Шифровирусы шумною толпою...

отредактировано August 2022 Раздел: Шифровирусы шумной толпою
image1. Откочевал и отплясал (с мая и до осени 2014г) по нервам пользователей и ИТ сотрудников шифровирус bat.encoder. Первые - продолжают открывать все письма подряд, привычно доверяя тому, что говорят по телевизору и печатают в газетах и письмах. К печатному слову особенное доверие. " К любым чертям с матерями катись любая бумажка, но эту...", составленную по всем правилам социальной инженерии: акты приема-передачи, акты сверки_проверки, скан-счета на оплату, счет для оплаты задолженности, письмо из ФНС, судебная повестка по гражданскому делу, резюме и многочисленное т.д. - обязательно откроют из вложенного архива, и запустят.
Причина этому - сокрытие (по умолчанию включенное в системе) расширения имен файлов, + незнание того факта, что офисные документы никак не могут быть с расширением исполняемых файлов: *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, *.hta. Цена открытия подобных документов все более возрастает. для bat.encoder стоимость за приватный ключ расшифровки документов составляла ~ 15-20 000 рублей. Помимо финансовых затрат компании несут имиджевые и материальные потери, а отдельные работники, сотрудники и просто пользователи теряют еще и личные документы, фото (часто семейные, в единственном экземпляре), накопленные за несколько лет.

Решения по расшифровке документов *keybtc@gmail_com, *paycrypt@gmail_com нет и скорее всего не будет.

На дворе стоит февраль 2015г, и новый, технологичный шифратор, ctb-locker (он же encoder.686/Critroni.A/FileCoder.DA) уже на порядок выше запрашивает сумму за расшифровку документов - 3btc, по нынешним временам - целое состояние под 100 000руб!

Принцип работы злоумышленников прост. Письмо, помимо цепляющего текста, содержит вложенный документ (или ссылку на загрузку документа (как правило в архиве) из сети), который обычно является (в последнее время все чаще -закодированным скриптом) загрузчиком шифратора из сети. Расчет на человека, который невнимателен при появлении в почте сообщений от невидимых (и неведомых) адресатов. И на то, что антивирусные лаборатории не успевают выпускать новые детекты, а правила HIPS в новых антивирусных продуктах будут обойдены при запуске загрузчика.
-----------
2. краткое описание некоторых видов шифраторов.

1. bat.encoder:/paycrypt/keybtc/далее *.vault/xrtn/xort
в сети появился примерно в мае-июне 2014 года.
запускается, как правило, из вложенного в zip архив js-скрипта.
используется консольная утилита GnuPG (v 1.4.18-19-20), скачиваемая из сети, метод шифрования PGP.
процесс шифрования запускается из *.bat/cmd файла.
К исходному имени зашифрованных документов добавлено расширение keybtc@gmail_com/paycrypt@gmail_com/unstyx@gmail_com и др.
пример: Паркет доска.doc.keybtc@gmail_com
для расшифровки необходимы:
KEY.PRIVATE/VAULT.key (содержит sec key из созданной ключевой пары)
в России был активен до начала ноября 2015г, далее был замечен на зарубежных форумах как xrtn/xort/trun/

2. encoder.567 / filecoder.CQ / Cryakl* /
ключ в автозапуске: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
примеры файлов:
KEY_GPG.rar.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[email protected]
[email protected] 1.1.0.0.id-GMHHVGBCABPQDWFGGHQRDXSMFGWWJJFFRLCC-14.08.2015 14@[email protected]
продолжает эволюционировать от версии 4 до ver CL 1.3.0.0 и далее.

3. /encoder.741 (DrWeb)/ Filecoder.DG (ESET):*[email protected], *[email protected], *[email protected] и др.
пример шифратора: Архивная документация о привлечении в качестве свидетеля по гражданскому делу №573265.exe
возможно продолжение шифрования после перезагрузки системы.
пример файла: к имени файла добавлено [email protected]

4. Ransom.Shade/Filecoder.ED: *.xtbl/*.breaking_bad/*.better_call_saul/da_vinci_code/.windows10/.no_more_ransom/
примеры зашифрованных файлов:
1IxTrDlM1113GNeXGWqmuZkC-s-EIHxO5m07aPy79kQPO5+p-YqbT4d4qFTTUoYS.xtbl
XqEqikJ1p-pz5JQ7DlrJnw==.953CB76FB859D831A44A.breaking_bad
в автозапуске:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
Возможно продолжение шифрования после перезагрузки системы

5. СTB-locker (Curve-Тор-Bitcoin Locker)
/Critroni / Encoder.686 (DrWeb)/Ransom.Win32.Onion.y/ Filecoder.DA
дата создания - июнь 2014 год
в планировщике задач.
C:\WINDOWS\TASKS\WADOJXK.JOB
C:\DOCUME~1\%userprofile%\LOCALS~1\Temp\biefwoi.exe
после перезагрузки системы шифрование будет продолжено.
расширение файлов может быть случайным. например: *.onklibe
шифратор использует сеть TOR для связи с командным сервером.

3. что делать?
когда ваши документы еще не зашифрованы....
готовим сани к зиме летом, а систему безопасности укрепляем круглый год.

image 1. для усиления рубежа brain читаем классическую работу Кевина Митника The Art of Deception-"искусство обмана" по противодействию методам соц_инженерии. "Искусство обмана" показывает насколько мы все уязвимы - правительство, бизнес, и каждый из нас лично - к вторжениям социальных инженеров.
2. включите отображение расширений имен файлов
3. настраиваем в локальных политиках безопасности правила ограниченного использования программ. С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.
Например, данное правило запрещает запуск всех программ с расширением *.exe по указанному относительному пути: %UserProfile%\Local Settings\*.exe

для автоматизации создания правил ограниченного использования программ можно использовать отличную программуCryptoPrevent.
4. настраиваем защиту папок с документами с помощью правил HIPS: запрещаем всем приложениям удалять и изменять документы из целевой папки, и разрешаем отдельным (доверенным) приложениям удалять и изменять документы из целевой папки.

5. Настраиваем регулярное копирование архивов с документами на резервный диск.

6. если ваши файлы уже зашифрованы..

Метод 1: резервное копирование
Первый и лучший способ - восстановить данные из последней резервной копии.
Метод 2: File Recovery Software
Пробуйте использовать программное обеспечение, например R-Studio или Photorec чтобы восстановить некоторые из ваших исходных файлов.
Метод 3: Shadow Volume Copies
Пробуйте восстановить файлы с помощью теневого тома копий. К сожалению, шифратор будет пытаться удалять любые Shadow Volume Copies на вашем компьютере, но иногда это не удается сделать.
Метода 4: Восстановление из папок DropBox
если ваша учетная запись в Dropbox смонтирована как диск, то возможно, что документы с этого диска могут быть зашифрованы.

