[ОТВЕТИТЬ]
Опции темы
20.10.2014 11:29  
Stels
Цитата:
Сообщение от aldemko
Я просто не пойму - да такого просто быть не может, я первый додумался переименовать расширение документов в прежнее ?
Всё же очень похоже, что по какой-то причине вирь не успел зашифровать файлы..

Мы пару раз с таким (подобным) сталкивались ...
расширение файлов не причём было: внутри всё через мясорубку было пропущено :(
 
20.10.2014 16:53  
Truev
Тоже, пару раз видел. Из последнего: были файлы с нормальным именем и расширением, и тут же лежали файлы с нормальным именем и кривым расширением (и внутри файла бардак был). Создалось впечатление, что файлы зашифровал, положил рядом с оригиналом, а вот оригинал не удалил (возможно, не успел удалить). Данные не потеряли. Затронуты были jpg, doc, xls ну может еще что, не помню.
 
21.10.2014 03:17  
aldemko
Предварительный отчет - с компа жертвы.
Вчера пришел архив якобы с счетом на оплату, после распаковки, открылся текстовый документ с заголовком PAYCRYPT.
в тот же момент в файлах (фото, документы) появилось доп расширение .PAYCRYPT_gmail_com.
Менеджер сразу сообщил мне, я в экстренном порядке выключил ПК.
загрузился с флешки, проверил зайцевым все диски, он ругался на несколько DLL я их отправил в карантин. (на всякий случай) ибо лежали они в системных папках.
После - с той же загрузочной флешки, я убрал расширение .PAYCRYPT_gmail_com с одного из документов, он преобразовался в обычный документ ворд, с вполне читабельным содержанием.
После, пошел в содержимое присланного архива. там был батник, открыл, посмотрел он в тем папку закинул два файла (1 ексешник, 1 батник) названия могут менятся в зависимости от отправителя и создателя крипта, но все же они прописаны в батнике присланного в письме.
Далее, с рабочего стола удалил появившийся текст документ PAYCRYPT.txt с "Инструкцией", перезагрузил пк, но эта "инструкция" все же появлялась при входе в винду.
Открыл Реестр (regedit) и искал все что имеет PAYCRYPT. нашлось несколько переменных, одна из них вызывала данное окно под видом WinHelp. удалил.
Переименовал еще один файл - убрал доп расширение. Файл оказался вполне читабелен.
Затем думал как можно убрать массово это доп расширение, что бы не мучатся в ручную. На помощь пришел тотал командер.
Начал искать по масте *.PAYCRYPT_gmail_com нашлось уйма файлов на трех разных дисках.
Нажал перенести на панель все файлы появились в отдельном окне, при помощи Ctrl+A все выдели, затем CTRl+M, указал что .PAYCRYPT_gmail_com нужно заменить на пустоту, то есть убрать данное доп расширение.
Все все файлы живы целы и работают. Но небольшое опасение было в содержании самого PAYCRYPT в котором говорится что на следующий день если не в веду "Ключ" то всем файлам *.опа.
На всякий случай я перенес на независимый носитель все документы которые были подвергнуты изменению.
И вот наступил следующий день, включаю ПК, никаких сообщений, все файлы имеют "РОДНОЕ" расширение, и вполне читабельны.
Почему файлы не заразились, или еще не время пока не понятно.
Полный тест поставлю на отдельно собранной машине на выходных, попробую 3 варианта, 1 следовать "инструкции" и все запустить, посмотрев на результат.
Второй - проделаю тоже что и вчера.
Третий - ничего не делать, и в штатном режиме перезапустить пк
Возможно результаты кому то помогут в будущем.
 
"Спасибо" aldemko от:
22.10.2014 10:50  
BotMan
честно говоря, никогда не верил в такие вирусы, в более чем 90% случаях это все фейк.
вирусняки или режут сразу по самое не хочу, или пугают юзеров до дрожи в руках страшной картинкой.

P.S. может просто мне не попадались конечно такие, хотя количество обслуженных машин перевалило за 1к
 
22.10.2014 10:52  
baggio
есть.. шифровали.... отдавали деньги... расшифровали...
есть такие точно...
 
