Вирус зашифровал все файлы doc jpg. Вернее – пытался зашифровать :)

Вирус зашифровал все файлы doc jpg. Вернее - пытался зашифровать :)Считаю своим долгом предупредить, что на рунет напала новая эпидемия вирусов. Вернее, она была уже очень давно – но сейчас приобрела просто-таки невиданный размах. При этом – не просто вирусы, которые, скажем, блокируют компьютер, или вызывают возникновение синего экрана – а самый настоящий кошмар бухгалтера – вирус, который шифрует все файлы, до которых только может дотянутся, включая базы данных 1С бухгалтерии, doc, docx, xls, xlsx, pdf, jpg, zip – ну и куча еще всего. Особая опасность его состоит в том, что используется RSA ключ, привязанный к определенному компьютеру пользователя, поэтому универсального дешифровщика – декриптора просто не существуют. А даже те, которые работают прямо против данного конкретного вируса – могут не сработать на другом компьютере.

Началась эта история минимум лет 6, а то и 8 назад, но такой всплеск активности

Распространение вирусов-шифровальщиков по данным ESET

определяется в том числе и тем, что уже больше года в интернете лежат готовые билдеры, которые позволяют сваять подобную дрянь даже кул-хацкеру.

Сборщик вируса для кул-хацкера

К сожалению, сейчас появились уже гораздо более мощные варианты.

Рассылка вируса осуществляется очень целенаправленно – не абы кому, а в основном в бухгалтерию предприятия. Для этого по базам данных типа hh.ru собираются е-мэйлы бухгалтерий и отделов кадров, после чего рассылается письмо либо варианта:

——–

Здравствуйте.

Прошу рассмотреть мое резюме на вакантную должность помощника бухгалтера.
С уважением, Яна

yanchikshei1993@mail.ru

——-

Где должности меняются от бухгалтера до Администратора, имена – тоже меняются, может быть какая-нибудь Алена Дорофеева. В случае, если оно приходит в отдел кадров – то как правило, оно пересылается в бухгалтерию на рассмотрение.

И прикрепленный файл – Резюме.docx. Внутри реальное резюме но имплантирован OLE объект – pdf файл, содержащий  сам вирус. В случае, если бухгалтеры не заморачиваются и запускают – итог один – после перезагрузки компьютера – вирус отработал, зашифровал, самоубился. Письмо всегда адекватное, с неспамерского ящика (имя ящика соответствует подписи) с приложенным резюме. Запрашиваемая вакансия по профилю работы компании, поэтому подозрения даже не возникает. Лицензионный касперский бизнес редакция расширенная – даже не пищит на них, поскольку вирус меняется практически еженедельно. Аналогично и virustotal – проверка вложений на вирусы результатов не дает. И только некоторые антивиры выдают, что может быть – там Gen:Variant.Zusy.71505

Итог: подозрение обязан вызвать вордовский файл с внедренным pdf. Письмо открывается, например, три дня назад, а шифрование происходит не сразу, а при перезагрузке, или в другой отсроченный момент.

Также могут быть такие варианты писем:

——-

СПЕШИМ СООБЩИТЬ ВАМ ИНФОРМАЦИЮ О НАЧАЛЕ ПРОЦЕССА РАССМОТРЕНИЯ СУДЕБНОГО ИСКА
Здравствуйте
По нашим дaнным на 04.11.2013 Против вас начата процедура судебного разбирательства.
Проверить данные о начале судебного процесса вы можете по ccылкe нижe.Письмо сформировано автоматически отвечать на него не нужно.

ПРОВЕРИТЬ ДАННЫЕ

——-

Письмо якобы из арбитражного суда

Здесь вариантов еще больше:

  • письмо из ВЫСШЕГО АРБИТРАЖНОГО СУДА о взыскании долга
  • из Сбербанка Cообщение о увеличении задолженности
  • Коллекторского Агенства По нашим дaнным на 11.12.2012 Bыявлена мaксимaльная отсрочка плaтежа.
  • Средства видеофиксации за нарушение пдд

Еще один якобы "Арбитражный суд"

Здесь уже как, правило, используется просто исполняемый файл, у которого экзешное окончание через 200 символов и не видно.

В корне диска С, и/или во всех каталогах с поврежденным контентом кладется файлы типа CONTACT.txt или ЧТО_ДЕЛАТЬ.txt с уведомлением типа:

————

“Ваши файлы зашифрованы надежным криптостойким алгоритмом.
Использование сторонних утилит может повредить файлы, сделав их непригодными к расшифровке.
Для последующей расшифровки оставьте компьютер в текущем состоянии.
Максимально время хранения вашего ключа составляет 2 суток.  (до 22.11.2013)
Любые обращения после 22.11.2013 будут игнорироваться.