(c), chklst.ru
-----------
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
«13456710

Комментарии

  • отредактировано August 2017 PM
    + восстановление документов из теневых копий
    1. пробуем восстановление из теневых копий тома сразу после шифрования, чтобы в пространстве, зарезервированном под копии (а это может быть 5-10% от емкости диска), сохранились еще чистые копии документов.

    2. ShadowExplorer - полезная программа для работы с теневыми копиями тома (Volume Shadow Copy Service), созданными в Windows Vista / 7/8.

    3. Как и в Windows Vista, в Windows 7 защита и восстановление системы реализованы с помощью службы теневого копирования тома. Эта служба отслеживает изменения по всему разделу, и в этом большое отличие от Windows XP, где службой восстановления системы отслеживался лишь ключевой набор файлов системы и приложений. Однако пользовательские файлы не включаются в точки восстановления системы, поэтому возврат к предыдущей точке не приведет к потере документов и других файлов в вашем профиле. Тем не менее, служба теневого копирования тома следит за изменениями в пользовательских файлах, и вы можете восстановить их предыдущие версии.
    --------
    в связи с этим рекомендуем включить защиту тома с резервированием 5-10% от емкости диска в зависимости от того, является ли данный том системным, или томом для хранения документов.

    4. Восстановление документов из архивных и теневых копий
    Эта статья посвящена восстановлению файлов из архива и системы из образа диска, а также восстановлению предыдущих версий файлов.

    -----------
    другие статьи:

    Шифровальщик Shade: двойная угроза
    Рекомендации
    Варианты документов с шифраторами или троянскими программами

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2017 PM
    иногда они возвращаются. реинкарнация бат.энкодера.

    примеры писем (с шифратором vault), к которому приложили руки соц_инженеры.

    ссылка в письме ведет на вредоносный архив из сети.
    при скачивании архива из сети, и запуске вложения из архива, ваши документы уже никогда не вернутся в первоначальное состояние, если только нет возможности их восстановления из архивных или теневых копий.
    Добрый день!

    К нам заявились налоговики с проверкой((
    Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
    Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
    Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
    Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
    Заранее большое спасибо!

    Прикреплённые файлы:
    1. Список документов.zip

    --
    С Уважением
    Сотрудники бухгалтерии
    ООО "Город Инструмента"
    --------------
    Тема: Оплата задолженности
    Дата: 2015-02-24 02:55
    От: Отдел продаж - "Консультант Плюс"
    Кому:

    Уважаемые коллеги,
    Пересылаю счета-фактуры согласно Договора от 22.10.2014 года (во вложении).
    Пожалуйста, погасите неоплаченный остаток за пользование системой "Консультант Плюс". Средства в полном объеме мы так и не получили, хотя прошло уже больше 2 месяцев.. По нашей оборотно-сальдовой ведомости за вами числиться небольшой долг.
    Если оплата не будет произведена в ближайшие 10 дней, мы будем вынуждены прекратить Ваше обслуживание.


    Спасибо.


    ПРИКРЕПЛЁННЫЕ ФАЙЛЫ:
    1. Счета.zip [1]


    --
    С Уважением,
    Алина Островская
    Старший менеджер по работе с клиентами
    КонсультантПлюс
    -----------
    Уважаемые коллеги,

    Высылаю счета на оплатув соответствии с положениями Договора от 15 ноября 2014 года (в приложении).

    Прошу осуществить доплату, поскольку средства за пользование системой "1С:Бухгалтерия" в полном объеме мы так и не получили. По нашим данным за вами числиться небольшой долг.
    Если оплата не будет произведена в ближайшие 10 дней, мы будем вынуждены прекратить Ваше обслуживание.

    Благодарю.

    Прикреплённые файлы:
    1. Счёт 1С - Бухгалтерия.zip



    --
    С Уважением,
    Владимир Никифоров
    Менеджер по продажам
    Компания "1C"
    123056, Россия, Москва, Селезневская ул., д.21
    ---------
    Здравствуйте,
    На прошлой неделе получили распоряжение от руководства провести со всеми партнерами сверку взаиморасчетов за прошлый год.
    Мы выявили, что за прошлый год за Вами числится небольшой долг.

    Прошу согласовать Акт (в приложении) и подтвердить правильность указанной в нем информации. Если никаких замечаний от Вас не будет, я передам его на подпись главному бухгалтеру и вышлю Вам оригиналы.

    Прикреплённые файлы:
    1. Акт сверки (2014г).zip

    --
    С уважением,
    Кратвольд Дмитрий, 89026039777
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2015 PM
    +
    Здравствуйте,
    Директор распорядился провести сверки со всеми контрагентами (по состоянию на 01.03.2015 года).
    Отправляю Вам Акт сверки взаиморасчетов за указанный период (во вложении). Прошу рассмотреть и завизировать документ.
    Перешлите нам (если возможно, до конца дня) подписанный экземпляр или ваши замечания.

    Прикрепленные файлы (1):
    1. Акт сверки (01.03.2015).zip


    --
    С уважением начальник коммерческого отдела
    ООО «Механический завод» г.Бийск
    Татаринова Лариса Владимировна
    ---------------
    From: ПРОМИНДУСТРИЯ [mailto:[email protected]] 
    Sent: Tuesday, March 24, 2015 5:33 AM
    To: Сухова Елена Сергеевна
    Subject: Новые счета

    День добрый,
    В связи с кризисом наше руководство было вынуждено несколько пересмотреть цены.
    Просьба ознакомиться с исправленными счетами и сообщить о возможности доплаты.
    Очень надеемся на Ваше понимание.
    Благодарим.

    --
    ООО "ПРОМИНДУСТРИЯ"
    тел: 8 (495) 783-01-02
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано February 2017 PM
    новый ход мошенников. предлагается понизить уровень безопасности Офиса при открытии документа. документ содержит макросы, которые автоматически отключены в Офисе при высоком уровне безопасности.

    image
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано December 2016 PM
    Nemucod meets 7-Zip to launch ransomware attacks

    Nemucod использует для шифрования 7z.
    https://reaqta.com/2016/04/nemucod-meets-7zip-to-launch-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    TeslaCrypt 4.2 Released with quite a few Modifications
    Version 4.2 of the TeslaCrypt Ransomware has been released according to TeslaCrypt researcher BloodDolly. This version was released today and contains quite a few modifications to how the program runs.

    bleepingcomputer.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM

    ID Ransomware
    Идея идентификации типа шифратора по наименованию зашифрованного файла, по записке о выкупе, по образцу зашифрованного файла витала в воздухе. Первыми реализовали ее malwarehunterteam. И сразу на порядок легче становится работать с шифровирусами.

