4 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

В помощь заложникам; Фантомаса: дешифратор для жертв Cryakl

В помощь заложникам «Фантомаса»: дешифратор для жертв Cryakl

Бельгийская полиция и «Лаборатория Касперского» добыли ключи для расшифровки файлов, пострадавших от Cryakl.

У проекта помощи жертвам шифровальщиков-вымогателей No More Ransom есть хорошая новость: бельгийской федеральной полиции в сотрудничестве с «Лабораторией Касперского» удалось получить ключи для восстановления файлов, пострадавших от новых версий зловреда Cryakl, также известного как «Фантомас». Обновленная утилита для расшифровки уже доступна на портале проекта.

Как расшифровать файлы, зашифрованные Yatron

Вымогатель Yatron создан на основе другого шифровальщика — Hidden Tear. У этого «прародителя» необычная история. Несколько лет назад турецкий исследователь Утку Сен (Utku Sen) выложил в сеть исходный код зловреда. С тех пор специалисты периодически находят все новые вымогатели на его основе, и Yatron — один из них.

К счастью, в коде Yatron нашлись уязвимости — ими и воспользовались наши эксперты, чтобы создать декриптор. Если вы видите у заблокированных файлов расширение *.yatron — заходите на No More Ransom и качайте утилиту для их восстановления.

Шифровальщики: что это такое?

Сначала давайте разберемся, о чем идет речь. Шифровальщик (он же вымогатель) — это вредоносная программа, которая тем или иным образом проникает на устройство, после чего зашифровывает все или некоторые файлы и требует выкуп за возможность восстановить доступ к ценной информации.

Зловред может заразить ваш компьютер, например, если вы подключите к устройству незнакомый USB-носитель, откроете вредоносный сайт, запустите вредоносный файл из Интернета или вложение из письма. Кроме того, шифровальщик можно подцепить, даже не делая ничего особенно опасного: иногда достаточно, чтобы ваш компьютер находился в одной сети с уже зараженным. А одна из разновидностей этих зловредов и вовсе маскируется под обновление Windows.

Вымогатели требуют оплаты в биткойнах или другой криптовалюте, так что отследить платеж и найти злоумышленников очень сложно, а иногда и просто невозможно.

Платить или не платить?

Вымогатели обещают вернуть ваши файлы, если вы им заплатите. В действительности же выкуп ничего не гарантирует. Как показало наше исследование, из тех, кто заплатил вымогателям, 20% так и не получили обратно свои файлы.

Вот яркий пример: после того как больница Kansas Heart заплатила выкуп, вымогатели восстановили часть файлов, а затем потребовали еще денег за расшифровку оставшихся.

В среднем за восстановление файлов вымогатели требуют порядка 300 долларов США. Учитывая, что файлы могут и не восстановить, мы рекомендуем хорошенько подумать, прежде чем платить.

Что будет, если я подхвачу шифровальщик?

Готовы ли вы встретить угрозу лицом к лицу? Пройдите наш тест и узнайте:

Как можно защититься? Бесплатные средства защиты от шифровальщиков

Устранить последствия атаки шифровальщика может оказаться очень сложно. Поэтому лучше всего просто не допускать заражения. Не загружайте подозрительные файлы, не переходите по подозрительным ссылкам, не открывайте вложения из писем, которых вы не ждали, и писем от незнакомых отправителей.

Регулярно делайте резервные копии файлов. В таком случае, даже если на ваш компьютер попадет шифровальщик, вы сможете восстановить файлы, не выплачивая выкуп. Как делать резервные копии, можно узнать из нашего поста про бэкапы.

Пользуйтесь надежными защитными решениями. Бесплатная версия Kaspersky Security Cloud — Free защищает устройства не только от шифровальщиков, но и от множества иных угроз. А утилита Kaspersky Anti-Ransomware Tool for Business, тоже бесплатная, может работать наряду с другими защитными решениями и не конфликтует с ними.

Как ведет себя шифровальщик на зараженном компьютере

Процесс шифрования, как правило, начинается незаметно, а когда его признаки становятся очевидными, спасать данные уже поздно: к тому времени вредонос зашифровал всё, до чего дотянулся. Иногда пользователь может заметить, как у файлов в какой-нибудь открытой папке изменилось расширение.