23.10.2014 03:44  
aldemko
Цитата:
Сообщение от BotMan
честно говоря, никогда не верил в такие вирусы, в более чем 90% случаях это все фейк.
вирусняки или режут сразу по самое не хочу, или пугают юзеров до дрожи в руках страшной картинкой.

P.S. может просто мне не попадались конечно такие, хотя количество обслуженных машин перевалило за 1к
СМИ:

18:28, 22 октября 2014

Массовая рассылка вредоносной программы Cryakl, шифрующей от имени Фантомаса файлы различных форматов на компьютере пользователя, зафиксирована в России и ряде других стран. Об этом говорится в сообщении компании «Лаборатория Касперского».

В России программа-шифровальщик уже заразила 2,5 тысячи компьютеров. В зоне особого риска также оказались Германия, Казахстан, Украина и Белоруссия.

Согласно сообщению, на вредоносную программу вела ссылка в письме, отправленном якобы от имени Высшего арбитражного суда Российской Федерации. Cryakl делает нечитаемыми файлы самых разных форматов, в том числе образы дисков и резервные копии, хранящиеся непосредственно на компьютере. При этом восстановить целостность данных невозможно, если пользователь заранее не озаботился сохранением бэкап-файлов (резервных копий), отмечают эксперты.

Шифровальщик Cryakl подвергает изменениям не весь файл целиком, а лишь отдельные его фрагменты. Затем программа генерирует уникальный ключ, копия которого в обязательном порядке отправляется злоумышленникам.

После окончания шифрования Cryakl выводит на рабочий стол пользователя объявление от лица знаменитого злодея Фантомаса. Из текста пострадавший может узнать, что доступ к его файлам ограничен и у него есть 48 часов на то, чтобы отправить Фантомасу деньги за расшифровку. Причем злоумышленники не указывают конкретную сумму, которую должен заплатить пользователь.

Если пользователь не отреагирует в течение двух суток, то ключ, при помощи которого был сгенерирован шифр, будет уничтожен.

По словам Артема Семенченко, антивирусного эксперта «Лаборатории Касперского», опасность Cryakl заключается, прежде всего, в том, что расшифровать обработанные им файлы на данный момент невозможно.



PS Алгоритм тот же, просто название другое



А вот заметка 2008 года




!!!:
Bugi 09-06-2008 15:25
Вирусная эпидемия GPCode
Антивирусная лаборатория Касперского обнаружила новую версию опасного вируса, известного как GPcode. Вирус шифрует пользовательские файлы из широкого набора расширений: DOC, TXT, PDF, XLS, JPG, PNG, CPP, H и др.

Детектирование нового вируса Virus.Win32.Gpcode.ak было добавлено в антивирусные базы 4 июня 2008 года. На данный момент расшифровать поражённые файлы не представляется возможным, поскольку вирус использует криптостойкий алгоритм шифрования RSA с длинной ключа 1024 бита.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение достаточно иметь один лишь открытый ключ. Расшифровать зашифрованное сообщение можно только располагая секретным ключом.

На этом принципе основан вирус GPcode. Он шифрует пользовательские файлы при помощи имеющегося у него открытого ключа, находящегося в теле вируса. Расшифровать файлы затем может лишь владелец секретного ключа, т.е. автор вредоносной программы GPcode.

Лаборатория Касперского уже сталкивалась с вирусом GPcode ранее (см. статью <Шантажист> ), и нам удавалось получить секретный ключ путем детального криптоанализа имеющихся данных. До сих пор максимальная длина ключа RSA, которую нам удалось <взломать> составляла 660 бит, и взлом был возможен благодаря неосторожным допущениям автора в реализации алгоритма шифрования. Автор выждал почти 2 года прежде чем создать новую усовершенствованную версию вируса с RSA-шифрованием, и эта новая версия больше не содержит старых ошибок.

При обнаружении первых версий GPcode на основе RSA в 2006 году мы предупреждали, что в случае аккуратного использования RSA вирусописателем, мы не сможем помочь пользователям, файлы которых окажутся зашифрованы. Шифрование файлов таким образом равносильно их несанкционированному копированию на компьютер преступника с удалением с компьютера пользователя. В таких случаях помочь могут лишь уполномоченные правоохранительные органы.