    ID Ransomware
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2017 PM
    а вот это уже близко к цели.
    в офисный документ (получен в электронной почте) добавлен рисунок с нечетким изображением. Пользователю предлагается дважды нажать на изображение, чтобы подгрузить документ. (в итоге будет запущен внедренный объект - в данном случае все тот же шифратор VAULT.

    1bffno4cqw1l.jpg
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    wqqn9ud4unjk.jpg
    A new ransomware family made its presence felt today, named Spora, the Russian word for "spore." This new ransomware's most notable features are its solid encryption routine, ability to work offline, and a very well put together ransom payment site, which is the most sophisticated we've seen from ransomware authors as of yet.

    lttm3vh78ymf.jpg

    В отличие от большинства современных вымогателей, Spora работает в автономном режиме и не генерирует никакого сетевого трафика на интернет-серверах.

    текущая версия шифрует файлы с расширением:
    .xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup
    Процесс шифрования нацелен на локальные файлы и сетевые ресурсы, и не добавляет никаких дополнительных расширение файла в конце файлов, оставляя нетронутыми имена файлов.

    Spora пропускает файлы, расположенные в определенных папках. По умолчанию Spora не будет шифровать файлы в папках, которые содержат следующие строки в именах:
    games
    program files (x86)
    program files
    windows

    По словам Fabian Wosar, технического директора и исследователя вредоносных программ из Emisoft, Spora как представляется, не содержит каких-либо недостатков в его коде шифрования.

    Связанные файлы:
    %UserProfile%\AppData\Local\Temp\81063163ded.exe
    %UserProfile%\AppData\Local\Temp\close.js
    %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[VICTIM_ID].HTML
    %UserProfile%\AppData\Roaming\Microsoft\Windows\Templates\[VICTIM_ID].HTML
    %UserProfile%\AppData\Roaming\Microsoft\Windows\Templates\[VICTIM_ID].KEY
    %UserProfile%\AppData\Roaming\Microsoft\Windows\Templates\[VICTIM_ID].LST
    %UserProfile%\AppData\Roaming\3166630736
    %UserProfile%\AppData\Roaming\[VICTIM_ID].HTML
    %UserProfile%\AppData\Roaming\[VICTIM_ID].KEY
    %UserProfile%\AppData\Roaming\[VICTIM_ID].LST
    %UserProfile%\Desktop\e55a61a6-2541-547b-25ef-b9580065bf80.exe
    %UserProfile%\Desktop\[VICTIM_ID].HTML
    %UserProfile%\Desktop\[VICTIM_ID].KEY

    bleepingcomputer.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2023 PM
    wqqn9ud4unjk.jpg
    KillDisk на ваши системы
    Bleeping Computer сообщает, что исследователи из ESET обнаружили вариант новоиспеченного блокера KillDisk, ориентированный на Linux. Как оказалось, эта версия содержит недочет, дающий надежду на восстановление зашифрованных файлов.

    bleepingcomputer.com

    welivesecurity.com

    threatpost.ru
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • VirLocker шифрует и упаковывает все файлы внутри исполняемых файлов
    Процесс инфекции VirLocker во многом тот же, как это было в 2014 году, и работает, принимая файлы жертвы и заворачивая их внутри EXE оболочки. Это означает, что все файлы зашифрованы, а затем упаковать как исполняемый файл.

    Например, файл изображения с именем photo.png станет photo.png.exe. Поскольку большинство установок для Windows скрывает последнее расширение файла, пользователи будут видеть только photo.png, и не зная, что файл является двоичным.

    Но это становится еще хуже, так как каждый из этих EXE-файлов также содержит копию VirLocker вымогателей, а это означает, что некоторые пользователи, даже не зная, могут распространять вредоносные файлы своим друзьям, или через резервное копирование копии VirLocker. Тот факт, что VirLocker создает реальные EXE-файлы, а не только добавляет поддельное расширение .exe, делает VirLocker крайне опасным, что позволяет ему распространяться с легкостью.

    https://www.bleepingcomputer.com/news/security/virlocker-ransomware-returns-just-as-virulent-as-ever/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2017 PM
    еще одна уловка, которую используют распространители троянов, шифраторов:
    в электронном сообщении добавленный документ либо поврежден и не открывается, либо размером 0 байт. Поэтому в сообщении предлагается открывать документ либо из вложения, либо по ссылке из сети.

    onjbzy7bwk4q.jpg

    или:
    У Вас имеется новый счет. Ознакомиться с ним Вы можете на нашем сайте хттп://www.vtb24.ru/personal/downloads/2017-03/4415r452trf946.html или во вложении.

    Если у Вас возникли какие-либо вопросы или требуется помощь, пожалуйста свяжитесь с нами по телефонам, указанным на сайте.

    С уважением,
    понятно, что здесь и ссылка ведет совсем на другой адрес.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано March 2017 PM
    Samas Ransomware Uses Active Directory for Reconnaissance and Spreads Across the Entire Network to Encrypt Files on Every Server and Computer
    Samas Ransomware использует Active Directory для разведки и распространения по всей сети для шифрования файлов на каждом сервере и компьютере

    http://www.securityweek.com/samas-ransomware-uses-active-directory-infect-entire-networks
    В отличие от шифровальщиков, атакующих локально расположенные файлы, SamSam передвигается по сети, попутно заражая каждый компьютер и сервер. Сначала атакующие похищают учетные данные домена, затем опрашивают Active Directory в поисках атакуемых точек, в процессе передвигаясь по сети. По словам исследователей из Javelin Networks, для проникновения в сеть и последующего похищения учетных данных операторы вымогателя эксплуатируют уязвимость обхода аутентификации в консоли JBoss JMX-Console (CVE-2010-0738).

    Способность зловреда посылать пинг по корпоративной сети через опрос Active Directory делает его очень эффективным. «Active Directory — это, по сути, база данных, содержащая все сведения о пользователях, конечных точках, приложениях и серверах. Используя утилиту командной строки CSVDE в Windows, злоумышленники могут незаметно получать все необходимые сведения, не привлекая внимания», — рассказывают исследователи.

    Так как используемая утилита популярна среди системных администраторов, вредоносная активность может оставаться незамеченной, пока червь-шифровальщик не поразит всю сеть организации. Для атакуемой компании последствия могут быть поистине масштабными.

    По сведениям экспертов, SamSam пока орудует в США, но несколько компаний в Европе и Азии также пострадали от действий шифровальщика.
    https://threatpost.ru/vymogatel-samsam-proshhupyvaet-active-directory/20920/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    wqqn9ud4unjk.jpg
    Нет новых версий Locky в этом году

    ...Прежде чем замолчать во время рождественских праздников, Локки получал ежемесячные обновления, проходя различные расширения, такие как Zepto, Odin, Shit, Thor, Aesir, ZZZZZ и Osiris. Начиная с декабря новый вариант Locky не виден.

