admin / 15.11.2017
Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl илиTrojan-Ransom.Win32.CryptXXX версии 1 и 2.
Содержание
.
Ransim — симулятор шифровальщиков, который имитирует атаки 10 семейств троянов-вымогателей. С помощью утилиты вы можете протестировать защиту вашего антивируса или программы безопасности от данного вида угроз
Скачать RanSim
Шифровальщики или программы-вымогатели (ransomware) — относительно новый вид угроз, который в последнее время показывает интенсивный рост.
Антивирусные компании отвечают на данную угрозу, добавляя защиту от шифровальщиков в свои решения или выпуская автономные продукты, которые блокируют шифрование файлов неизвестными программами.
Многие пользователи не могут достоверно определить, насколько их система защищена от троянов-вымогателей. RanSim разработан специально для симуляции данных видов атак на компьютере, чтобы проверить эффективность защиты против 10 семейств угроз.
Для скачивания программы на сайте разработчиков необходимо заполнять подробную информацию о себе. Вместо этого мы предлагаем скачать программу на нашем сайте без дополнительной регистрации.
Подсказки в программе рекомендуют оставить активной антивирусную защиту для имитации реального сценария атаки. В некоторых случаях это может вызвать трудности. Например, новая версия Malwarebytes Premium и Kaspersky Anti-Ransomware Tool блокируют выполнение RanSim на целевых системах.
RanSim обладает очень простым интерфейсом. Программа показывают подробную информацию о методике тестирования и содержит кнопку для быстрого запуска проверки.
Тестирование выполняется около минуты. Программа загружает файлы из Интернета — ваши локальные файлы не пострадают.
Все файлы будут пронумерованы, и в отчете будет показана информация об уязвимостях каждого объекта.
В тесте применяются следующие сценарии атак:
Настоящий шифратор показывает сообщение, обманывая пользователя, что объекты можно восстановить.
RanSim выводит список успешных и безуспешных атак во время теста.
Если вы хотите проверить эффективность защиты от троянов-вымогателей вашего антивируса или дополнительной программы безопасности из категории защита от шифровальщиков попробуйте предложенную тестовую утилиту.
Поделитесь вашими результатами в комментариях.
P.S. Некоторые антивирусные программы могут предотвратить выполнение приложения. В этом случае протестировать защиту от шифровальщиков с помощью RanSim не получится.
Скачать RanSim
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Данная статья написана ведущим программистом нашей компании Михеевым Алексеем.
Надеемся, что информация, изложенная ниже поможет вам избежать серьезных последствий заражения вирусом-шифровальщиком.
Итак, приступим.
Троянцы шифровальщики семейства Trojan.Encoder появились в 2006-2007 году
На данный момент существует около 1000 разновидностей.
Самые совершенные троянцы используют проверенные временем и стойкие к атаке алгоритмы.
Например, чтобы восстановить файлы зашифрованные трояном Encoder.741 путем простого перебора потребуется 107902838054224993544152335601 год.
По данным компании Dr.Web расшифровка возможна только в 10% случаев.
Есть разновидности, которые уже успешно расшифровываются:
Трояны — Trojan.Encoder.94, Trojan.Encoder.293
при заражении которыми возможно восстановление файлов в 90% случаев.
Но, например, троянцы модификации Trojan.Encoder.556, Trojan.Encoder.686, Trojan.Encoder.858 вообще не позволяют восстановить файлы.
Бывает, что некоторые создатели шифровальщиков после оплаты не способны расшифровать файлы зашифрованные их детищем и отправляют их в техподдержку компании Dr.Web, которая имеет высокие результаты по восстановлению файлов.
Как происходит заражение.
Жертва заражается через спам-письмо с вложением (реже инфекционным путем).
Вложение представляет собой архив, в котором:
-либо файл-заставка с расширением scr., который при запуске распаковывает из себя файлы шифровальщики.
-либо может быть js (ява-скрипт) файл, который скачивает все необходимое с сервера злоумышленников по интернету при запуске.
Последнее развитие шифровальщиков хранит все необходимое сразу во вложении в зашифрованном виде для создания проблемы антивирусам.