Беспричинное появление у файлов нового, а иногда второго расширения, после чего они перестают открываться, стопроцентно указывает на последствия атаки шифровальщика. Кстати, по расширению, которое получают поврежденные объекты, обычно удается идентифицировать зловреда.

Пример, какими могут быть расширения зашифрованных файлов:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn и т. д.

Вариантов масса, и уже завтра появятся новые, поэтому перечислять все особого смысла нет. Для определения типа заражения достаточно скормить несколько расширений поисковой системе.

Читать еще:  3 Способа: Как Скачивать Программы на IPhone, iPad

Другие симптомы, которые косвенно указывают на начало шифрования:

  • Появление на экране на доли секунды окон командной строки. Чаще всего это нормальное явление при установке обновлений системы и программ, но без внимания его лучше не оставлять.
  • Запросы UAC на запуск какой-нибудь программы, которую вы не собирались открывать.
  • Внезапная перезагрузка компьютера с последующей имитацией работы системной утилиты проверки диска (возможны и другие вариации). Во время «проверки» происходит процесс шифрования.

После успешного окончания вредоносной операции на экране появляется сообщение с требованием выкупа и различными угрозами.

Вымогатели шифруют значительную часть пользовательских файлов: фотографий, музыки, видео, текстовых документов, архивов, почты, баз данных, файлов с расширениями программ и т. д. Но при этом не трогают объекты операционной системы, ведь злоумышленникам не нужно, чтобы зараженный компьютер перестал работать. Некоторые вирусы подменяют собой загрузочные записи дисков и разделов.

После шифрования из системы, как правило, удаляются все теневые копии и точки восстановления.

No_more_ransom: украинские предприятия атакует новый компьютерный вирус

Примерно с осени 2016 года в Сети распространяется вирус-вымогатель no_more_ransom. Это название вирус получил по расширению, которое он ставит на файлы после шифрования.

Несколько дней назад наша компания также подверглась атаке этого вируса. Благодаря быстрой реакции системного администратора нам удалось избежать потерь, однако мы считаем необходимым предупредить вас о механизме его работы.

По данным ресурсов spyware-ru и serveradmin.ru, происходит это так:

1. На почту приходит письмо нейтрального содержания, которое многие принимают за рабочую переписку. В нашем случае это было спам-письмо «от налоговой». Согласитесь, такие адресанты внушают доверие.

2. Во вложении электронного письма находится присоединенный файл — архив (zip), который в свою очередь содержит выполняемый файл (exe). Именно при попытке его открытия происходит активизация вируса. Сразу после запуска вирус сканирует все доступные диски, включая сетевые и облачные хранилища, для определения файлов которые будут зашифрованы. Дальше вирус зашифровывает файлы разнообразных типов (документы, картинки, базы данных, включая базы 1С) на компьютере жертвы.

На этом этапе наша коллега заметила, что некоторые файлы исчезли. Предотвратить заражение других офисных компьютеров удалось благодаря тому, что компьютер (по совету сисадмина) мгновенно отключили от питания. Проще говоря — выдернули из розетки.

3. После окончания процесса шифрования, все знакомые файлы исчезают, а в папках, где хранились документы, появляются новые файлы со странными именами и расширением .no_more_ransom. После этого вирус создаёт на всех дисках и Рабочем столе текстовые документы с именам README.txt, README1.txt, README2.txt…, которые содержат инструкцию по расшифровке зашифрованных файлов:

Из-за того, что имена файлов также изменятся, выборочно расшифровать файлы не получится.

«Вам повезет, если будут зашифрованы только локальные файлы. Хуже, если вирус пройдется и по сетевым дискам. Это вообще может парализовать работу всей организации. Даже если есть бэкапы, восстановление может занять значительное время. А если бэкапов нет, то беда», — предупреждают специалисты. Узнать более подробно о том, как определить и удалить вирус, а также расшифровать данные вы можете на указанных выше ресурсах.

Нам не известны масштабы последствий этих атак в пределах Украины. Однако уполномоченное ведомство Австралии посчитало, что за период с августа по декабрь 2015 года примерно 16 тысяч человек, компаний и органов государственной власти заплатили в общем $7 млн США после скачивания одного из таких вирусов-вымогателей. Но даже оплата не гарантировала пострадавшим, что им вернут данные.

