суток.
  2. Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов — отправили на почту [email]paycrypt@gmail.com[/email]
  3. Через некоторое время получаете ответ с гарантиями, инструкцией и стоимостью. Посетите наш Twitter. Посмотрите, что все получают ключи. После оплаты получаете ключ дешифрования, ПО и инструкцию по дешифрованию.

Наиболее интересным в этой инструкции является пункт 3, в котором указан Twitter-аккаунт, публично разглашающий информацию об адресах электронной почты жертв атак. Это не только позволяет продолжать монетизацию (например, с помощью рассылки спама на адреса жертв, часть из которых указывало служебные адреса электронной почты), но может и нанести существенный вред репутации пострадавших.

В частности, некоторые исследователи уже занялись анализом списка жертв – среди них оказалось много IT-компаний, включая и такие, которые сами занимаются информационной безопасностью.

Как и в большинстве атак по электронной почте, в данном случае использовались версии вредоносного ПО, которое в момент атаки не детектировалось большинством антивирусов. В связи с этим эксперты Positive Technologies советуют не открывать письма с непонятными вложениями — даже от знакомых адресатов. А на инфраструктурном уровне, в дополнение к антивирусным решениям, рекомендуется применять специализированные песочницы для проверки входящей почты, а также ограничить получение почтовых вложений, содержащих исполняемый код, в том числе в архивах.





Мне показалось (сужу по Twiitter-у) - как-то спад активности оплат пошёл.
03.10.2016 22:52
KirillHome
 
Ага, вот и у нас "попался" менеджер.

Почта пришла в почтовый клиент (Почта Windows Live в Wimdows'7).

Скорее всего, письмо выглядело так

Цитата:
Дата: Понедельник, 3 октября 2016, 14:17 +03:00
Тема: налог.начисления

Уважаемый налогоплательщик!

Ознакомьтесь в обязательном порядке с Вашей задолженностью тут (дальше ссылка на мэейловское облако)

С уважением,
Шубин Артем Львович,
инспектор ФНС России
Оригинальное письмо не сохранилось.
Максимальный ущерб - был зашифрован сетевой ресурс, подключённый (с заданием буквы) к данному компьютеру.

Пользователь работал под ограниченными правами.
Зашифрованы все документы (кроме, похоже, созданных в Libre Office - несколько файлов с расширением odt я точно видел среди незашифрованных).
Новое расширение у всех зашифрованных файлов - da_vinci_code

Переустановил Windows, сделал форвардинг почты на mail ru - что бы поработали через Web-интерфейс.
Сегодня пришло ещё одно письмо (собственно, процитированное в начале).
Провёл беседу - объяснил, что почта якобы из налоговой, ГАИ, банка и прочих учреждений должна иметь внутри твои ФИО, и не должны иметь ссылки на мейловское облако.

Так же в письме было вложение - файл XLS, но (вроде) оно пустое.

Если интересно, могу (наверное, под HIDE 100 или даже больше) выложить ссылку на облако (ну, или js оттуда).
12.10.2016 09:32
aldemko
 
На днях на рабочую почту пришло следующее

текст:
Уважаемый частный предприниматель!. Уведомляю Вас, что ваша (название) кондиционеров находящуюся по адресу (адрес) нарушает действующее законодательство Российской Федерации. (ст.336.16 Налогового Кодекса РФ). Мы пробовали связаться с вами по телефону +7, однако Вас не застали. Просим Вас ознакомиться с материалами производства, которые прикреплены к данному письму. [!] Письмо.docx С Уважением, адвокатская контора Адвокатская Контора Барристер. Тел.: 7 499 261-71-46


Приложение 1.docs. Вес 480 кб
Как понять что он подозрительный не открывая его, не проверяя антивирусами и прочим !?
В большинстве случаев, данный файл заготовлен до того как отправлен вам. Нажимаем на файл правой кнопой мыши, заходим в свойства, и смотрим : в моем случае дата создания документа 22.08.16
А письмо получено 10.10.16

В тех же свойствах есть еще инфа о кол-ве слов, символов - 252 буквы, это как то мало для уведомления от налоговой в котором сообщается о нарушении - только полные Юр. данные если вписать в письмо больше знаков выйдет.
Миниатюры
Нажмите на изображение для увеличения
Название: Снимок.JPG
Просмотров: 19
Размер:	36.6 Кб
ID:	7800  
12.10.2016 11:18
leha_jazz
 
У нас месяца 2-3 идет постоянная рассылка вируса-шифровальщика Vault. Рассылка идет с mail.ru. Используют реальные контакты поставщиков с кем работаем.
В письме текст : что-то про задолженность , отгрузка невозможна, счет на оплату в прикреплении. Там zip архив. В нем скрипт запускающий шифровальщика.
Шифрует файлы с типом doc,xls,pdf,jpg, базы 1С, архивы. Пару раз поймали , помогло наличие бекапов и восстановление предудыщих версий документов(на семерке, ХР соответсвенно нет).
12.10.2016 11:27
Dim
 
смотрю фаром. первой строкой в docx-файле
Цитата:
PK♥♦¶ ♠ ◘ ! ߤ›�lZ☺ ♣ ‼ ◘☻[Content_Types].xml �♦☻(� ☻
Цитата:
aldemko На днях на рабочую почту пришло следующее

текст:
Уважаемый частный предприниматель!. Уведомляю Вас, что ваша (название) кондиционеров находящуюся по адресу (адрес) нарушает действующее законодательство Российской Федерации. (ст.336.16 Налогового Кодекса РФ). Мы пробовали связаться с вами по телефону +7, однако Вас не застали. Просим Вас ознакомиться с материалами производства, которые прикреплены к данному письму. [!] Письмо.docx С Уважением, адвокатская контора Адвокатская Контора Барристер. Тел.: 7 499 261-71-46


Приложение 1.docs. Вес 480 кб
Как понять что он подозрительный не открывая его, не проверяя антивирусами и прочим !?
В большинстве случаев, данный файл заготовлен до того как отправлен вам. Нажимаем на файл правой кнопой мыши, заходим в свойства, и смотрим : в моем случае дата создания документа 22.08.16
А письмо получено 10.10.16

В тех же свойствах есть еще инфа о кол-ве слов, символов - 252 буквы, это как то мало для уведомления от налоговой в котором сообщается о нарушении - только полные Юр. данные если вписать в письмо больше знаков выйдет.
12.10.2016 16:10
twix
 
Цитата:
Dim смотрю фаром. первой строкой в docx-файле
docx и будет начинаться с заголовка зип-архива. Потому как формат офис 2007 (и свежее) - это набор xml и прочих файлов с метаинформацией, упакованные в архив.
Опции темы


Часовой пояс GMT +3, время: 07:28.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.