В теме письма может значиться тревожные сообщения от банка, суда, налоговой и т.д.
Также могут фигурировать эти же слова и в имени вложения.
В архиве файлы маскируются под doc, xls, pdf, jpg и другие файлы.
Длину имени файла выбирают таким образом, чтобы при стандартных настройках окна архиватора было видно — <название файла>.doc, а продолжение названия, где написано второе расширение (js, exe, scr, com) не видно пока не прокрутишь скролл.
Но вот иконка файла внутри архива показывается из расчета настроек системы.
Подделать ее возможно, только если предварительно заразить атакуемый компьютер и подменить иконку отображения файлов scr и js на иконки word или excel файлов.
Примеры вложений:
Чаще всего потенциально вредоносный файл размещают в архиве, т.к. файлы, которые могут исполняться в системе — почтовые системы не пропускают.
Вот что может быть в архиве:
В имя файла иногда добавляют название антивируса, которым якобы был предварительно проверен файл. Обязательно перед расширением, которое может быть
исполнено в системе указывают расширение ловушку, под которое маскируется документ.
В указанном выше примере скрипт javascript маскируется под word файл. Если бы ширина поля имени была уже, то было бы видно только расширение doc.
Так как система не была заражена перед атакой, то иконка явно указывает, что это вирус. Вполне явственно видно, что иконка файла в архиве нисколько не похожа на иконку вордовского документа. Такой файл ни в коем случае открывать нельзя.
Более изощренные способы вложений:
В данном случае вложением является word-файл, а в нем уже находится вредоносный объект OLE (Object Linking and Embedding, произносится как oh-lay [олэй]), который предлагается открыть из документа word. Подробнее об OLE.
Если бы это действительно было резюме, то его приложили бы сразу.
Такой файл лучше показать сисадмину.
В данном случае пытаются решить проблему корректного отображения текста макросами, но здесь проблема шрифта. Такой файл также стоит показать сисадмину. Такой способ обработки файла вполне может быть и легальным.
Как они работают:
Шифровальщик Trojan.Encoder.398
Троянец-шифровальщик, написанный на языке Delphi, является, по всей видимости, развитием вредоносной программы Trojan.Encoder.225. Ключи для шифрования он получает с сервера злоумышленников по сети.
При первом запуске копирует себя в папку %APPDATA%\ID\ с именем ID.exe, где ID — серийный номер жесткого диска. Затем демонстрирует на экране сообщение о том, что архив поврежден, и запускает скопированный файл с каталогом по умолчанию C:\, после чего завершается.
Второй запущенный экземпляр троянца проверяет наличие каталога %APPDATA%\ID, получает серийный номер жесткого диска и отправляет его на сервер при помощи функции InternetOpenUrlA. В ответ троянец получает от сервера конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов (параметр ext).
После инициализации переменных начинается шифрование файлов. Шифрует только фиксированные диски (DRIVE_FIXED).
Не шифрует файлы в следующих каталогах:
$RECYCLE.BIN, Windows,Program Files (x86), Program Files, Games, ProgramData, UpdatusUser, AppData, Application Data, Cookies, Local Settings, NetHood, PrintHood, Recent, SendTo, Главное меню, Поиски, Ссылки, System Volume Information, Recovery, NVIDIA, Intel, DrWeb Quarantine, Config.Msi, All Users, Все пользователи.
Шифрует следующие типы файлов: ak|.BAK|.rtf|.RTF|.pdf|.PDF|.mdb|.MDB|.b2|.B2|.mdf|.MDF|.accdb|.ACCDB|.eap|.EAP|.swf|.SWF|
.svg|.SVG|.odt|.ODT|.ppt|.PPT|.pptx|.PPTX|.xps|.XPS|.xls|.XLS|.cvs|.CVS|.dmg|.DMG|.dwg|.DWG|
.md|.MD|.elf|.ELF|.1CD|.1cd|.DBF|.dbf|.jpg|.JPG|.jpeg|.JPEG|.psd|.PSD|.rtf|.RTF|.MD|.dt|.DT|
.cf|.CF|.max|.MAX|.dxf|.DXF|.dwg|.DWG|.dds|.DDS|.3ds|.3DS|.ai|.AI|.cdr|.CDR|.svg|.SVG|
.txt|.TXT|.csv|.CSV|.7z|.7Z|.tar|.TAR|.gz|.GZ|.bakup|.BAKUP|.djvu|.DJVU|
Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):
1.
