• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Очередная напасть - файлы упакованы в rAr-архивы

Статус
В этой теме нельзя размещать новые ответы.

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,787
Реакции
2,395
Спустя месяц после предыдущего варианта компьютеры пользователей подверглись очередной напасти. Правда в этот раз файлы не шифруются в прямом смысле этого слова, а упаковываются в rAr-архивы с паролем

Примеры тем
http://virusinfo.info/showthread.php?t=160858
http://virusinfo.info/showthread.php?t=160892
http://virusinfo.info/showthread.php?t=160934

Механизм распространения: вложение (дроппер) к электронному письму

Известные имена дроппера
Копия искового заявления в суд ответчику.cmd - просто переименованный самораспаковывающийся архив
https://www.virustotal.com/ru/file/...710dfa338b19da3c839c0d67bc9923df845/analysis/
Шифруемые файлы (на всех логических дисках)
.ppt*, .jpg, .jpe*, .doc*, .txt, .pdf, .tif, .dbf, .eps, .psd, .rar, .wbd, .cdr, .zip, .psb, .ptx, .tst, .mrh, .dbk, .4db, .sps, .mbd, .wps, .raw, .dxb, .pek, .mov, .vob, .xls*, .dwg, .cpp, .xml, .dxg, .pdm, .epf, .erf, .grs, .geo, .vrp, .yml, .mdb, .mdf, .1cd, .tar, .cdx, .dxg, .odt, .obd, .wps, .pst, .rtf, .odb, .slx

После запуска в папке c:\tmp появляется все необходимое для шифрования
Для работы вирус использует консольную версию архиватора WinRar 5.0

В каждой папке создается файл с именем !!!Фaйлы зaшифpoвaнны!!!.txt следующего содержания (пример)
Все файлы Вашего компьютера зашифрованы архиватором Rar 5.0 с паролем.
Современный уровень развития компьютерной криптографии позволяет создать
код, которым можно зашифровать файлы данных, а также зашифровать сам код,
для того, чтобы передать его со 100% гарантией надежности от
несанкционированного использования. В подтверждение этого Вы получили по
эллектронной почте письмо, вложение которого зашифровало все Ваши файлы.
При архивировании происходит шифрование данных алгоритмом AES. Взломать
такой алгоритм невозможно. Таким образом, нет смысла обращаться за помощью,
кроме автора данного шифра. Вы потеряете время и деньги.
Существуют другие разновидности подобных программ, которые расшифровывают
антивирусные компании, но в данном случае это просто невозможно.
Для того, чтобы разархировать данные - нужно приобрести пароль. Стоимость
пароля 10.000 рублей. Вместе с паролем прилагается программа, которая
расшифрует все файлы за Вас автоматически.
E-mail для связи: boeing777@lelantos.org
В конце данного сообщения содержится текст из набора символов. Это Ваш
пароль в зашифрованном виде. Не удаляйте данный файл, поскольку в ином
случае восстановить данные будет невозможно. Для надежности данный файл
находится во всех директориях, где имеются зашифрованные файлы.
Пришлите нам этот файл (который Вы сейчас читаете) и один зашифрованный
файл (небольшого размера) - мы его Вам расшифруем. Один расшифрованный файл
мы высылаем для подтверждения того, что Вы разговариваете с владельцем ключа
шифрования и расшифровать Ваши данные вполне реально. Также, Вам будет
выслана инструкция по оплате. После оплаты Вы получите пароль и программу,
которая автоматически расшифрует все зашифрованные файлы (имея пароль можно
разархивировать (расшифровать) все данные и вручную, без нашей программы).
Имейте в виду, больше никто в мире не сможет расшифровать данные, поскольку
пароль на архивы зашифрован алгоритмом RSA. Архивы RAR с паролем еще никто
не взломал.
Если Вам не приходит ответ долгое время, возможно, наш ответ мог попасть в
папку СПАМ Вашего почтового ящика. Посмотрите там.
Если наша почта не отвечает, возможно, наш почтовый ящик перестал работать.
Мы предусмотрели второй способ связи.
1) Зайдите на сайт www.bitmsg.me
2) Зарегистрируйтесь ( нажмите get started today), затем введите Ваш логин,
e-mail и пароль (пароль вводится два раза для подтверждения правильности
ввода).
3) На Ваш почтовый ящик, указанный при регистрации, будет отправлена ссылка
для подтверждение регистрации.
4) Пройдите по ссылке. Далее, Вам потребуется создать адрес для переписки -
нажмите кнопку Create random address. Все, вы можете отправить нам сообшение.
Отправить новое сообщение - нажмите кнопку New Message. В разделе to (кому)
укажите наш контактный адрес: BM-2cWkTNu9iFXi2Dw5oQAUAwK6E2pKTRea9t
Укажите тему сообщения и пишите сообщение. Потом нажимаете кнопку Send Message
(послать сообщение). Когда Вам придет ответ - его можно прочитать, нажав сверху
кнопку Inbox и нажав на тему сообшения. Ответ придет в течение 1-24 часов.
1Ke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