    Теперь давайте рассмотрим общую картину. Первые кампании Локки прошли через ботнет Necurs. Большая часть массивного спама, распространяющего Locky, также пришла через Necurs, что показывает четкую связь между командами Locky и Necurs, которые могут быть очень хорошими.

    Более того, никакой новой активности Locky не было замечено в ботнете Necurs, и новая версия не появилась со времени последних кампаний Necurs + Locky в прошлом году.

    Все факты указывают на (временную) смерть Локки, хотя вымогатель оказывается живым в некоторых партнерских схемах RaaS. Нам просто нужно подождать и посмотреть, что случится с Локки в ближайшие месяцы. Кто знает, может быть, они выпустят ключи дешифрования, такие как группа TeslaCrypt.

    :).
    bleepingcomputer.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    f5neolqw4u6k.jpg
    С середины января исследователи отмечают, что новейшие версии зловредов Cerber и Locky научились довольно успешно обходить существующие системы детектирования вредоносного ПО с помощью инфраструктуры, позволяющей скрывать вредоносный код внутри NSIS-инсталлятора и использовать несколько уровней обфускации и шифрования до исполнения кода в памяти.

    threatpost.ru

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2017 PM
    Таким образом реализована атака на пользователя через вложенный в почту pdf документ:

    3x3betorm1hj.jpg
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    RensenWare будет расшифровывать файлы, в том случае если жертва получит 0,2 миллиарда в игре TH12

    Когда RensenWare закончит шифрование компьютера, на нем появится выкуп с капитаном Минамицу Мурасой из серии Touhou Project по стрельбе из игры Team Shanghai Alice. Этот экран сообщает жертве, что их файлы были зашифрованы и что они должны набрать более 0,2 миллиарда на уровне Lunatic в игре Touhou Project под названием TH12 ~ Undefined Fantastic Object. Если они не достигнут этого уровня или закроют вымогательство, их файлы будут потеряны навсегда.
    Minamitsu "The Captain" Murasa encrypted your precious data like documents, musics, pictures, and some kinda project files. it can't be recovered without this application because they are encrypted with highly strong encryption algorithm, using random key.

    That's easy. You just play TH12 ~ Undefined Fantastic Object and score over 0.2 billion in LUNATIC level. this application will detect TH12 process and score automatically. DO NOT TRY CHEATING OR TEMRMINATE THIS APPLICATION IF YOU DON'T WANT TO BLOW UP THE ENCRYPTION KEY!
    К сожалению, это не пустая угроза со стороны разработчика, так как ResenWare не сохраняет ключ дешифровки, если вы не наберете этот балл, и если закроете процесс, ключ будет потерян навсегда.

    Чтобы следить за счетом, вымогатель будет искать процесс под названием «th12», и, если его обнаружит, он будет считывать память процессов, чтобы определить текущий счет и уровень игры. Если они находятся на уровне Lunatic и жертва набрала более 0,2 миллиарда очков, вымогатель сохранит ключ на рабочем столе и начнет процесс расшифровки.

    Поскольку разработчик не надеется получить доход от этого вымогательства, эта программа, скорее всего, была создана как шутка. Независимо от причин, это иллюстрирует еще один новый и инновационный способ, с помощью которого можно разработать вымогатель.

    bleepingcomputer.com

    стоит добавить, что...
    Разработчик поспешил убрать с GitHub часть исходных кодов rensenWare, которые ранее были свободно доступны всем желающим, и опубликовал письмо, в котором искренне извиняется перед всеми пострадавшими. В послании Tvple Eraser признал, что написал вредоноса шутки ради, для себя и друзей, которые тоже являются поклонниками игр Touhou Project. Теперь он понимает, что не стоило выкладывать на GitHub все исходники, и нужно было «купировать» хотя бы функциональность, отвечающую за шифрование и дешифровку файлов. В качестве извинения Tvple Eraser также опубликовал инструмент, который позволяет не играть в игру, которую навязывает rensenWare, но сразу задать нужное количество очков и расшифровать данные.

    xakep.ru
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • @PolarToffee noticed a #Globe v3 #Ransomware submission that seems like it wants to mimic Dharma. Ext. ".[[email protected]].wallet"

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    wqqn9ud4unjk.jpg
    Разработчик AES-NI ransomware утверждает, что недавний «успех», которым он наслаждался, связан с эксплойтами NSA, опубликованными на прошлой неделе группой Shadow Brokers.

    В серии твитов, опубликованных онлайн, автор AES-NI утверждает, что он успешно использовал ETERNALBLUE, эксплойт, нацеленный на протокол SMBv2, чтобы заразить серверы Windows по всему миру, а затем установить его самодельное вымогательство.

    Единственным свидетельством, предоставленным автором AES-NI, был снимок экрана, который показал, что ransomware dev сканирует сервер на наличие трех эксплойтов NSA.

    Ниже приведена диаграмма, предоставленная экспертами в ID-Ransomware - службе, которая помогает пользователям определить тип вымогателей, заразивших их компьютеры. Эти обнаружения регистрируются с целью отслеживания активности ransomware и выявления любых новых тенденций.

    AES-NI-activity.jpg

    На приведенной выше диаграмме показаны ежедневные обнаружения, которые варьировались между 0 и 5 зараженными компьютерами в день, а также огромный всплеск за выходные, который завершился в понедельник более чем со 100 жертвами.

    Спайк в деятельности пришел после того, как The Shadow Brokers просочились в кучу эксплойтов Windows в прошлую пятницу. В утечку была включена FuzzBunch, подобная Metasploit среда разработки и более 20 эксплойтов Windows, в основном нацеленных на протокол SMB.

    Хотя создатель Ransomware AES-NI намекает, что он использует ETERNALBLUE для взлома на серверах Windows с оставленными для Интернета портами SMB, некоторые эксперты по безопасности усомнились в его утверждении.

    «Они проникают в сети, используя RDP, - сказал эксперт infosec Кевин Бомонт Bleeping Computer, - а затем используя RDP для перемещения». Бомонт поделился своими мыслями и в Twitter.

    Основываясь на текущих доказательствах, вымогатели AES-NI вызвали большой урон в течение выходных, подрывы NSA или нет. Другие форумы интернет-дискуссий и форум Bleeping Computer ожили новыми жертвами AES-NI с просьбой о помощи.

    Большинство жертв пришли на форумы Bleeping Computer, потому что автор дал конкретные инструкции в примечании о выкупе AES-NI, пообещав следить за форумом и оказывать помощь, если это необходимо.

    AES-NI-ransom-note.png

    Это специальное вымогательство существует с декабря 2016 года и известно под двумя другими названиями: AES Ransomware и AES256 Ransomware.

