Новый вирус

Тема в разделе "Техническая работа форума", создана пользователем amd, 22 июл 2014.

  1. amd

    amd Завсегдатай

    Регистрация:
    15 апр 2013
    Сообщения:
    5.328
    Симпатии:
    5.425
    Напоминаем, что открывать файлы программ или скриптов пришедшие по
    почте нельзя, только документы. Особое внимание уделяйте архивам, даже
    от знакомых партнеров.

    Скрипт по почте или снова о шифровальщиках
    Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем,
    если две версии не получили массового распространения, то две других, особенно четвертая
    (последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно,
    что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным
    способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь
    и эта лазейка закрыта.

    Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
    uncrpt@gmail_com
    unstyx@gmail_com
    unblck@gmail_com
    paystyx@gmail_com

    Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной
    почте (зачастую от известных пострадавшим пользователям отправителей)

    Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
    1. bat-файл, который и отвечает за процедуру шифрования
    2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом,
    что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
    3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
    4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)

    Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов
    (в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar),
    пропуская скрытые и системные.

    После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются

    Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*
    Вэл Rich, android, Mod.Ch. и ещё 1-му нравится это.
  2. САБУР

    САБУР Администратор Команда форума

    Регистрация:
    3 апр 2013
    Сообщения:
    18.085
    Симпатии:
    17.451
    Тут как раз в первый рабочий день открыл одно письмо с претензией. Вообщем все файлы на компе были зашифрованы. Появилась надпись шантажистов: Если Вы хотите восстановить файлы, то нужно сделать то то и то то. Вообщем денег кроме всего прочего. Полез на просторы инет, смотреть какие у меня варианты в решении данной проблемы. Утешительного было мало. Совет везде давался один: не платить денег, т.к. не факт, что они уберут вирус и расшифруют. Знакомый программист убрал этот вирус, но многие файлы были потеряны.
    Вообщем соблюдайте осторожность.
  3. amd

    amd Завсегдатай

    Регистрация:
    15 апр 2013
    Сообщения:
    5.328
    Симпатии:
    5.425
    САБУР, меня знакомый системщик тоже предупреждал про этих шифровальщиков. Защита от них единственная, делать резервные копии на DVD, туда пока еще вирусы не проникают. Вирусы шантажисты убирают, дают ключ. Но денег стоит. Если не будут давать ключ, им никто платить не станет
  4. САБУР

    САБУР Администратор Команда форума

    Регистрация:
    3 апр 2013
    Сообщения:
    18.085
    Симпатии:
    17.451
    Да, от 1000 долларов. Ну как говорится, сам лоханулся.

Поделиться этой страницей