Вирус зашифровал все файлы doc jpg. Вернее — пытался зашифровать :)

Считаю своим долгом предупредить, что на рунет напала новая эпидемия вирусов. Вернее, она была уже очень давно — но сейчас приобрела просто-таки невиданный размах. При этом — не просто вирусы, которые, скажем, блокируют компьютер, или вызывают возникновение синего экрана — а самый настоящий кошмар бухгалтера — вирус, который шифрует все файлы, до которых только может дотянутся, включая базы данных 1С бухгалтерии, doc, docx, xls, xlsx, pdf, jpg, zip — ну и куча еще всего. Особая опасность его состоит в том, что используется RSA ключ, привязанный к определенному компьютеру пользователя, поэтому универсального дешифровщика — декриптора просто не существуют. А даже те, которые работают прямо против данного конкретного вируса — могут не сработать на другом компьютере.

Началась эта история минимум лет 6, а то и 8 назад, но такой всплеск активности

определяется в том числе и тем, что уже больше года в интернете лежат готовые билдеры, которые позволяют сваять подобную дрянь даже кул-хацкеру.

К сожалению, сейчас появились уже гораздо более мощные варианты.

Рассылка вируса осуществляется очень целенаправленно — не абы кому, а в основном в бухгалтерию предприятия. Для этого по базам данных типа hh.ru собираются е-мэйлы бухгалтерий и отделов кадров, после чего рассылается письмо либо варианта:

———

Здравствуйте.

Прошу рассмотреть мое резюме на вакантную должность помощника бухгалтера.
С уважением, Яна

yanchikshei1993@mail.ru

——-

Где должности меняются от бухгалтера до Администратора, имена — тоже меняются, может быть какая-нибудь Алена Дорофеева. В случае, если оно приходит в отдел кадров — то как правило, оно пересылается в бухгалтерию на рассмотрение.

И прикрепленный файл — Резюме.docx. Внутри реальное резюме но имплантирован OLE объект — pdf файл, содержащий  сам вирус. В случае, если бухгалтеры не заморачиваются и запускают — итог один — после перезагрузки компьютера — вирус отработал, зашифровал, самоубился. Письмо всегда адекватное, с неспамерского ящика (имя ящика соответствует подписи) с приложенным резюме. Запрашиваемая вакансия по профилю работы компании, поэтому подозрения даже не возникает. Лицензионный касперский бизнес редакция расширенная — даже не пищит на них, поскольку вирус меняется практически еженедельно. Аналогично и virustotal — проверка вложений на вирусы результатов не дает. И только некоторые антивиры выдают, что может быть — там Gen:Variant.Zusy.71505

Итог: подозрение обязан вызвать вордовский файл с внедренным pdf. Письмо открывается, например, три дня назад, а шифрование происходит не сразу, а при перезагрузке, или в другой отсроченный момент.

Также могут быть такие варианты писем:

——-

СПЕШИМ СООБЩИТЬ ВАМ ИНФОРМАЦИЮ О НАЧАЛЕ ПРОЦЕССА РАССМОТРЕНИЯ СУДЕБНОГО ИСКА
Здравствуйте
По нашим дaнным на 04.11.2013 Против вас начата процедура судебного разбирательства.
Проверить данные о начале судебного процесса вы можете по ccылкe нижe.Письмо сформировано автоматически отвечать на него не нужно.

ПРОВЕРИТЬ ДАННЫЕ

——-

Здесь вариантов еще больше:

• письмо из ВЫСШЕГО АРБИТРАЖНОГО СУДА о взыскании долга
• из Сбербанка Cообщение о увеличении задолженности
• Коллекторского Агенства По нашим дaнным на 11.12.2012 Bыявлена мaксимaльная отсрочка плaтежа.
• Средства видеофиксации за нарушение пдд

Здесь уже как, правило, используется просто исполняемый файл, у которого экзешное окончание через 200 символов и не видно.

В корне диска С, и/или во всех каталогах с поврежденным контентом кладется файлы типа CONTACT.txt или ЧТО_ДЕЛАТЬ.txt с уведомлением типа:

————

«Ваши файлы зашифрованы надежным криптостойким алгоритмом.
Использование сторонних утилит может повредить файлы, сделав их непригодными к расшифровке.
Для последующей расшифровки оставьте компьютер в текущем состоянии.
Максимально время хранения вашего ключа составляет 2 суток.  (до 22.11.2013)
Любые обращения после 22.11.2013 будут игнорироваться.

E-Mail: send.letter@aol.com
В теме письма укажите ваш ID:951006886505

Действия, которые могут привести к удалению ключа:
— Запрос платежных реквизитов без последующей оплаты
— Оскорбления
— Угрозы»

———-

ID и e-mail — также постоянно меняются, может быть, к примеру, вот такой:

Контактный E-Mail для покупки декриптора: perfect.mind@aol.com
В теме письма укажите ваш ID:914790413753

И еще несколько десятков вариантов типа vinni_pux@yahoo.com.

Также может выскакивать на рабочий стол картинка с уведомлением в стиле

«Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов.» Ну или сомалийских. Или Нигерийских. На что фантазии хватит.