После шифрования файлов вирус оставляет текстовое сообщение рядом с зашифрованными файлами, в котором говорится:


Код
Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com


К сожалению, пути распространения вируса пока не определены, поэтому мы рекомендуем включить все имеющиеся у вас компоненты защиты от вредоносных программ.

Внимание! Если вы стали свидетелем такого сообщения на своём компьютере:

...То, скорее всего, он был атакован GPcode.ak. В этом случае, не перезагружая и выключая систему, постарайтесь связаться с лабораторией Касперского, используя другой компьютер с выходом в интернет.

Напишите на e-mail stopgpcode@kaspersky.com и сообщите о точной дате и времени заражения, а также ваших действиях на компьютере за последние 5 минут до заражения: какие программы вы запускали, на какой сайт зашли. Лаборатория Касперского постарается помочь вам вернуть зашифрованные данные.

Несмотря на трудность сложившейся ситуации, наши аналитики продолжат анализировать вирус и искать подходы для дешифровки файлов без секретного ключа.

Лаборатория Касперского приглашает экспертов и специалистов в области криптографии к участию в проекте Stop GPcode!

4 июня 2008 года специалистами ЛК был обнаружен новый вариант опасной вредоносной программы - шифровальщика GPcode.

Для шифрования файлов новый вариант GPcode использует встроенные в операционную систему Windows криптоалгоритмы (Microsoft Enhanced Cryptographic Provider v1.0). Файлы шифруются при помощи алгоритма RC4. Ключ шифрования затем шифруется открытым ключом RSA длиной 1024 бит, содержащимся в теле вируса.

Алгоритм RSA основан на разделении ключей шифрования на секретный и открытый. Принцип шифрования при помощи RSA гласит: для того, чтобы зашифровать сообщение, достаточно иметь открытый ключ. Расшифровать зашифрованное сообщение можно, только располагая секретным ключом.

До сих пор все попытки факторизации ключей RSA останавливались на отметке 663 бит, решение этой задачи потребовало трехмесячной работы кластера из 80-ти компьютеров.

Лаборатория Касперского ранее уже сталкивалась с другими версиями вируса GPcode (см. статью Шантажист), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных. Максимальная длина ключа RSA, который удалось взломать специалистам Лаборатория Касперского, составляла 660 бит.

Задача взлома ключа RSA-1024, стоящая сейчас перед всеми антивирусными компаниями мира, является сложнейшей и фундаментальной криптографической проблемой.

По нашим оценкам, на взлом подобного ключа требуется примерно год работы пятнадцати миллионов современных компьютеров.

Мы не обладаем подобными вычислительными мощностями.

Лаборатория Касперского приглашает всех специалистов в области криптографии, правительственные и научные институты, другие антивирусные компании и независимых исследователей присоединиться к решению проблемы.

Мы считаем задачу взлома ключа RSA-1024, который использовал злоумышленник, первым в истории случаем, который требует объединения накопленных знаний и существующих вычислительных ресурсов для достижения практической и благородной цели, а не только для академических исследований или хакерства.

Мы публикуем открытые ключи, использованные автором GPcode.

Один ключ используется для шифрования в операционных системах Windows XP и выше.

Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
c0c21d693223d68fb573c5318982595799d2d295ed37da38be41ac8486ef900a
ee78b4729668fc920ee15fe0b587d1b61894d1ee15f5793c18e2d2c8cc64b053
9e01d088e41e0eafd85055b6f55d232749ef48cfe6fe905011c197e4ac6498c0
e60567819eab1471cfa4f2f4a27e3275b62d4d1bf0c79c66546782b81e93f85d

Второй - в Windows ранних версий (до Windows XP).

Key type: RSA KeyExchange
bitlength: 1024
RSA exponent: 00010001
RSA modulus:
d6046ad6f2773df8dc98b4033a3205f21c44703da73d91631c6523fe73560724
7cc9a5e0f936ed75c75ac7ce5c6ef32fff996e94c01ed301289479d8d7d708b2
c030fb79d225a7e0be2a64e5e46e8336e03e0f6ced482939fc571514b8d7280a
b5f4045106b7a4b7fa6bd586c8d26dafb14b3de71ca521432d6538526f308afb

Экспонента для обоих ключей: 0x10001 (65537).