DES
2. RC2
3. RC4
4. RC5
5. RC6
6. 3DES
7. Blowfish
8. AES (Rijndael)
9. ГОСТ 28147-89
10. IDEA
11. Tea
12. CAST-128
13. CAST-256
14. ICE
15. Twofish
16. Serpent
17. MARS
18. MISTY1
После первоначального цикла шифрования всех дисков запускается второй цикл, в котором троянец шифрует базы данных 1С в каталогах Program Files и Program Files (x86).
Список расширений шифруемых файлов:
|.dbf|.DBF|.1cd|.1CD|.dt|.DT|.md|.MD|.dds|.DDS|
После зашифровки рядом с зашифрованными файлами появляется такое требование:
Все ваши файлы были зашифрованы с помощью криптостойкого алгоритма!
Расшифровать ваши файлы не зная уникальный для вашего ПК пароль невозможно!
Любая попытка изменить файл приведет к невозможности его восстановления!
Стоимость дешифратора 5000 рублей.
Купить дешифратор и пароль для расшифровки можно написав нам на email:
backyourfiles@aol.com
Если Вы хотите убедится в возможности восстановления ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы его расшифруем.
Шифровальщик BAT.Encoder.18
Троянец-шифровальщик, распространяющийся под видом вложенного в электронные письма резюме. Представляет собой инсталляционный пакет NSIS. После запуска извлекает на компьютер пользователя следующие файлы:
• csrss.bat – основной файл троянца;
• svchost.exe – переименованная утилита GPG;
• iconv.dll — библиотека для работы GPG;
• pubring.bak — данные для GPG;
• pubring.gpg — данные для GPG;
• random_seed — данные для GPG;
• secring.gpg — данные для GPG;
• trustdb.gpg — данные для GPG.
csrss.bat удаляет директорию %APPDATA%\gnupg\, уничтожая тем самым уже установленную утилиту GPG. Затем повторно создает каталог %APPDATA%\gnupg\ и копирует в него файлы pubring.bak, pubring.gpg,random_seed, secring.gpg, trustdb.gpg.
После этого троянец начинает процесс шифрования данных, для чего перебирает все диски, кроме диска A, и зашифровывает найденные на них файлы. Полученные в итоге файловые объекты имеют расширение *.gpg, которое заменяется на *.pzdc.
Также есть шифровальщик, который шифрует файлы и меняет расширение на vault.
Такой шифровальщик, попадая на компьютер пользователя, скачивает также утилиту GPG и создает уникальный ключ для компьютера. Этот ключ отправляется на сервер злоумышленников расположенный за территорией РФ.
Затем шифровальщик сканирует диск и шифрует документы и картинки пользователя на локальном диске. При шифровании он составляет список зашифрованных файлов и также отправляет их на сервер злоумышленников.
Сервер злоумышленников находится в защищенной сети TOR.
Стоимость восстановления зависит от количества файлов и считается в биткойнах (один из видов крипто-валюты (от Bitcoin: англ. bit — бит и coin — монета)). Согласно уникальному ключу присланному троянцем злоумышленники могут идентифицировать каждый зараженный ПК и посчитать стоимость ущерба в каждом конкретном случае.
Виды шифрования:
Шифрование с помощью операции «XOR»
Начнем с программ, осуществляющих самое примитивное шифрование. Ярким представителем таких вредоносных программ является семейство Trojan-Ransom.Win32.Xorist. Оно обладает следующими характерными особенностями:
• Xorist – один из немногих шифровальщиков, который выполняет свою угрозу и портит файлы пользователя при многократном неправильном введении пароля.
