Компьютерщик из Челябинска. Надёжный, умный и красивый.

Вирус-шифровальщик VAULT

У красавчиков-хакеров всё так же как и в любом другом серьёзном бизнесе, поставлено на поток. Есть форумы, инструкции, счета для перевода денег, обменники криптовалюты и прочие дела. Для полноты картины не хватает акций типа "Приведи и зашифруй друга!" или расшифруй 2 компа — третий в подарок. И всё это было бы смешно, если бы не было так грустно. Порно-баннеры от вирусов типа WinLock уже почти отошли в прошлое и на смену им пришли совершенно легальные программы шифрования используемые тысячами людей ежедневно. И могу вас уверить в моих случаях не помог ни один антивирус и ни одна антивирусная лаборатория. То есть через несколько дней сигнатуры всех известных антивирусов, конечно, пополнились и этими вирусом и Касперский, Компания ESET, DrWeb начали подозревать что-то (но было уже поздно), но поменять структуру вируса-шифровальщика хакерам ничего не стоит и прислать вам на рабочую почту "письмо счастья" с ним во вложении. У моих клиентов всё примерно проходило по одной схеме.

На почту приходило письмо примерно такого содержания:



























Во вложении был файл Счета и акты по соглашению.zip

Такой файл почти любой директор или бухгалтер откроет автоматически. Ещё бывают варианты с письмами от судебных приставов с гербом внутри письма (для пущей убедительности) и подставным адресом какого нибудь районного суда вашего города и т п. В общем полная имитация рабочей переписки. Бывает и так что письмо приходит действительно с уже заражённого компьютера одного из ваших коллег.

Если открыть архив то там мы увидит файл javascript с раширением .js

Внутри файла всё хорошо обфусцировано и код частично закодирован с помощью base64 и с первого взгляда неясно что именно делает этот скрипт. К сожалению, в системах Windows XP/7 исполнение javascript, wsh, vbs кода по умолчанию разрешено благодаря встроенному в "окошки" Windows Script Host, да еще небезопасно настроенному. С выходом Windows 10 ситуация немного улучшилась. Но после некоторой расшифровки кода вируса многое становится ясно, хоть от этого пострадавшим и не легче. В моём случае cкрипт лез на сайт meetfeli.net и качал всем известную консольную бесплатную утилиту PGP.exe и ещё пару дополнительных скриптов причём они выглядят как безобидные css-файлы. Например скрипт скачивает файлы design.css и style.css которые на самом деле являются дополнительными скриптами и программами для работы вируса. После этого вирус переименовывает скачанные файлы в cmd и exe и начинается процесс шифрования пользовательских файлов. Вирус действует довольно избирательно, анализируя количество файлов вообще на компьютере, потом выбирает массовые скопления например DOC или XLS файлов и шифрует в первую очередь их. Причём чтобы пользователь потом не сумел восстановить удалённые файлы с помощью различных программ типа R-STUDIO или EasyRecovery вирус скачивает всем известную бесплатную консольную утилиту sdelete.exe и создав зашифрованную копию файла, стирает существующую с помощью sdelete навсегда без возможности восстановления. Процесс этот довольно долгий и конечно ресурсозатратный. И лучшей рекомендацией будет (если вы осознали что шифровальщик уже орудует у вас на компьютере) — немедленно выключить компьютер(ы) и вызвать адекватного специалиста. Итак в моём случае для шифровки использовался стойкий ключ RSA-1024.

Ясно конечно, что любой антивирус должен визжать как ошпаренная свинья при пересылке скриптов, но он почему-то хранил молчание. На Mail.ru например не визжал, хотя гордо красуется там логотип Касперыча. Визжать стал через пару дней, когда очевидно количество жалоб от пользователей достигло критического объёма. Всё время хочу спросить, где же была эвристика? Где анализатор полиморфного кода? Где система предотвращения от неизвестных угроз?

Шифровальщик VAULT распространяется через электронную почту в виде JS-файлов. 
Существует два варианта: "мелкий" скрипт и "большой". Мелкий качает компоненты через интернет, большой все свое носит с собой.

С этими вирусами самое надёжное - файлы интерпретаторов windows script host стереть (cscript.exe, wscript.exe), а их расширения назначить блокноту (js, vbs, wsf).

Расшифровка крайне маловероятна. В общем случае она может быть только у авторов трояна, а может и не быть. Dr.Web может проверить есть ли шансы на расшифровку в конкретно вашем случае без обращения к авторам трояна. Для этого нужно обращаться в техподдержку с лицензией.

Для шифрования используется GPG. В нем используется криптография с открытым ключом.