Этой информации достаточно для того, чтобы специалисты смогли приступить к факторизации ключа.

Значительную помощь в решении задачи может оказать создание специальной утилиты для проведения факторизации.

Лаборатория Касперского готова предоставить любую дополнительную информацию и открыта для диалога с участниками проекта. Для координации действий между участниками создан специальный форум Stop GPCode.



сколько времени прошло, а лекарства нет

 
24.10.2014 18:41  
BotMan
ну что тут скажешь! я счастливчик ))))
 
30.10.2014 09:26  
aldemko
Доброго времени суток. Как и обещал на выходных я провел тесты с этим "вирусом"
Раньше к сожалению не смог опубликовать свои "исследования"
Так уж получилось что опыт я ставил на 2 ПК. - буквально перед выходными собрал себе машинку, не зверь топовый но пока все летает (в тч, самые последние игры)
CPU Intel Core i3-3220 3.3 GHz
Мать ASUS LGA1155 P8Z77-V LX Z77 4xDDR3 2xPCI-Ex16 HDMI/DVI/DSub 8ch 2xSATA3 4xSATA Raid 4xUSB3 ATX
Видеокарта PCI-E MSI GeForce GTX 750 Ti GAMING 2048MB 128bit GDDR5 [N750Ti TF 2GD5/ОС] DVI HDMI DSub
16 ГБ ОЗу

собрал значит, и решил с флешки установить винду, (установка прошла очень быстро) и я решил на нем провести опыт
N1
Чистая W7 х64, закинул на нее около 1 Гб всяких документ файлов (постоянно есть какой то мусор на внешнем HDD, место позволяет)
Распаковал "вирус", через секунд 5 всплыл TXT с информацией о вирусе, о его возможностях и о том как и что оплатить что бы избавиться.
Возьмем вышеописанное за стартовую позицию.
Дальше сценарии теста N1
а) Я поступил, точно так же, как и в первом топике этой темы, я выключил мой новый комп из розетки. Загрузился с Флешки, AVZ убил несколько подозрительных DLL и некий JS (который кстати трактовался как не подозрительный а не опасный, но все равно винду потом сносить), все удалил. Зашел в Реестр почистил все ключи в которых упоминалось название скрипта (обычно это заголовок TXT файла с инструкцией который открывается автоматически при "заражении")
Все удалил, все почистил. Файлы все же успели получить доп расширение
Как массово переименовать (в моем случае избавится от доп расширения)
я уже писал здесь .
Запустил машинку в штатном режиме, все работает стабильно и никаких признаков шифровки файлов я не заметил.

Б) после всплытия окошка о заражении, я просто закрыл окно, и ушел курить, по пути налил кофе, а так же запустил музыку, что бы было не так скучно. Сделав свои дела, я вернулся к "зараженному" обьекту и просмотрел еще пару выпусков о Дураках на Дорогах в ютубчике. затем я все же решил посмотреть на файлы, они как и в пункте a) получили доп расширение, но открывать не стал, в штатном режиме я перезагрузил ОC. После запуска, я попытался открыть файл. и увидел там краказябры, сначала (представим я не знал о "вирусе") я подумал проблемы с кодировкой текста, но смена на какой либо приносила еще более ужасающий вид и без того ужасного текста. Я перезагрузил ПК, опять загрузился с флешки, опять AVZ, опять реестр. Включаю компьютер, открываю файлы венигрет как был так и есть. Полное форатирование переустановка ОС.

в) Меняю SSD на HDD 5400 оборотный. убираю 12 ГБ Озу, оставляя 4 гбайтика. Закидываю на комп документов на 5 гб, фоток/картинок на 10 ГБ. проделываю тоже самое что в пункте Б) В результате эффект тот же.

Г)
Все то же, что и в пункте в), только я вытаскиваю еще видеокарту, и запускаю фильм с высоким расширением (тупит ужасно но что то пытается через CPU прогнать). открываю фотошоп и загоняю туда в 4 окна PSD с векторами по 50-100 мб каждый
Загрузка ЦП не на пике, но вот вот
Опять курить кофе (правда уже без роликов в интернете)
Перезагрузка, AVZ, реестр, убираю доп расширение, и огорчаюсь, файлы опять зашифрованы, - но этот пункт я не с проста начал описывать, так как совершенно случайно ткнул соседний доковский файл, и там был чистый текст без венигрета


Тут я хотел еще один подпункт написать, но увы не стал рисковать отключением ядер на ЦП, комп новый, да и пока не совсем понял как, да и не вникал особо, для этого я собрал комп, который предварительно и собирался сделать жертвой


Тест N2
подопытный CPU Core Duo 2 Гц
Озу 2 Гб 800 MHZ, видео карта интегрирована.
Win7 , HDD 5400 оборотов.

а)
1-2 Гб документов
Заразил, сразу выключил, AVZ и все дела. Файлы чистые.

б)
1-2 Гб документов
Заразил, покурил, чай кофе (10 мин), перезапуск, AVZ и так далее. Файлы не читабельны.

в)
1-2 Гб доков, запуск фильма в высоком качестве, фотошоп с 3 PSD.
Заразил, покурил, чай кофе (10 мин) перезагрузил (без AVZ и других мер), файлы живы.
Тут я решил не спешить, сходил в магазинчик купил пива, рыбки (потратил минут 30), вернулся, перезагрузка, включаю и файлы читабельны. (проверял не все файлы, так 100-150 шт открыл в случайном порядке)
Включил на ТВ киношку, пью курю ем рыбку. (прошёл еще час сорок)
Перезапуск пк, файлы не читабельны.


К сожалению, на это все у меня ушло не так уже и мало времени и день почти закончился.

В результате тестов, я начал предполагать (может и глупо) скорость заражения вируса напрямую зависит от мощности CPU и его загруженности а так же от HDD в тот момент времени, для проверки, я проделал на испытуемом ПК N2 еще один тест
HDD сменил на SSD, ОЗУ по прежнему 2 Гб (больше просто не было таких планок у меня в тот момент времени)
Проц ничем не грузил, работала просто Win
Заразил ПК, появилось окошко, я не стал ничего делать.
не спеша пил себе пиво смакуя с рыбкой, спустя 30 минут, обнаружил что все файлы на ПК были уже не читабельны.


Я уже думал остановится на тестах, примерную причину и от чего все таки зависит заражение я уже как бы начинал понимать, но раздался стук в дверь, это оказался сосед (с пакетом, а в нем пиво)
В общем мы сели начали мусолить эту тему, и оказалось что у него есть где то на полке, хлам в виде AMD Athlon XP 1700+

В общем собрали динозавра.
запустили, заразили, ничего не делали. через уже 40 минут обратили внимание на то что файлы не читабельны.

Форматирование, нагрузка на CPU все возможными способами до 70-85%
Заразили, ничего не делали. файлы пришли в негодность только спустя ЧАС ДВАДЦАТЬ



Теперь я могу смело ответить, почему компьютер на работе, у меня не был заражен.
Дело в том что компьютер на работе, это ноутбук, который имеет Cure Duo 1,8 Гц. В момент заражения (кроме то го что в максимально короткие сроки после того как мне сообщили, были предприняты все возможные попытки избавится от "вируса"), так еще и на момент заражения у пользователя проц был нагружен процентов на 80% (на тот момент я этого не знал), но на этой рабочей неделе, я загрузил все чо обычно у него открыто, это около 40 вкладок в G chrome, открытых вордовких документов около 15-20 всегда, скайпы, и так далее.



И так подведем итог - возможно ошибочный, может кто меня поправит, но все же тест я произвел. и пришел вот к чему:
"Вирус" использует для шифрования, процессор и HDD/SSD.
В идеальной ситуации на моем новом компе при нагрузке на проц 1-2% заражение происходило в течении минут 10.
В тесте с очень нагруженым, и до того не мощным CPU это продлилось ~ОДИН ЧАС ДВАДВАТЬ МИНУТ
Причем: Мощный комп, с нагрузкой на проц в 60% заразился полностью примерно за 15-20 мин
Поэтому, если вы, достаточно быстро (имея мощный комп), и не очень быстро (имея не мощный комп), произведете все необходимые меры, то заражения никакого не произойдет.