Шифрование — очень мощное. Зашифрованному файлу присваивается расширение типа .nochance или .perfect — но также может быть и любое другое (в нашем случае было .perfect). Взломать — нереально, но можно подключить криптоаналитику, и найти дыру — для некоторых случаев dr WEB-у — удавалось. Еще один способ, как расшифровать файлы — находится здесь, но скорее всего он подойдет далеко не ко всем вирусам, а во вторых — надо иметь исходный exe с вирусом — вытащить его после самоуничтожения — весьма непросто.

Но. На то, чтобы зашифровать — требуется некоторое время. Плюс — в вирусе есть ошибка (какая — говорить не буду), которая позволяет потерять не все файлы, а только часть, если успеть выдернуть компьютер из сети как только будет обнаружен факт появление в массовом количестве файлов с таким странным расширением.

В нашем случае — у нас на все есть бэкапы. Однако, не потребовалось даже восстановление из них: было затронуто всего штук 30-40 файлов, абсолютно нам не нужных уже, которые мирно себе лежали, хотя их и так уже давно пора было удалить. Во-вторых — резюме запускалось не на рабочих машинах, у которых и папки расшарены друг на друга, и базы с 1С лежат, а на отдельной ни с чем не связанной машине, поскольку девочка кое-что все-таки подозревала. Ну и отрубили это все достаточно быстро.

Поймать за руку этих рукожопых писак вируса достаточно сложно (рукожопых — потому что даже без ошибки не могли создать вирус, который бы полноценно и незаметно все сделал). Авторы используют одноразовые ЯндексКошельки, разные для каждого пользователя (ID), так что вопрос к процессинговому центру ЯД тоже ничего не дадут. Либо биткоины.

Единственный шанс на возврат своих данных — заплатить доктору Вебу за лицензию — но без гарантий — т.е. их дешифратор может и не сработать. Или — вирусописателям, т.е. проспонсировать преступников. Стоит ли это делать — решайте сами (я на переговоры с такого рода людьми предпочитаю не идти), хотя опыт показывает, что они присылают инструкцию и код для декодирования (в отличие от вирусов, подсовывающих ложные страницы и просящих отправить смс на платный номер). Можно еще написать заявление в РОВД м Управление К (образец заявления), но если вы не Аэрофлот — на 99,9% оно повиснет. Хотя если с умом подойти — то раскрутить всю цепочку можно, даже если используется orbot. А в случае — если не пришлют за деньги — сделать это стоит обязательно.

Чтобы понять, какой размах приобрел этот «бизнес» — зайдите на сайт Касперского в топик, посвященный борьбе с вирусами — и ужаснитесь сами. 90% — это шифровальщики. Почему ни антивирусные компании (я не о расшифровке — а о предотвращении шифрования), ни отдел К до сих пор с этим не борются — вызывает откровенное непонимание. Ведь это — гораздо более чревато, чем просто заблокированный десктоп/интернет. Может быть, из-за того, что для того, чтобы получить дешифратор от ДрВеба, необходимо купить у них лицензию на антивирус минимум на 3 месяца?

Ну и на последок — как обычно, краткие рекоммендации:

Бэкапьтесь, бэкапьтесь, и еще раз бэкапьтесь. При этом — не в соседнюю папку. И не в папку подсоединенного по сети компьютера. И не на флешку, вставленную в рабочий компьютер. То есть — во все эти места бэкапиться можно и нужно, но не от такого типа вирусов. Во все перечисленные места, куда есть доступ с зараженного компа у вас — доберется и он. Сохраняйте свои бэкапы дополнительно на отдельный компьютер, в облако и на винчестер, не присоединенный постоянно к рабочему компьютеру.

Относитесь с крайней степенью подозрения ко всем файлам, что приходят к вам на почту от незнакомых контрагентов — не важно, что это — резюме, накладная, постановление из налоговой или арбитражного суда, да хоть из госалкогольрегулирования. Не запускайте их на рабочем компьютере. Выделите под почту какой-нибудь нетбук без данных, который в случае чего будет не жалко.

Если уж совсем не вмоготу и надо открыть на рабочем — используйте «песочницу» для открытия подозрительных файлов. Хотя это — и не идеальный способ, работает не со всеми программами, плюс стоит денег.

Помните, что вирус может начать действовать не сразу. Помните, что ни Касперский, ни DrWeb его не видят в упор. Если уж совсем все плохо, и горят отчеты по бухгалтерии — читайте опыт тех, кто расшифровал за деньги.

Если началось — вырубайте сеть, флэшки и комп физическим вытаскиванием проводов. После чего — liveCD или infraCD  — и смотрите, что осталось.

Для нас все окончилось хорошо, даже бэкапы вытаскивать не пришлось. Но могло бы и не повезти.

Историю возникновения всей этой хрени с очень правильными мыслями описана здесь.

Upd. Судя по тому, сколько набрала эта запись просмотров по переходам из поисковиков, когда уже все зашифровано — проблема еще серьезнее, чем я думал изначально. Повторюсь в кратком резюме: если вирус зашифровал файлы с расширением .perfect, и вы пришли сюда посмотреть, как их расшифровать — то варианта у вас три, но все — без особых гарантий: 1) Идти в тему вируса на форум Касперского и скачиваете дешифратор, дальше — надеетесь, что он сработает 2) Идете на форум DrWeb, покупаете пакет поддержки на 3 месяца, отправляете запрос на расшифровку 3) Если вдруг все это не сработало — либо забиваете, либо связываетесь с вымогателями, и оплачиваете назначенную ими сумму, после чего получаете дешифратор для вашей машины.