E-Mail: send.letter@aol.com
В теме письма укажите ваш ID:951006886505

Действия, которые могут привести к удалению ключа:
– Запрос платежных реквизитов без последующей оплаты
– Оскорбления
– Угрозы”

———-

ID и e-mail – также постоянно меняются, может быть, к примеру, вот такой:

Контактный E-Mail для покупки декриптора: perfect.mind@aol.com
В теме письма укажите ваш ID:914790413753

И еще несколько десятков вариантов типа vinni_pux@yahoo.com.

Также может выскакивать на рабочий стол картинка с уведомлением в стиле

“Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов.” Ну или сомалийских. Или Нигерийских. На что фантазии хватит.

Шифрование – очень мощное. Зашифрованному файлу присваивается расширение типа .nochance или .perfect – но также может быть и любое другое (в нашем случае было .perfect). Взломать – нереально, но можно подключить криптоаналитику, и найти дыру – для некоторых случаев dr WEB-у – удавалось. Еще один способ, как расшифровать файлы – находится здесь, но скорее всего он подойдет далеко не ко всем вирусам, а во вторых – надо иметь исходный exe с вирусом – вытащить его после самоуничтожения – весьма непросто.

Но. На то, чтобы зашифровать – требуется некоторое время. Плюс – в вирусе есть ошибка (какая – говорить не буду), которая позволяет потерять не все файлы, а только часть, если успеть выдернуть компьютер из сети как только будет обнаружен факт появление в массовом количестве файлов с таким странным расширением.

В нашем случае – у нас на все есть бэкапы. Однако, не потребовалось даже восстановление из них: было затронуто всего штук 30-40 файлов, абсолютно нам не нужных уже, которые мирно себе лежали, хотя их и так уже давно пора было удалить. Во-вторых – резюме запускалось не на рабочих машинах, у которых и папки расшарены друг на друга, и базы с 1С лежат, а на отдельной ни с чем не связанной машине, поскольку девочка кое-что все-таки подозревала. Ну и отрубили это все достаточно быстро.

Поймать за руку этих рукожопых писак вируса достаточно сложно (рукожопых – потому что даже без ошибки не могли создать вирус, который бы полноценно и незаметно все сделал). Авторы используют одноразовые ЯндексКошельки, разные для каждого пользователя (ID), так что вопрос к процессинговому центру ЯД тоже ничего не дадут. Либо биткоины.

Единственный шанс на возврат своих данных – заплатить доктору Вебу за лицензию – но без гарантий – т.е. их дешифратор может и не сработать. Или – вирусописателям, т.е. проспонсировать преступников. Стоит ли это делать – решайте сами (я на переговоры с такого рода людьми предпочитаю не идти), хотя опыт показывает, что они присылают инструкцию и код для декодирования (в отличие от вирусов, подсовывающих ложные страницы и просящих отправить смс на платный номер). Можно еще написать заявление в РОВД м Управление К (образец заявления), но если вы не Аэрофлот – на 99,9% оно повиснет. Хотя если с умом подойти – то раскрутить всю цепочку можно, даже если используется orbot. А в случае – если не пришлют за деньги – сделать это стоит обязательно.

Чтобы понять, какой размах приобрел этот “бизнес” – зайдите на сайт Касперского в топик, посвященный борьбе с вирусами – и ужаснитесь сами. 90% – это шифровальщики. Почему ни антивирусные компании (я не о расшифровке – а о предотвращении шифрования), ни отдел К до сих пор с этим не борются – вызывает откровенное непонимание. Ведь это – гораздо более чревато, чем просто заблокированный десктоп/интернет. Может быть, из-за того, что для того, чтобы получить дешифратор от ДрВеба, необходимо купить у них лицензию на антивирус минимум на 3 месяца?

Ну и на последок – как обычно, краткие рекоммендации:

Бэкапьтесь, бэкапьтесь, и еще раз бэкапьтесь. При этом – не в соседнюю папку. И не в папку подсоединенного по сети компьютера. И не на флешку, вставленную в рабочий компьютер. То есть – во все эти места бэкапиться можно и нужно, но не от такого типа вирусов. Во все перечисленные места, куда есть доступ с зараженного компа у вас – доберется и он. Сохраняйте свои бэкапы дополнительно на отдельный компьютер, в облако и на винчестер, не присоединенный постоянно к рабочему компьютеру.

Относитесь с крайней степенью подозрения ко всем файлам, что приходят к вам на почту от незнакомых контрагентов – не важно, что это – резюме, накладная, постановление из налоговой или арбитражного суда, да хоть из госалкогольрегулирования. Не запускайте их на рабочем компьютере. Выделите под почту какой-нибудь нетбук без данных, который в случае чего будет не жалко.

Если уж совсем не вмоготу и надо открыть на рабочем – используйтепесочницу” для открытия подозрительных файлов. Хотя это – и не идеальный способ, работает не со всеми программами, плюс стоит денег.

Помните, что вирус может начать действовать не сразу. Помните, что ни Касперский, ни DrWeb его не видят в упор. Если уж совсем все плохо, и горят отчеты по бухгалтерии – читайте опыт тех, кто расшифровал за деньги.