Как предотвратить заражение? Защить от вирусов-шифровальщиков способны некоторые современные антивирусные и специализированные программы, однако пренебрегать очевидными мерами безопасности — не стоит.

НТЦ «Психея» уже 20 лет ежедневно работает с огромными массивами данных и о важности информационной безопасности в нашей компании говорить не приходится. Несмотря на то, что у нас действует регламент работы с информацией, мы вновь оповестили сотрудников и хотим напомнить вам: «Не открывайте вложенные архивы в письмах почты с неизвестных адресов для исключения вирусных атак».

К сожалению, на сегодня отсутствует объективная статистика по кибератакам на критически важные объекты, к числу которых следует, в первую очередь, отнести энергетические. Впервые кибератака на объект энергетики Украины была зафиксирована 23 декабря 2013 г. Тогда украинскую энергосистему спасло устаревшее оборудование, которое оказалось невосприимчивым к достижениям новейших технологий.

Стоит отметить, что понимание этой проблемы существует на уровне правительства — 15 марта Кабмин утвердил план мероприятий на 2017 год по реализации Стратегии кибербезопасности Украины. Основная миссия – обеспечение и контроль безопасности информационных систем госведомств и объектов критической инфраструктуры.

Автор:

НТЦ «Психея» (Всего статей: 9246)

Как вылечить или удалить вирус No_more_ransom

Важно понимать, что после того, как вы начнете самостоятельно бороться с вирусом-шифровальщиком No_more_ransom, потеряете возможность восстановить доступ к файлам при помощи пароля злоумышленников. Можно ли восстановить файл после No_more_ransom? На сегодняшний день нет на 100% рабочего алгоритма расшифровки данных. Исключением становятся только утилиты от известных лабораторий, но подбор пароля занимает очень много времени (месяцы, годы). Но о восстановлении чуть ниже. Для начала разберемся, как определить троян no more ransom (перевод – «нет больше выкупа») и побороть его.

Читать еще:  Узнать пароль от подключенной Wi-Fi сети в Windows

Как правило, установленное антивирусное ПО пропускает шифровальщики на компьютер – часто выходят новые версии, для которых попросту не успевают выпускать базы. Вирусы этого типа довольно просто удаляются с компьютера, ведь мошенникам и не нужно, чтобы они оставались в системе, выполнив свою задачу (шифрование). Для удаления можно воспользоваться уже готовыми утилитами, которые распространяются бесплатно:

  • Kaspersky Virus Removal Tool. Не требует установки. Необходимо скачать и запустить проверку.
  • Dr.Web CureIt! Отличная утилита для борьбы с любыми угрозами. Не требует установки – скачиваем последнюю версию и запускаем проверку.
  • Malwarebytes. Если две первых не помогли, можно попробовать эту утилиту.

Пользоваться ими очень просто: запускаем, выбираем диски, жмем «Начать проверку». Остается лишь ждать. После появится окошко, в котором будут отображены все угрозы. Жмем «Удалить».

Скорее всего, одна из этих утилит удалит вирус-шифровальщик. Если этого не произошло, то необходимо удаление вручную:

  1. Откройте «Диспетчер задач». Найдите процесс вируса (по названию). Переходим в папку, в которой он разместился.
  2. Удаляем. Переходим в реестр. Для этого нажимаем сочетание клавиш Win+R, в строку «Выполнить» вписываем «regedit». Перейдите в пункт «Правка», далее «Найти», здесь вводим «Client Server Runtime Subsystem». Находим и удаляем вирус No_more_ransom.
  3. Перезагружаем компьютер, заходим в «Диспетчер задач» и проверяем, чтобы не было процесса «No_more_ransom».

Если быстро заметите вирус, успев его удалить, то есть шанс, что часть данных не будет зашифрована. Лучше сохранить файлы, которые не подверглись атаке, на отдельный накопитель.

Rapid NextGen

(шифровальщик-вымогатель, RaaS)

Обнаружения:
DrWeb -> Trojan.Encoder.24249, Trojan.Encoder.24382, Trojan.Encoder.27800
BitDefender -> Generic.Ransom.Rapid.*, Generic.Ransom.Rapid2.*
ALYac -> Trojan.Ransom.Rapid
Malwarebytes -> Ransom.Rapid
Symantec -> Trojan.Gen.MBT

К зашифрованным файлам добавляется расширение .rapid

Активность этого крипто-вымогателя пришлась на конец декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
. README . txt — ранний вариант
! How Recovery Files.txt — вариант, ставший известным

Содержание записки о выкупе:
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail — jpcrypt@rape.lol

или другой вариант:

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также «Основные способы распространения криптовымогателей» на вводной странице блога.

. Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Rapid Ransomware завершает процессы sql.exe, sqlite.exe, oracle.com, если они выполняются в системе.

➤ Добавляется в Автозагрузку системы, чтобы шифровать новые файлы после перезагрузки ПК.

➤ Удаляет теневые копии файлов командами:
vssadmin.exe Delete Shadow /All /Quiet
cmd.exe /C bcdedit /set recoveryenabled No
cmd.exe /C bcdedit /set bootstatuspolicy ignoreallfailures

➤ Rapid генерирует уникальный AES-256-битный ключ для каждого файла и экспортирует его. Затем экспортированный файл AES-файла шифруется локальным открытым RSA-ключом. Затем Rapid шифрует файлы с помощью ключа AES-файла и записывает зашифрованный контент в исходный файл.
Затем добавляет нижний колонтитул в конец файла, который включает в себя:
— исходный размер файла;
— зашифрованный AES-ключ;
— зашифрованную локальную пару RSA-ключей.

➤ Повторю, Rapid Ransomware после проведенного шифрования не самоудаляется, как это делают другие шифровальщики, а продолжает шифрование все новые файлы на компьютере, подключаемых устройствах и дисках. Будьте осторожны!

Список файловых расширений, подвергающихся шифрованию:
.aff, .bin, .blf, .cab, .chk, .dat, .dic, .dll, .doc, .docx, .exe, .hxl, .hxn, .ini, .ja, .js, .lnk, .library-ms, .list, .log, .msi, .msu, .png, .ppt, .pptx, .rdf, .regtrans-ms, .rsm, .sdi, .swidtag, .Targets, .wim, .xls, .xlsx, .xml,
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без собственного расширения, специальные файлы в браузере Mozilla Firefox (precomplete, removed-files) и файлы .manifest и пр.

Файлы, связанные с этим Ransomware:
. README . txt
! How Recovery Files.txt
recovery.txt
info.exe
mstsc.exe
.exe
FTS.EXE — декриптер от вымогателей

Расположения:
%APPDATA%info.exe
Desktop ->
User_folders ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun «Encrypter»=»%AppData%info.exe»
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun «userinfo»=»%AppData%recovery.txt»
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jpcrypt@rape.lol
rapid@rape.lol
fileskey@qq.com
fileskey@cock.li
support@fbamasters.com
unlockforyou@india.com
и другие
См. ниже результаты анализов.

Читать еще:  Как Узнать на Windows 10 Ключ без Коробки и Наклейки

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT>>
VirusTotal анализ на Relec-Ransomware >>
Intezer анализ >>

Степень распространённости: средняя .
Подробные сведения собираются регулярно.

Обновление от 19 января 2018:
Расширение: .rapid
Файл: info.exe
Email: fileskey@qq.com и fileskey@cock.li
➤ Содержание записки / Contents of note:
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail — fileskey@qq.com or fileskey@cock.li

Обновление от 19 января 2018:
Статья на BC >>
Расширение: .rapid
Файл: info.exe
Записки: How Recovery Files.txt и recovery.txt
Email: frenkmoddy@tuta.io
Результаты анализов: VT + HA
➤ Содержание записки:
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail — frenkmoddy@tuta.io

Обновление от 21 января 2018:
Предположительное родство с Rapid Ransomware / Presumptive kinship with Rapid Ransomware. Вымогатели, видимо, принадлежат у другой группе.
Расширение / Extension: .paymeme
Сумма выкупа / Sum of ransom: 0.4 BTC
Email: paymeme@cock.li и paymeme@india.com
Записка / Ransom-note: HOW TO RECOVER ENCRYPTED FILES.TXT
➤ Содержание записки / Contents of note:
Hello!
All your files have been encrypted by us
If you want restore files write on e-mail — paymeme@cock.li or paymeme@india.com
Your ID:
***
Send me your ID and 1-3 small encrypted files(The total size of files must be less than 1Mb (non archived)) for free decryption.
After that, I’ll tell you the price for decryption all files.