А теперь немного о работе вируса.

После запуска дроппера, извлечения компонентов стартует zap.exe. Он в свою очередь запускает driver.bat
Код:
@ECHO OFF
start "" "strt.exe"
PING -n 75 -w 1000 127.0.0.1 > nul
echo moar.exe>>system

На экран выводится сообщение якобы об ошибке Microsoft Word
Ошибка в файле или файл испорчен
Это развод (инициатор - файл strt.exe). После задержки в 75 секунд, создается файл system, в который записывается строка

Для недопущения запуска второй копии шифровальщика выполняется проверка наличия файла testz. Если его нет, он создается. Происходит чтение содержимого файла system, в результате которого запускается файл moar.exe, который и вполняет основную работу.

В файл psystem первоначально записывается сгенерированный на основе счетчика времени работы системы 64-байтный пароль для архивирования. Этот же ключ во время работы программы хранится в памяти.

Происходит поиск подходящих для архивирования файлов. Запуск архивации происходит следующим образом
Код:
rar.exe a -ep1 -dw -p<ключ> <имя.rAr> <имя>
где
а - добавить в архив
-ep1 - исключить базовую папку из пути
-dw - стереть исходный файл
Остальное, я думаю, понятно и так

После этого ключ шифруется с использованием алгоритма RSA и содержимого файла
public mod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
public key=932E18AD4465A6A2508998CBDFA3F647ABDB76306ECA4B2BB85D8FD1CF1C13DC8D318000F2986A3561FFC88F3B5684BD989A4EE1739A0465ECD709C392C20A70F14DA22A197999F0347BCA522B1B4D797AB220F7A0DA49CFF66C4B0632382138AF9A26F2FEC0D54B3ABBB1D71467083D60436C30236D130D786E22BAB68BCED
и записывается в файл key (если он уже существует, этот шаг пропускается; если не существует, то преобразованный ключ записывается и в файл psystem, затирая в нем исходный ключ шифрования).

В папке с заархивированным файлом создается файл с сообщением вымогателя, в конец которого записывается зашифрованный ключ (причем никакой проверки на наличие файла с сообщением не происходит, и он создается каждый раз заново)

Оценка возможности дешифровки:
- возможна:
-- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс шифрования, выдрать из памяти программы ключ;
-- если антивирусные компании ЗАХОТЯТ заниматься простым перебором ключей;

- невозможна:
-- если шифровальщик закончил работу, и остался только зашифрованный файл с ключом;
-- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.

P.S. Первоначально, когда впервые стали появляться темы с этой напастью, вирус детектировался Лабораторией Касперского как not-a-virus:RiskTool.Win32.Crypter.hq (Virustotal отжигает старым детектом :)). Теперь детект обновили до Trojan-Ransom.Win32.Agent.icj
 
Последнее редактирование модератором:
Обнаружена новая модификация (а скорее оригинальный код) http://virusinfo.info/showthread.php?t=162833

Ключ генерируется на основе позиции курсора мыши (показал беглый анализ)
В ближайшие дни проведу исследование
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу