Чергова напасть - файли упаковані в rar-архіви

Попередня ◈ Наступна

ppt *. jpg. jpe *. doc *. txt. pdf. tif. dbf. eps. psd. rar. wbd. cdr. zip. psb. ptx. tst. mrh. dbk. 4db. sps. mbd. wps. raw. dxb. pek. mov. vob. xls *. dwg. cpp. xml. dxg. pdm. epf. erf. grs. geo. vrp. yml. mdb. mdf. 1cd. tar. cdx. dxg. odt. obd. wps. pst. rtf. odb. slx

Після запуску в папці c: \ tmp з'являється все необхідне для шифрування
Для роботи вірус використовує консольную версію архіватора WinRar 5.0

В одній папці створюється файл з ім'ям. Фaйли зaшіфpoвaнни. txt такого змісту (приклад)

Прихований текст

А тепер трохи про роботу вірусу.

подробиці

Після запуску Дроппер, вилучення компонентів стартує zap.exe. Він в свою чергу запускає driver.bat

На екран виводиться повідомлення нібито про помилку Microsoft Word

Помилка у файлі або файл зіпсований

Це розлучення (ініціатор - файл strt.exe). Після затримки в 75 секунд, створюється файл system. в який записується рядок

Для недопущення запуску другої копії шифрувальника виконується перевірка наявності файлу testz. Якщо його немає, він створюється. Відбувається читання вмісту файлу system. в результаті якого запускається файл moar.exe. який і вполняется основну роботу.

У файл psystem спочатку записується згенерований на основі лічильника часу роботи системи 64-байтний пароль для архівування. Цей же ключ під час роботи програми зберігається в пам'яті.

Відбувається пошук відповідних для архівування файлів. Запуск архівації відбувається наступним чином

де
а - додати в архів
-ep1 - виключити базову папку з шляху
-dw - стерти вихідний файл
Усе інше, я думаю, зрозуміло і так

Після цього ключ шифрується з використанням алгоритму RSA і вмісту файлу

public.cod

public mod = 49320DDB1AD5278EAA389F1A0B899956A63829A7D3C692F88DF078ECCDD6689775F9ED9FFF531AFAE0D3E253056C7FB8BBCF7DEDB4B9CA9FAA0DF24AA34E611466440355F6F1D680187E9D0CC447BEDF06D34F462D8D8B35CD92B4DC6C7C493EF4D76D38B9728CCB33E31DCF861F1EEFC9D03E3D6A32C7F726EC14D2A8607C19C4BE7396F05D1E1A2399FAF6B86CBFB7439EC0D4C0BB97A4DD22F83FB388E968D0559CA42A15F6CC51B384AB8993C6120636C7C39289E0A19FB87C7A166FA78506E1CA86C77517AF6609C2AB2F689810933C4708646470D83397F2C56EECCD854B90E4522BE484BDC8520708D917A9E2CB80E7AFE06E8EC31380F14F5F4E85CB
public key = 932E18AD4465A6A2508998CBDFA3F647ABDB76306ECA4B2BB85D8FD1CF1C13DC8D318000F2986A3561FFC88F3B5684BD989A4EE1739A0465ECD709C392C20A70F14DA22A197999F0347BCA522B1B4D797AB220F7A0DA49CFF66C4B0632382138AF9A26F2FEC0D54B3ABBB1D71467083D60436C30236D130D786E22BAB68BCED

і записується в файл key (якщо він вже існує, цей крок пропускається, якщо не існує, то перетворений ключ записується і в файл psystem. затираючи в ньому ключ шифрування).

В папці з заархівованим файлом створюється файл з повідомленням вимагача, в кінець якого записується зашифрований ключ (причому ніякої перевірки на наявність файлу з повідомленням не відбувається, і він створюється кожен раз заново)

Оцінка можливості дешифрування:
- можлива:
-- ДОСВІДЧЕНИМ КОРИСТУВАЧЕМ (розуміючим в програмуванні, які володіють навичками роботи з програмою WinHex, PE Tools), якщо вчасно помітити процес шифрування, видерти з пам'яті програми ключ;
-- якщо антивірусні компанії ЗАХОЧУТЬ займатися простим перебором ключів;

- неможлива:
-- якщо шифрувальник закінчив роботу, і залишився тільки зашифрований файл з ключем;
-- антивірусні компанії НЕ СТАНУТЬ морочитися з перебором ключів.