Обновление от 12 февраля 2018 :
Расширение / Extension: .rapid and others
Вложение / Attachment: Notification-[number].zip
Записка / Ransom-note: recovery.txt
Email: decryptsupport@airmail.cc , supportlocker@firemail.cc
Записи реестра (Автозагрузка): HKCUSoftwareMicrosoftWindowsCurrentVersionRun «Encrypter_074 » = «%UserProfile%AppDataRoaminginfo.exe»
Файл: %UserProfile%AppDataRoaminginfo.exe
Статья на сайте BC >>

Обновление от 14 февраля 2018:
Расширение / Extension: .rapid
Записки / Ransom-note : How Recovery Files.txt и recovery.txt
Email: lola2017@tuta.io
Запись в реестре: Encrypter_074
➤ Содержание записки / Contents of note:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email — lola2017@tuta.io
and tell us your unique ID — ID-KN13NFTO
Другие файлы шифровальщика:
AppDataRoaminginfo.exe
AppDataRoamingrecovery.txt
C:WindowsFontsctfmon.vbs
Топик на форуме >>


Обновление от 16 февраля 2018:
Расширение / Extension: .rapid
Записка / Ransom-note: How Recovery Files.txt
Email: help@cairihi.com
BM-2cVeAHvZZjUf8M1v7AZKWeopqcYnTVFVZG@bitmessage.ch
➤ Содержание записки / Contents of note:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email — help@cairihi.com or BM-2cVeAHvZZjUf8M1v7AZKWeopqcYnTVFVZG@bitmessage.ch
and tell us your unique ID — ID-XXXXXXXX

Обновление от 8 марта 2018:
Пост в Твиттере >>
Версия: Rapid Ransomware — RaaS
Расширение / Extension: .rapid
Строка: BleepingComputer_rapid

Простые способы защиты от угроз вымогателей

Не полагайтесь на милость хакеров. Если существует вероятность нападения интернет вымогателей, необходимо предпринять простые шаги, чтобы защитить себя и свой бизнес от вредоносных программ.

1. Back Up

Лучшей защитой против вымогателей является возможность перехитрить нападавших. Это означает, что необходимо выполнять резервное копирование важных данных ежедневно.

Даже если ваши компьютеры и серверы блокируются, вы не будете вынуждены платить мошенникам, для получения Ваших данных.

2. Просто скажи нет подозрительным сообщениям электронной почты и ссылкам

Как определить присутствие вируса во вложении? Щелкните правой кнопкой мыши на вложении электронной почты, и отправьтесь сканировать их на наличие вредоносных программ перед открытием.

3. Администрирование и ограничение прав доступа

Административные методы могут использоваться для ограничение права доступа к системным файлам с целью предотвращения действий вредоносных программ и запрет установки без пароля администратора.

Только администраторы могут получать доступ к критически важным сегментам данных с использованием серверов.

Вместо того, чтобы давать тысячам сотрудникам доступ к файлам на одном сервере, администраторы могут разделить сотрудников на более мелкие группы, и в случае если один сервер заблокирован вымогателями, это не повлияет на остальные. Эта тактика вынуждает нападавших искать и блокировать несколько серверов, для эффективности нападения.

4. Получили инфекцию? Отключись.

Администраторы должны отключить зараженные системы из корпоративной сети, они должны также отключить Wi-Fi и Bluetooth на компьютерах, чтобы предотвратить распространение вредоносных программ на другие машины с помощью этих устройств.

5. Использовать дешифратор

Популярный дешифратор поможет удалить программу-вымогатель с компьютера прямо сейчас.

Выполните ниже описанные шаги, чтобы удалить эту вредоносную программу с вашего компьютера, если вы были заражены:

1 Прежде всего, сделайте резервную копию всех ваших зашифрованных файлов, чтобы предотвратить любые потери во время процесса.

2 Скачать инструмент дешифрования и извлечь его на свой компьютер.

В. Русский: https://int.down.360safe.com/totalsecurity/TeslaDecryptor.RU.zip

3 Запустить Decryptor.exe, а затем выберите зашифрованные файлы для сканирования.

4 Дальше следуйте инструкции, чтобы очистить ваш компьютер.

Думаете, вы и так хорошо защищены? Пройдите наш тест и проверьте, достаточно ли вы знаете о троянах-вымогателях.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector