• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

LowLevel04: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель LowLevel04, или
Технология проведения брутфорс-атаки по Remote Desktop с последующим шифрованием файлов

ИБ-эксперты компании Bleeping Computer недавно обнаружили новый вид вымогательского ПО под названием LowLevel04, использующее для распространения несколько необычный механизм — для заражения компьютеров вредонос подключается к ним с помощью соединения «Удаленный рабочий стол» в Windows. Т.е. буквально проводит брутфорс-атаку по Remote Desktop, чтобы распространить вредонос и дать ему сделать свое дело.

Попав на ПК жертвы LowLevel04 шифрует все файлы с использованием алгоритма AES и требует у жертвы выкуп для разблокировки в размере 4 биткоинов или ~$1000.

Впервые LowLevel04 появился в начале нынешнего месяца. По словам одного из пострадавших пользователей, все его документы были внезапно зашифрованы, а на рабочем столе появился текстовый документ. В нем злоумышленники сообщили, что все файлы были зашифрованы, а для разблокировки необходимо заплатить выкуп. К сожалению, на данный момент восстановить зашифрованные файлы можно только из теневого бэкапа вымогателя, заплатив ему выкуп.

Список файловых расширений, которые являются мишенью этого вымогательского ПО:
.3fr,.dbf,.dcr,.dwg,.doc,.der,.erf,.eps,.jpg,.mp3,.mp4,.mef,.mrw,.mdf,.bay,.bck,.bkp,.bcp,.cdr,.mid,.nef,.nrw,.dat,.dxg,.dng,.pptx,.pptm,.jpe,.kdc,.mdb,.jpeg,.indd,.docx,.docm,.pfx,.raw,.rwl,.opd,.odm,.odc,.orf,.odb,.pdd,.pdf,.pst,.ppt,.rtf,.rw2,.odt,.ods,.pem,.sql,.xls,.xml,.xlk,.wpd,.wav,.wb2,.wps,.x3f,.zip,.xlsb,.arw,.bmp,.cer,.crw,.cr2,.crt,.dxf,.r3d,.srf,.sr2,.srw,.p12,.p7b,.p7c,.ptx,.pef,.png,.psd,.php,.rar,.raf,.xlsx,.xlsm,.exe,.bad,.lpa,.sys,.dll,.msi,.ie5,.ie6,.ie7,.ie8,.ie9,.ini,.inf,.lnk,.scr,.com,.ico,.desklink,.mapimail,.search-ms,.automaticDestinations-ms,.bkup,.database,.backup,.zip

Когда файл уже зашифрован, то он устроен таким образом, что содержит различные слои информации, которые могут быть использованы в декриптере для расшифровки файлов. Вот эти различные слои зашифрованного файла: зашифрованная версия оригинального файла, оригинальный размер файла, зашифрованный ключ шифрования, размер ключа и LowLevel04 строка, которая идентифицирует, что это файл был зашифрован с помощью этой конкретной инфекции.

Эти слои данных в зашифрованном файле представлены также в таблице ниже.
зашифр.файл.png

В каждой папке, где были зашифрованы файлы, вредПО оставляет файл-записку о выкупе под названием help recover files.txt. Этот файл содержит инструкцию о том, что жертва должна сделать, чтобы заплатить выкуп и получить программу для расшифровки. Адреса e-mail в настоящее время — entry122717@gmail.com и entry123488@india.com. На момент проведения исследования LowLevel04 был замечен в атаках только на греческих и болгарских пользователей.

требование_выкупа.jpg
Рис. Образец сообщения с требованием выкупа.

После того, как вредонос завершил процесс шифрования, он выполняет зачистку — удаляет все созданные файлы, удаляет журналы событий приложений, безопасности и системы, чтобы они не могли быть использованы для выполнения судебной-розыскной экспертизы по проведенной атаке.

команды_зачистки.png

Рис. Команды выполняемые для очистки журналов событий.


А теперь хорошие новости. В результате своего исследования эксперты Bleeping Computer выяснили, то вымогатели не удаляют теневые копии оригинальных файлов. Это означает, что имеется возможность использовать recovery tool для восстановления файлов или спецпрограмму, такую как Shadow Explorer (см. также его Руководство), чтобы восстановить ваши файлы из теневого бэкапа вымогателя. Информацию о том, как восстановить файлы из теневого бэкапа можно найти в руководстве по CryptoLocker.

 
Информацию о том, как восстановить файлы из теневого бэкапа можно найти в руководстве по CryptoLocker.
Кстати так же аналогичная инструкция имеется и у нас, но уже на русском языке и доработанная:
Как восстановить зашифрованные троянами файлы средствами Windows
 
Назад
Сверху Снизу