P.S. Спочатку, коли вперше стали з'являтися теми з цією напастю, вірус детектувався Лабораторією Касперського як not-a-virus: RiskTool.Win32.Crypter.hq (Virustotal отжигает старим детектив) Тепер детект оновили до Trojan-Ransom.Win32.Agent.icj

антивірусна допомога

Також надіслали архів з двома програмами (посилання на архів якщо треба - вишлю адмінам, раптом буде корисно) і супроводили його наступним листом

Прихований текст

kopiruete faili moar.exe i rar.exe v lubuu directoriu.
zapuskaete moar.exe

na ekran nichego ne vvivoditsya vobshe (neuspeli napisat).
zapustite. programma vse rasshifruet i sama vigruzitsya.

chto programma rabotaet - nazhmite ctrl + alt + del -> zapustit dispetcher
zadach -> vkladka processi.

v processah uvidite mnogo vsykoi figni i uvidete rabotaushii fail
(Moar.exe). esli rabotaet - idet rasshifrovka. kak propadet iz processov -
vse gotovo.

zashifrovannie faili ne udalyautsya (na vsyak sluchai - pust snachala vse
rasshifruetsya). esli nado potom udalit - otpishite, prishlu progu,
kotoraya udalit rAr. Imenno * .rAr, nichego drugogo ..

rasshifrovka nachinaetsya s diska Z. potom X: i tak do A:

Rasshifrovivaetsu s directorii AAA, potom BBB. (Eto tak mozhno bistro
naiti resultati).

Esli chto ne tak - pishite. A to u odnih tut zashifrovalos vse, a potom na
drugom kompe zapustili i vse zashifrovannoe opyat zashifrovalos. I tak ese
tri raza. Oh tam slozhno kak vse bilo. Vse kluchi zashifrovanni nes raz.

Повідомлення від thyrex

Так ми відновили два компа за 3 дні.

stack515. напевно, Ви мені про це писали ще за попередньою версією. Так, звичайно, цей спосіб скоротить час перебору, але придатний для ПРОСУНУТИХ користувачів, яких, на жаль, переважна меншість

антивірусна допомога

thyrex. можливо Вам писав мій колега. Згоден, що цей спосіб підходить для просунутих. Може я, звичайно, оптиміст, але мені здавалося що у багатьох є просунуті друзі, які знаючи ці підказки можуть спробувати.

PS: У процесі боротьби з цією заразою ми створили "утиліту" яка генерує всі можливі варіанти паролів для архіву в обраному інтервалі часу. Якщо кому потрібно - можу викласти. Ми для перебору варіантів використовували той же rar.exe, яким файли шифрувалися, але є гіпотеза про те, що згенеровані "утилітою" ключі можна підсунути як словник в ломалки RARов. Можливо це буде в рази швидше.

Повідомлення від thyrex

На Windows XP такого, на жаль, не знайшов (саме час роботи системи)

Так, але багато людей особливо в організаціях вимикаю комп'ютери на ніч. В цьому випадку можна і на XP спробувати відновити. До речі з W7 є один неприємний момент: якщо комп спить, то лічильник, який пишеться в логи - не йде, а GetTickCount йде. На моєму ноутбуці розбіжність в два рази за цими параметрами. В цьому випадку з лога потрібно брати перший запис з тією завантажувального сесії в якій було зараження. Тоді все сходиться.

Повідомлення від thyrex

У мене теж був ідея що-небудь подібне написати. Але поки просто не став заморочуватися. Тому якщо неважко, можете надіслати мені на пошту (спробуйте засобами форуму, якщо немає, напишіть адміністратору з позначкою переслати мені) програму, створену вами. А якщо і вихідні прикладіть, буде взагалі чудово

Я відправив. Там ще пояснення принципу роботи "утиліти".

Mag1str0. Для початку треба трохи інформації:
1. Яка ОС?
2. Іде чи комп'ютер / ноутбук в сон?
3. Виключається чи на ніч?
4. Чи можливо дізнатися точний час першого зараженого файлу? (Його треба шукати на всіх дисках. Особливо на мережевих і змінних.)

Від цих факторів залежать шанси.

Повідомлення від thyrex

Отримав. Вже і свій генератор ключів написав

Круто! А якщо не секрет, Ви алгоритм генерації досліджували? Я просто хотів дослідити, але не було часу, тому і вирішив змінити готовий код щоб з вірусу його перетворити в генератор ключів. Вийшло дуже ефективно.

Файли відновили, шляхом оплати творцеві вірусу, дуже важлива деталь, вірус якщо кілька разів запустити він буде архівувати вже за заархівовані файли і вже з іншим паролем, буде набагато складніше їх відновити, та й при розпакуванні буде дві копії файлів. Мені було надіслано кілька програм _ для розпакування з одним паролем, для розпакування з іншим паролем, для розпакування з одним і другим паролем, і програма для видалення всіх архівів створеними цією програмою. Ось так.
Та й на одному мережевому диску не вистачило місця для розпакування файлів, тепер доведеться звільнити місце і їх розпаковувати. Це теж невелика проблема.

Теж хотілося б отримати генератор.
1. Win7
2. У сон не йде
3. На ніч вимикається. При чому в день зараження вийшло так, що комп'ютер вимкнули ще під час роботи вірусу - не встиг все диски прогнати.
4. Можна спробувати, є час отримання "позовної" листи, спробую пошукати перший файл.

Попередня ◈ Наступна