Если началось – вырубайте сеть, флэшки и комп физическим вытаскиванием проводов. После чего – liveCD или infraCD  – и смотрите, что осталось.

Для нас все окончилось хорошо, даже бэкапы вытаскивать не пришлось. Но могло бы и не повезти.

Историю возникновения всей этой хрени с очень правильными мыслями описана здесь.

Upd. Судя по тому, сколько набрала эта запись просмотров по переходам из поисковиков, когда уже все зашифровано – проблема еще серьезнее, чем я думал изначально. Повторюсь в кратком резюме: если вирус зашифровал файлы с расширением .perfect, и вы пришли сюда посмотреть, как их расшифровать – то варианта у вас три, но все – без особых гарантий: 1) Идти в тему вируса на форум Касперского и скачиваете дешифратор, дальше – надеетесь, что он сработает 2) Идете на форум DrWeb, покупаете пакет поддержки на 3 месяца, отправляете запрос на расшифровку 3) Если вдруг все это не сработало – либо забиваете, либо связываетесь с вымогателями, и оплачиваете назначенную ими сумму, после чего получаете дешифратор для вашей машины.

1
You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

12 комментариев на «“Вирус зашифровал все файлы doc jpg. Вернее – пытался зашифровать :)”»

  1. Nick:

    Привет! Подскажи, как можно расшифровать файлы? Что за уязвимость в вирусе? Сегодня попал на этот шедевр, гору кирпичей уже отложил (= моя почта pinik@list.ru Заранее благодарен.

    • Если успело зашифроваться все – то уязвимость здесь уже не поможет. Я писал, что

      позволяет потерять не все файлы, а только часть, если успеть выдернуть компьютер из сети как только будет обнаружен факт появление в массовом количестве файлов с таким странным расширением

      Но с ее помощью DrWeb, которому была переслана некоторая информация, возможно скоро сможет их восстанавливать. Возможно. Подождите, ребята работают. Я, к сожалению, в расшифровке помочь не смогу.

  2. Cedric:

    Вот свежий дешифровальщик, может поможет кому.
    В архиве -как пользоваться.
    http://yadi.sk/d/fCo58a1eHTjoQ

  3. Хочу дать свой дилетанский совет.У меня тоже шифровальщик поработал,благодаря моему ротозейству.Он запускает множество исполнений одновременно,и при малейшем торможении системы нужно срочно посмотреть диспетчер задач и хотя бы при двух паралельных процессах загрузится с внешнего носителя и внимательно посмотреть не появилось ли файлов со странным расширеннием.Самое главное нужно держать на машине шифрованный виртуальный диск и не жалеть под него даже половину винта.И периодически копировать туда всё что считаете ценным.Можно его даже сделать не видимым.Вирус на нём не чего не шифрует.С уважением Рыжов Сергей.

  4. Алексей:

    Я тоже нарвался на шифровальщика… все картинки и доки в труху… базу 1С мне смогли восстановить. Если кого спасёт, вот эти ребята: http://www.1chelp.su

  5. вадим:

    могу помочь с вашей бедой как вам расшифровать ваши фото видео . если они вам еще нужны звоните 89180531710 . прогу разработал сам не продам и не отдам .

  6. Руслан:

    Расшифрую файлы , нахожусь в Москве, +79055807776 (Руслан) могу работать удаленно для регионов , 100% гарантия , 90 успешной работы 

  7. Dmmitriy:

    помогу восстановить файлы если у Вас:
    1 Windows 7, windows 8
    2. Большая часть файлов на рабочем столе, в моих документах, на диске с
    помогаю за символическую плату (которую вы почитаете возможной для вас за данную услугу)
    в основном после 15,00 по Москве, писать на decoder-d(сабака)yandex.ru

    • Mariya:

      Dmmitriy, огромное спасибо!!!! за 3 часа удалось спасти весь семейный фотоальбом за много лет.

      Мы Счастливы!!!!

  8. Ольга:

    опасайтесь мошенников и сайтов которые предлагают расшифровать ваши файлы!

    они просят зашифрованный фаил и информационное сообщение куда писать письма для расшифровки. На самом деле они просто становятся посредниками между вами и вымогателями имея откат. На сайтах куча благодарственных писем и другой атрибутики, но это только ширма.

  9. Есть уже дешифровальщик на него

  10. Himik:

    Писать можно красиво, только от этого ничего не меняется. Мне не помогли ни Касперский и доктор не помог c расшифровкой.

    Помогли специалисты

    tetrou.com/deshifrovka

    Платно, но выхода не было, нужны были файлы срочно по работе. А какой выход?

    Или плати вымогателям или спецам.

    Хотя взяли по божески, а этим мошенникам ни копейки не дам.

    В будущем буду умнее, делаю 3 копии файлов на разных носителях.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

QR Code Business Card