Профилактика: резервное копирование. Вместо антивируса я бы советовал настраивать политики ограниченного запуска программ или устанавливать хорошую утилиту CryptoPrevent. К счастью, авторы оставили её базовый функционал бесплатным. В ней, в принципе, достаточно применить профиль Default и перезагрузиться. Это запретит выполнение любых подозрительных исполняемых файлов.

Вот такая история. Будьте внимательны. Берегите данные. Бэкапьтесь чаще!
Плюсануть
Поделиться
Отправить
Класснуть

Комментариев нет:

Отправить комментарий

Обсудим это, товарищи?

Ярлыки

Админское (57) Windows (35) красота (29) интересное (16) фото (16) microsoft (13) музыка (12) вэб-сервисы (11) video (10) windows 10 (10) ошибки windows (9) юмор (9) космос (7) web (6) крутизна (6) природные стихии (6) Skype (5) windows 7 (5) видео (5) гении (5) Google (4) дизайн (4) HP (3) RDP (3) Билла нет и бардак (3) Сканер (3) вирус (3) восстановление (3) челябинск (3) шифровальшик (3) (2) Beatles (2) Bono (2) Chrome (2) U2 (2) Windows 8 (2) Windows 8.1 (2) crypto-locker (2) error (2) ustheduo (2) Мультфильм (2) блядство (2) виртуозы (2) котейки (2) крутота (2) лингвистика (2) наука (2) пианино (2) пиратство (2) полезные сервисы (2) природа (2) роутер (2) студия лебедева (2) филология (2) 3g модем (1) 80 port used (1) ASUS (1) AirPrint (1) Android (1) Apple (1) Avast (1) Brad Mehldau (1) D2D (1) Event log (1) HTC Desire Z (1) HUAWEI (1) IE11 (1) ITSFOSS (1) Inbox (1) Internet Explorer (1) Joe Banamassa (1) Kyocera (1) Laserjet 1010 (1) Level 3 (1) MLP (1) RT-N16 (1) Radiohead (1) Recovery (1) Server 2012 (1) Start button (1) Terminal server (1) Thunderbird (1) Tina Guo (1) Tom Waits (1) Windwos (1) Zachary Quinto (1) access (1) adb (1) adobe (1) avi (1) bricked (1) broken (1) bsod (1) bug (1) cannot find (1) cartoons (1) chords (1) classic shell (1) com-port (1) config (1) config.bin (1) create (1) damaged (1) decrypt (1) distro (1) dns-servers (1) drivers (1) english (1) excel (1) file (1) firmware (1) flash player (1) fonts (1) gif (1) html5 (1) in front of all (1) intel (1) invitation (1) ip (1) ipad (1) iphone4 (1) javascript (1) kerio (1) lego (1) linux (1) lumia (1) lyrics (1) micro-sim (1) mp4 (1) ms office (1) ms outlook (1) my little pony (1) nokia (1) non-domain (1) photoshop (1) pixel (1) reboot (1) recover (1) restore (1) router (1) smoothing (1) ssh (1) template (1) time restriction (1) tp-link (1) unbind a port (1) unknown device. (1) updates (1) virus (1) vpn (1) way (1) windows 2012 server R2 (1) windows server 2008 (1) winsxs (1) word (1) yahoo messenger servers ports (1) Анекдот (1) Билайн (1) Джером (1) Дисней (1) МТС коннект (1) Мамонов (1) Мегафон (1) Новости (1) Новый год (1) Отвязка модема от оператора (1) Печать (1) Политика (1) Полёт шмеля (1) Пуск (1) Совет (1) Стивен Фрай (1) Шевчук (1) автомобили (1) айпи (1) аккорды (1) альтернативные DNS серверы (1) английский язык (1) артисты (1) без смс (1) бесплатно (1) битый (1) взрыв (1) водители (1) восстановить (1) восстановить раздел с windows (1) гаджеты (1) гитара (1) графика (1) детское (1) драйвер (1) задроты (1) игры (1) инетернет (1) интернет (1) искусство (1) карикатуры (1) катастрофы (1) коммуникатор (1) консоль (1) концерт (1) курсор (1) лайфхак (1) литература (1) место на диске (1) метеорит (1) микросимка (1) настройки (1) ненужное для праведника (1) окна (1) ошибка (1) папка (1) погода (1) пони (1) порт (1) права (1) праздник (1) приглашение (1) принтер (1) проблема (1) программирование (1) прошивка (1) разблокировка (1) расшифровать (1) синий экран (1) скачать (1) снегопад (1) ссылки (1) страх (1) файл (1) физика (1) хром (1) чёрный экран (1) шаблон (1) шрифты (1)

Архив блога