    Он только недавно был переименован в AES-NI Ransomware, и, начиная с прошлой пятницы, заметка о выкупе рекламировала это как «NSA EXPLOIT EDITION». Текущая версия требует выкуп 1,5 биткойнов (~ 1,800 долларов США) и будет расшифровывать файлы бесплатно для любых жертв из бывших советских республик, по словам российского эксперта по безопасности Андрея Иванова. К сожалению, нет известного способа расшифровки файлов, зашифрованных AES-NI ransomware на момент написания, кроме выплаты выкупа.

    Патчи Microsoft для эксплойтов NSA уже доступны

    Прямо сейчас самый простой способ избежать жертвы атак AES-NI - блокировать внешний трафик к портам SMB и RDP и применять MS17-010, бюллетень по безопасности Microsoft, который исправляет EXTERNALBLUE, эксплоит, заявленный автором AES-NI для использования .

    Кроме того, чтобы быть в безопасности, просто убедитесь, что вы применяете все исправления Microsoft, которые могут блокировать эксплойты с дампа Shadow Brokers на прошлой неделе.
    Вы должны установить эти исправления как можно скорее. Сообщение, опубликованное вчера компанией SenseCy от разведки угроз, показывает, что кибер-преступное подполье гудит от разговора о различных способах использования этих эксплойтов в распространении вредоносного ПО. Кроме того, исследователи безопасности Дэн Тентлер и Роб Грэм сообщили, что они обнаружили «дикие» атаки с некоторыми из просаженных эксплойтов NSA.
    bleepingcomputer.com

    >
    AES-NI Ransomware: April Edition
    SPECIAL VERSION: NSA EXPLOIT EDITION
    (шифровальщик-вымогатель)

    Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: AES-NI
    id-ransomware.blogspot.ru
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано April 2017 PM
    Dharma #Ransomware may have a new extension: ".onion". Spotted "config.sys.id -66813FE4.[[email protected]].onion" on IDR
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • New version of the CryptoMix Ransomware Using the Wallet Extension
    A new CryptoMix, or CryptFile2, variant was released that is now using the .[payment_email].ID[VICTIM_16_CHAR_ID].WALLET​ extension for encrypted files. This is very annoying as it makes it more difficult for victims to easily identify what ransomware they are infected with when they perform web searches. This is because the .WALLET extension has been used by Dharma/Crysis, Sanctions, and now we have CryptoMix. Currently payment email addresses are [email protected]
    [email protected], and [email protected].

    https://www.bleepingcomputer.com/news/security/new-version-of-the-cryptomix-ransomware-using-the-wallet-extension/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано August 2017 PM
    wqqn9ud4unjk.jpg
    Cerber Ransomware Version 6 Gets Anti-Vm and Anti-Sandboxing Features

    Cerber-wallpaper.png
    Security researchers have spotted version 6 of the Cerber ransomware, and this new edition continues to add new features, heightening the overall complexity this ransomware family has been showing.

    First detected at the end of March, version 6 comes with new distribution vectors, a revised encryption routine, and anti-sandbox and anti-AV defensive features.

    These features, added a few months after Cerber 4 and Cerber 5 also came with a bunch of improvements, show the ransomware is continuing to grow, most likely fueled by the financial success it's been having since Locky has gone dark over the winter, leaving a void to fill.
    bleepingcomputer.com

    blog.trendmicro.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    Сегодня, 12 мая 2017 года, компании и организации из самых разных стран мира (включая Россию) начали массово сообщать об атаках шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

    Впервые вымогатель WCry был обнаружен еще в феврале 2017 года, но тогда он не произвел большого впечатления на специалистов. По сути, до сегодняшнего дня шифровальщик был практически неактивен, но теперь он получил версию 2.0 и использует SMB-эксплоит АНБ из инструментария, опубликованного ранее хакерской группой The Shadow Brokers.
    Wana_decrypt0r_2.0.png

    xakep.ru

    Wana Decrypt0r Ransomware Using NSA Exploit Leaked by Shadow Brokers Is on a Rampage
    Ransomware scum are using an SMB exploit leaked by the Shadow Brokers last month to fuel a massive ransomware outbreak that exploded online today, making victims all over the world in huge numbers.

    The ransomware's name is WCry, but is also referenced online under various names, such as WannaCry, WanaCrypt0r, WannaCrypt, or Wana Decrypt0r. As everybody keeps calling it "Wana Decrypt0r," this is the name we'll use in this article, but all are the same thing, which is version 2.0 of the lowly and unimpressive WCry ransomware that first appeared in March.

    Activity from this ransomware family was almost inexistent prior to today's sudden explosion when the number of victims skyrocketed in a few hours.
    Wana Decrypt0r uses NSA's ETERNALBLUE exploit

    What was clear about this ransomware was that Wana Decrypt0r was extremely virulent. The one who unraveled the mystery was French security researcher Kafeine, who was the first to spot that Wana Decrypt0r triggered security alerts for ETERNALBLUE, an alleged NSA exploit leaked online last month by a nefarious group known as The Shadow Brokers.
    ETERNALBLUE works by exploiting a vulnerability in the SMBv1 protocol to get a foothold on vulnerable machines connected online. Microsoft patched the flaw in MS17-010, released in March, but that doesn't mean all Windows PC owners have applied the security update.

    Unpatched Windows machines exposed online today risk being exploited with ETERNALBLUE, and then infected with Wana Decrypt0r.

    bleepingcomputer.com
    How is WanaCrypt0r Distributed?

    MalwareHunterTeam first spotted WanaCrypt0r a few weeks ago, but the ransomware for the most part was hardly distributed. Suddenly, WanaCrypt0r exploded and began spreading like wild fire through an exploit called ETERNALBLUE, which is an alleged NSA exploit leaked online last month by hacking group called The Shadow Brokers.

    This exploit works by gaining access to a remote machine via the SMBv1 protocol. Unfortunately, it seems that even though Microsoft patched this flaw in March as MS17-010, many people did not install it.

    If you have not installed the updates mentioned in the MS17-010 security bulletin, STOP WHAT YOU ARE DOING NOW AND INSTALL IT. Yes, I did that all in caps because it is that important. This ransomware is spreading like crazy and there is no known way to decrypt it for free. Therefore, install your updates so you don't lose your files when you become infected!

    bleepingcomputer.com
    Malware Analysis
    An initial file mssecsvc.exe drops and executes the file tasksche.exe. The kill switch domain is then checked. Next, the service mssecsvc2.0 is created. This service executes the file mssecsvc.exe with a different entry point than the initial execution. This second execution checks the IP address of the infected machine and attempts to connect to port 445 TCP of each IP address in the same subnet. When the malware successfully connects to a machine, a connection is initiated and data is transferred. We believe this network traffic is an exploit payload. It has been widely reported this is exploiting recently disclosed vulnerabilities addressed by Microsoft in bulletin MS17-010. We currently don't have a complete understanding of the SMB traffic, and exactly what conditions need to be present for it to spread using this method.