Как то так.
PS , никогда не умел четко излагать свою мысль. да и не писатель я, но постарался максимально донести то чем занимался на выходных и что из этого вышло.
Может кому пригодится.
 
"Спасибо" aldemko от:
30.10.2014 09:47  
Vovantus
объективности ради, нужно было ещё один пункт добавить. заплатить вымогателю денег и посмотреть, дешифрируются ли обратно файлы :) шутка, если что.
 
31.10.2014 20:57  
KirillHome
Вирус-вымогатель CryptoBot сдаёт своих жертв через Twitter
Вирусы-вымогатели, которые шифруют файлы пользователей, требуя денег за расшифровку, терроризируют Интернет уже не первый год. Однако в нынешнем октябре они разбушевались не на шутку – очевидно, совершив новый эволюционный скачок в области автоматизации. В начале месяца массовому заражению криптолокером подверглись сотрудники крупнейшей австралийской вещательной компании ABC, а и также почтовые и другие государственные службы страны. В середине месяца более 100 тыс. американцев были заражены вирусом-шифровальщиком через рекламные баннеры, крутившиеся в роликах на YouTube.

Ну а в последние дни октября случилась активизация опасного шифровальщика в российском сегменте Интернета. Пользователи получают по почте вредоносный файл, который представляет собой обфусцированный JavaScript размером 2.5 кб (MD5 ea834605f6bee2d4680aae0936655a30). При запуске троян загружает из Интернета и запускает дополнительные компоненты


Описание вируса присутствует на Virustotal, там же в комментариях приводится и деобфусцированная версия скрипта. Можно заметить, что файл неоднократно загружался на ресурс 29 и 30 октября 2014 г:


А вот как выглядят имена зараженных файлов, приходящих в почте – в основном они изображают деловые документы, причём якобы проверенные антивирусом (Avast.Scanned.OK)


После того, как пользователь откроет приложенный файл и запустит вредоносный скрипт, его информируют о том, что его документы, фото, базы данных, а также другие важные файлы «были зашифрованы с использованием криптостойкого алгоритма RSA-1024».


Далее пользователю предлагается подробная инструкция по спасению своих цифровых активов, которая сводится к следующему набору действий:
  1. Ваши файлы зашифрованы. Отправьте нам письмо с KEY и UNIQUE в течение суток.
  2. Нашли KEY.PRIVATE и UNIQUE.KEY на своем ПК, взяли пару зашифрованных файлов — отправили на почту paycrypt@gmail.com
  3. Через некоторое время получаете ответ с гарантиями, инструкцией и стоимостью. Посетите наш Twitter. Посмотрите, что все получают ключи. После оплаты получаете ключ дешифрования, ПО и инструкцию по дешифрованию.

Наиболее интересным в этой инструкции является пункт 3, в котором указан Twitter-аккаунт, публично разглашающий информацию об адресах электронной почты жертв атак. Это не только позволяет продолжать монетизацию (например, с помощью рассылки спама на адреса жертв, часть из которых указывало служебные адреса электронной почты), но может и нанести существенный вред репутации пострадавших.

В частности, некоторые исследователи уже занялись анализом списка жертв – среди них оказалось много IT-компаний, включая и такие, которые сами занимаются информационной безопасностью.

Как и в большинстве атак по электронной почте, в данном случае использовались версии вредоносного ПО, которое в момент атаки не детектировалось большинством антивирусов. В связи с этим эксперты Positive Technologies советуют не открывать письма с непонятными вложениями — даже от знакомых адресатов. А на инфраструктурном уровне, в дополнение к антивирусным решениям, рекомендуется применять специализированные песочницы для проверки входящей почты, а также ограничить получение почтовых вложений, содержащих исполняемый код, в том числе в архивах.





Мне показалось (сужу по Twiitter-у) - как-то спад активности оплат пошёл.
 
 


Опции темы



Часовой пояс GMT +3, время: 05:04.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.