    The file tasksche.exe checks for disk drives, including network shares and removable storage devices mapped to a letter, such as 'C:/', 'D:/' etc. The malware then checks for files with a file extension as listed in the appendix and encrypts these using 2048-bit RSA encryption. While the files are being encrypted, the malware creates a new file directory 'Tor/' into which it drops tor.exe and nine dll files used by tor.exe. Additionally, it drops two further files: taskdl.exe & taskse.exe. The former deletes temporary files while the latter launches @wanadecryptor@.exe to display the ransom note on the desktop to the end user. The @wanadecryptor@.exe is not in and of itself the ransomware, only the ransom note. The encryption is performed in the background by tasksche.exe.

    The tor.exe file is executed by @wanadecryptor@.exe. This newly executed process initiates network connections to Tor nodes. This allows WannaCry to attempt to preserve anonymity by proxying their traffic through the Tor network.

    blog.talosintelligence.com

    (перевод статьи здесь)
    habrahabr.ru
    Mitigation and Prevention
    Organizations looking to mitigate the risk of becoming compromised should follow the following recommendations:

    Ensure all Windows-based systems are fully patched. At a very minimum, ensure Microsoft bulletin MS17-010 has been applied.
    In accordance with known best practices, any organization who has SMB publically accessible via the internet (ports 139, 445) should immediately block inbound traffic.


    Additionally, organizations should strongly consider blocking connections to TOR nodes and TOR traffic on network. Known TOR exit nodes are listed within the Security Intelligence feed of ASA Firepower devices. Enabling this to be blacklisted will prevent outbound communications to TOR networks.

    In addition to the mitigations listed above, Talos strongly encourages organizations take the following industry-standard recommended best practices to prevent attacks and campaigns like this and similar ones.

    Ensure your organization is running an actively supported operating system that receives security updates.
    Have effective patch management that deploys security updates to endpoints and other critical parts of your infrastructure in a timely manner.
    Run anti-malware software on your system and ensure you regularly receive malware signature updates.
    Implement a disaster recovery plan that includes backing up and restoring data from devices that are kept offline. Adversaries frequently target backup mechanisms to limit the possibilities a user may be able to restore their files without paying the ransom.
    blog.talosintelligence.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано May 2017 PM
    How long will Wanna Cry attack last?
    Typically, ransomware often has a short life. However, in the case of WannaCry ransomware, nothing can be certain as it keeps on spreading unless you update your system. Moreover, as anti-viruses and VPN understand new versions of the malware, they can prevent infections from initiating and dispersing to various parts of the world.

    https://www.purevpn.com/blog/wannacry-ransomware/

    Steps on how to avoid Ransomware
    Backup your computer immediately

    Investing in an external hard drive and making regular backups will help you in protecting your data, if not in saving you against malware.

    A backup can save you from significant stress, time and money in the event when your computer becomes infected. You can easily restore your data on your PC and carry on with business as usual.

    Alternatively, you can subscribe to a cloud backup service and upload your most important data regularly. Free cloud services like Google Drive and Apple iCloud can also be used to store your most valuable data without spending a dime.

    Patch your OS with Microsoft’s recently released fix

    WannaCry Ransomware spread through a weakness in Microsoft Windows which was formerly exploited by US surveillance agency.

    This tool, unfortunately, was stolen by hackers and leaked to the world in April 2017, and is now being used by hackers behind WannaCry Ransomware. In response, Microsoft released a fix for this vulnerability which can be applied by those who are still safe from WannaCry Ransomware.

    Update your operating system

    Though Microsoft did release a fix for the vulnerability; we still do not know if any similar vulnerabilities still exist in the OS. In this case, it is necessary that you update your OS to the latest version, preferably Windows 10, as soon as you can.

    There are no reports yet of any latest Operating System getting affected from WannaCry ransomware. Updating the OS will offer good security against such malware.

    Steer clear of suspicious emails and websites

    Phishing emails are not uncommon. Any email containing links or files can grant malware access to user’s computer. It is necessary therefore to keep your eyes open and steer clear from any such emails.

    Ransomware can also infect computers via malicious website advertisements or through the installation of unverified software. The best defense in such cases is to avoid any such website or software links as they may lead to the installation of malware or Ransomware program.

    Use Firewall

    Using a firewall can stop ransomware from entering your system. A firewall guards your online communications and makes sure that no suspicious program access your computer without your consent.

    It is necessary that you keep your firewall software updated at all times, so you remain safe from any recent forms of malware. Also, make sure not to approve any suspicious files from bypassing your firewall security and entering your system.

    Don’t pay

    One thing that you must remember is that paying ransomware does not guarantee its removal from your computer. Giving in to the hacker’s demand and paying the ransomware amount only gives attackers the arsenal they need to create and spread more ransomware programs.

    You should instead try restoring a pre-infection backup of your computer. If a backup is not available, but the files are important for you or your business, seek the help of a computer professional. Don’t give in.
    Final words

    We’re not exactly sure when the WannaCry ransomware will stop rotating around the web. Even if you do pay the ransomware amount and successfully decrypt your important files, there is no guarantee that your PC shall remain safe from this ransomware again in the future.

    However, following the above-mentioned steps religiously can help in preventing all ransomware threats from your PC.

    https://www.purevpn.com/blog/how-to-protect-from-ransomware/

    Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r
    Following the massive Wana Decrypt0r ransomware outbreak from yesterday afternoon, Microsoft has released an out-of-bound patch for older operating systems to protect them against Wana Decrypt0r's self-spreading mechanism.

    The operating systems are Windows XP, Windows 8, and Windows Server 2003. These are old operating systems that Microsoft stopped supporting years before and did not receive a fix for the SMBv1 exploit that the Wana Decrypt0r ransomware used yesterday as a self-spreading mechanism.

    That mechanism is a modified version of the ETERNALBLUE exploit, an alleged NSA hacking tool leaked last month by a group known as The Shadow Brokers.
    https://www.bleepingcomputer.com/news/security/microsoft-releases-patch-for-older-windows-versions-to-protect-against-wana-decrypt0r/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано May 2017 PM
    Malwarebytes has some great technical coverage about the worm that spread Wana Decrypt0r.
    Main functionality

    WanaCrypt0r has been most effective—not only does the ransomware loop through every open RDP session on a system and run the ransomware as that user, but the initial component that gets dropped on systems appears to be a worm that contains and runs the ransomware, spreading itself using the ETERNALBLUE SMB vulnerability (MS17-010).

    Protection

    It is critical that you install all available OS updates to prevent getting exploited by the MS17-010 vulnerability. Any systems running a Windows version that did not receive a patch for this vulnerability should be removed from all networks. If your systems have been affected, DOUBLEPULSAR will have also been installed, so this will need to also be removed. A script is available that can remotely detect and remove the DOUBLEPULSAR backdoor. Consumer and business customers of Malwarebytes are protected from this ransomware by the premium version of Malwarebytes and Malwarebytes Endpoint Security, respectively.
    https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано May 2017 PM
    Microsoft's Chief Legal Officer Brad Smith has penned a blog post today, accusing the NSA of stockpiling exploits, failing to protect its hacking tools, and indirectly causing the WannaCry ransomware outbreak.

    Smith is asking for a collective action between software vendors, cyber-security researchers, and governments across the world, "to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world."

    Главный юрисконсульт Microsoft Брэд Смит написал сегодня свой блог, обвинив NSA в хранении эксплойтов, в неспособности защитить свои инструменты взлома и косвенно вызвав WansCry.

    Смит просит коллективных действий между поставщиками программного обеспечения, исследователями кибербезопасности и правительствами всего мира, «придерживаться другого подхода и придерживаться киберпространства по тем же правилам, которые применяются к оружию в физическом мире».

    Смит хочет создать цифровую женевскую конвенцию

    Ранее в этом году главный юрист Microsoft призвал к созданию цифровой Женевской конвенции - международного договора, регулирующего распространение и использование кибервооружений.

    В своем предыдущем предложении Смит хотел, чтобы субъекты национального государства избегали взлома конечных пользователей и частных организаций и фокусировались только на инфраструктуре цифрового правительства друг друга.

    Теперь, Microsoft хочет, чтобы правительственные организации прекратили накапливать хакерские инструменты, обычно построенные вокруг уязвимостей zero-days, и раскрывали уязвимости программного обеспечения, как только правительственные операторы кибер-разведки находят их.

    Эта атака дает еще один пример того, почему проблема накопления уязвимостей правительствами является такой опасной. Это проявляется в 2017 году. Мы видели, что уязвимости, хранящиеся в ЦРУ, обнаруживаются в WikiLeaks, и теперь эта уязвимость, похищенная у NSA, затронула клиентов по всему миру. Неоднократно эксплойты в руках правительств проникают в общественное достояние и наносят широкомасштабный ущерб. Эквивалентный сценарий с обычным оружием будет военным США, у которого украли бы некоторые из ракет «Томагавк».

    В конце 2015 года АНБ официально признал, что раскрывает только 91% найденных уязвимостей, оставляя остальную часть для создания кибер-оружия.

    В докладе Reuters правительственные чиновники признали, что накопленные zero-days используются для создания наступательных вооружений, точно так же, как ETERNALBLUE, эксплоит NSA, лежащий в основе вспышки WansCry ransomware. Этот эксплойт, как утверждается, был похищен вместе с десятками других эксплойтов из NSA группой, известной только как The Shadow Brokers, и выпущен онлайн.

    https://www.bleepingcomputer.com/news/government/microsoft-exec-blames-wannacry-ransomware-on-nsa-vulnerability-hoarding-program/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • WikiLeaks раскрывает вредоносные программы ЦРУ, которые могут саботировать программное обеспечение пользователей
    В то время как мир был занят обработкой WansCry, в прошлую пятницу, примерно в то самое время, когда мы впервые увидели всплеск в атаках WannaCry, WikiLeaks сбросил новые файлы в часть Vault 7 series.

    На этот раз организация выпустила руководство пользователя для двух инструментов взлома под названием AfterMidnight и Assassin - двух очень упрощенных вредоносных программ, предположительно разработанных и украденных у ЦРУ.

    https://www.bleepingcomputer.com/news/security/wikileaks-dump-reveals-cia-malware-that-can-sabotage-user-software/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано June 2017 PM
    WannaCry Ransomware Infects Actual Medical Devices, Not Just Computers
    Появились сообщения о том, что WannaCry вымогатель заразил фактические медицинские устройства, а не только компьютеры в медицинских учреждениях.

    Изображение одной такой инфекции было передано репортеру Forbes в среду. Инфицированным медицинским устройством был Bayer Medrad, радиологическое оборудование, которое вводит контрастные вещества в человеческий организм для помощи в МРТ-сканировании.

    WannaCry-ransomware заразил эту систему, потому что она работала на версии операционной системы Windows Embedded и поддерживала протокол SMBv1, начальную точку заражения WannaCry.

    https://www.bleepingcomputer.com/news/security/wannacry-ransomware-infects-actual-medical-devices-not-just-computers/

    XData Ransomware on a Rampage in Ukraine

    Новый Ransomware под названием XData посеял хаос в Украине за последние 24 часа, блокируя компьютеры для сотен пользователей.

    https://www.bleepingcomputer.com/news/security/xdata-ransomware-on-a-rampage-in-ukraine/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано June 2017 PM
    Analyzing the Fileless, Code-injecting SOREBRECT Ransomware

    Posted on:June 15, 2017 at 4:36 am
    Posted in:Ransomware
    Author: Trend Micro
    Fileless threats and ransomware aren’t new, but a malware that incorporates a combination of their characteristics can be dangerous. Take for instance the fileless, code-injecting ransomware we’ve uncovered—SOREBRECT, which Trend Micro detects as RANSOM_SOREBRECT.A and RANSOM_SOREBRECT.B.

    We first encountered SOREBRECT during our monitoring in the beginning of second quarter this year, affecting the systems and networks of organizations in the Middle East. Extracting and analyzing the SOREBRECT samples revealed the unusual techniques it employs to encrypt its victim’s data. Its abuse of the PsExec utility is also notable; SOREBRECT’s operators apparently use it to leverage the ransomware’s code injection capability.
    SOREBRECT’s stealth can pose challenges

    While file encryption is SOREBRECT’s endgame, stealth is its mainstay. The ransomware’s self-destruct routine makes SOREBRECT a fileless threat. The ransomware does this by injecting code to a legitimate system process (which executes the encryption routine) before terminating its main binary. SOREBRECT also takes pains to delete the affected system’s event logs and other artifacts that can provide forensic information such as files executed on the system, including their timestamps (i.e. appcompat/shimcache and prefetch). These deletions also deter analysis and prevent SOREBRECT’s activities from being traced.

    When we first saw SOREBRECT in the wild, we observed a low distribution base that was initially concentrated on Middle Eastern countries like Kuwait and Lebanon. By the start of May, however, our sensors detected SOREBRECT in Canada, China, Croatia, Italy, Japan, Mexico, Russia, Taiwan, and the U.S. Affected industries include manufacturing, technology, and telecommunications. Given ransomware’s potential impact and profitability, it wouldn’t be a surprise if SOREBRECT turns up in other parts of the world, or even in the cybercriminal underground where it can be peddled as a service.

    https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
    любопытно, что вариант
    Detected as RANSOM_SOREBRECT.B (SHA256):

    4142ff4667f5b9986888bdcb2a727db6a767f78fe1d5d4ae3346365a1d70eb76
    указанный в статье trendmicro как SOREBRECT.B является известным уже нам шифратором AES_NI, мало того, по нему компании ЛК, ESET, Avast сделали по нему расшифровку для пострадавших пользователей.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано October 2017 PM
    Petja Ransomware вернулся вместе с ETERNALBLUE.



    Украина подверглась самой крупной в истории кибератаке вирусом Petya
    Украинский кибер сегмент подвергся очередной атаке, на этот раз Ransomware шифровальщики Petya и Misha стали шифровать компьютер крупных украинских предприятий, включая критические объекты инфраструктуры, такие как «Київенерго» и «Укренерго», думаю, по факту, их в тысячи раз больше, но чиновники как обычно будут об этом молчать, пока у вас не погаснет свет.

    Крупные супермаркеты }{арькова тоже подверглись шифрованию, фото супермаркета «РОСТ» очереди на кассе из за шифровальщика. (Фото из соц сетей):

    r5u21fdaun5a.jpg

    wqqn9ud4unjk.jpg
    Есть ранние признаки новой вспышки вымогательства, в настоящее время затрагивающей большое количество стран по всему миру, таких как Великобритания, Украина, Индия, Нидерланды, Испания, Дания и другие.

    На момент написания этой статьи, внезапная вспышка меньше, чем WannaCry, но объем «значителен», по словам Костин Раю, исследователя «Лаборатории Касперского» и MalwareHunter, независимого исследователя безопасности.

    Основным виновником этой атаки является новая версия Petya, которая позволяет шифровать таблицы MFT (Master File Table) для разделов NTFS и перезаписывать MBR (Master Boot Record) с помощью специального загрузчика, который показывает примечание о выкупе и предотвращает дальнейшую загрузку системы.

    Из-за этого Петя более опасен по сравнению с другими штаммами, потому что он перезагружает системы и не позволяет им продолжить работу.
    Согласно нескольким источникам, автор нового штамма ransomware, похоже, был вдохновлен вспышкой WannaCry в прошлом месяце и добавил аналогичную работу с SMB, основанную на эксплойте NSA ETERNALBLUE. Это было подтверждено службами Payload Security, Avira, Emsisoft, Bitdefender, Symantec и другими исследователями безопасности. Позже в течение дня было также обнаружено, что Петя также использовал другой эксплойт NSA под названием ETERNALROMANCE. Подробнее об этой процедуре заражения в статье в Kaspersky.

    В отличие от WannaCry, Petya также распространяется по электронной почте со спамом в виде офисных документов. В этих документах используется уязвимость Office RTF CVE-2017-0199 для загрузки и запуска установщика Petya, который затем выполняет червь SMB и распространяется на новые компьютеры в той же сети.

    В настоящее время существует несколько отчетов из нескольких стран о влиянии выкупа. Наиболее пострадавшей страной, по-видимому, является Украина, где правительственные агентства сообщили о «кибер-атаках», вызванных таинственным вирусом, который затронул крупнейшие банки страны, аэропорты и поставщики коммунальных услуг. Один из заместителей премьер-министра Украины, опубликовал фотографию на Twitter правительственного ПК, заблокированного этим новым вариантом Петя.

    Об инцидентах с Ransomware также сообщалось в других странах, таких как Нидерланды, где датский контейнерный транспортный гигант Maersk был вынужден закрыть некоторые операции в Роттердаме. Maersk позже подтвердил атаки на своем веб-сайте.
    bleepingcomputer.com

    blog_logo_left.png
    Спустя всего месяц с момента глобальной атаки Wannacry, привлекшей внимание всех мировых СМИ, по Европе и другим континентам начала стремительно распространяться очередная масштабная кибератака. За этой кибератакой стоит новая версия вируса из семейства программ-вымогателей Petya (также известного в кругах специалистов по ИТ-безопасности как Petna).

    Первые сообщения об атаке появились утром 27 июня. Масштабнее всего вирус-вымогатель развернулся на территории Украины, в результате чего пострадали государственные и коммерческие предприятия, в числе которых: киевский аэропорт Борисполь, Киевский метрополитен, национальная энергетическая компания «Укрэнерго», Центробанк Украины и даже остановленная Чернобыльская атомная электростанция.

    Затем сообщения, подтверждающие заражение вирусом-шифровальщиком, стали поступать от предприятий из других уголков Европы. Среди пострадавших: британское рекламное агентство WPP, французский строительный концерн Saint-Gobain, российская нефтяная компания «Роснефть», датский судоходный и транспортный гигант AP Moller-Maersk и другие компании. На данный момент, заражение вирусом-вымогателем подтверждено в более чем 14 странах мира, в том числе в США, Мексике, Иране, Бразилии и др. Однако мы ожидаем, что список пострадавших стран будет ещё больше.

    Возможно, самым интересным в нынешней истории остаётся тот факт, что новая версия программы-вымогателя Petya использует всё ту же уязвимость в Windows, которая была первоначально обнаружена Агентством национальной безопасности США и которая позволила программе-вымогателю Wannacry заразить более 200 тысяч компьютеров по всему миру в мае этого года. Несмотря на доступные для скачивания и установки патчи безопасности и множественные советы от экспертов в области безопасности, оказалось, что многие компании просто проигнорировали все советы и не устранили уязвимость.

    blog.emsisoft.com
    Анализ шифровальщика Petya: как развивалась атака

    Ещё не утихли страсти после глобальной атаки WannaCry в мае этого года, как мир потрясла новая угроза Petya. Появившись первоначально в Восточной Европе 27 июня 2017 года, программа-шифровальщик Petya быстро инфицировала компьютеры ряда крупных организаций на Украине и в России, прежде чем распространиться дальше. Компании Европы, США, Южной Америки и Азии сообщали о масштабном нарушении, вызванном Petya.

    Больше всего в нынешней атаке поражает тот факт, что текущая версия программы-вымогателя Petya использует всё ту же уязвимость в Windows, первоначально обнаруженную Агентством национальной безопасности США, которую месяцем ранее так, увы, успешно использовали создатели кибервымогателя WannaCry. Ту самую уязвимость, которую можно было легко устранить, следуя совету экспертов – всего лишь скачав и установив последний пачт безопасности от Microsoft. Если учесть степень влияния Petya на дееспособность крупнейших компаний и относительно большой масштаб заражения, то, похоже, что многие компании и организации так ничего и не предпринимали для исправления уязвимостей и оставались неподготовленными к подобным атакам.

    И хотя мы, безусловно, сопереживаем всем пострадавшим от Petya, мы всё же хотели бы использовать эту историю в качестве поучительного примера. В этой публикации мы собираемся проанализировать то, как развивалась атака Petya, какое влияние оказал Petya на организации, компьютеры которых он заразил, а также что Вы можете предпринять для защиты Вашего компьютера.

    blog.emsisoft.com
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.