• Для шифрования используется операция «XOR». Уязвимостью этой криптосхемы является то, что возможно легкое дешифрование файлов за счет известных стандартных заголовков файлов. Чтобы противостоять этому, Xorist шифрует файлы не с самого начала, а с некоторым отступом. По умолчанию этот отступ составляет 104h байт, но может быть изменен при компиляции вируса.
• Для усложнения алгоритма шифрования используется рандомизация ключа с помощью первой буквы названия файла.
Фрагмент файла, зашифрованного шифровальщиком из семейства Xorist: отчетливо видна размерность ключа в 8 байт.
Симметричное шифрование.
Симметричной схемой шифрования называется схема, при которой для шифрования и расшифровывания используется пара ключей, связанных соотношением симметрии (именно поэтому такая схема называется симметричной). В подавляющем большинстве случаев в таких схемах для шифрования и расшифровки используется один и тот же ключ.
Если ключ «вшит» в тело шифровальщика, то при наличии тела трояна (т.е. сохранился сам экземпляр вируса) можно достать из него ключ и создать эффективную утилиту для расшифровывания файлов. Такие вредоносные программы обычно стараются удалить сами себя после шифровки файлов. Примером программ этого типа могут служить некоторые модификации семейства Rakhni.
Если же ключ получается с сервера злоумышленников либо генерируется и отправляется на него, то наличие образца вредоносной программы мало что дает – необходим экземпляр ключа, находящегося на сервере злоумышленников. Если такой ключ удается восстановить (вредоносная программа, по понятным причинам, старается удалить такой ключ после использования), то создать утилиту для дешифровки возможно. В этом случае также могут оказаться полезными системы, кэширующие интернет-трафик пользователей.
Асимметричное шифрование
Асимметричной схемой шифрования называется схема, при которой ключи шифрования и расшифровки не связаны очевидным соотношением симметрии. Ключ для шифрования называют открытым (или публичным), ключ для расшифровывания называют закрытым (или приватным). Вычисление закрытого ключа по известному открытому – очень сложная математическая задача, не решаемая за разумный срок на современных вычислительных мощностях.
В основе асимметричных криптосхем лежит так называемая однонаправленная функция с секретом. Говоря простым языком – это некая математическая функция, зависящая от параметра (секрета). Если секретный параметр не известен, значение функции относительно легко вычисляется в «прямом» направлении (по известному значению аргумента вычисляется значение функции) и чрезвычайно трудно вычисляется в «обратном» (по значению функции вычисляется значение аргумента).
Способы защиты:
• Регулярно делайте резервные копии всех важных файлов и размещайте их на отдельном носителе вне компьютера.
• Включите отображение расширений для зарегистрированных типов файлов. Это поможет вам контролировать, что присланный вам документ – действительно документ, а не исполняемый файл. В этом необходимо убеждаться, даже если письмо получено от знакомого вам адресата. Внимательно смотрите на иконки файлов во вложениях прежде чем открывать их!
• Относитесь с подозрением к ссылкам и вложениям из писем, получения которых вы не ждете. Любопытство и страх это любимые «инструменты» злоумышленников, чтобы заставить пользователей забыть о бдительности и открыть вложение. Если у вас возникло хоть малейшее подозрение в легитимности присланных вам файлов, стоит обратиться за помощью к системному администратору. Даже если тревога будет ложной, это все равно лучше, чем потеря всей информации на ПК.
• Используйте последние версии антивирусных продуктов. Как правило, их эффективность возрастает с каждой новой версией за счет новых модулей.
• Ну и наконец, дождитесь обновления антивирусных баз, прежде чем читать утреннюю почту.
А также Вы можете обратиться в нашу компанию за консультацией. Специалисты «Технограда» дадут все необходимые рекомендации по повышению сетевой безопасности, а также профессионально внедрят продукты для решения данной задачи.
Вирусы-шифровальщики (ransomware) по праву считаются самыми опасными из всех вирусов, находящихся в свободном доступе в Интернете. Их главное отличие от обычных вирусов, а также самая сильная их сторона в том, что они работают максимально скрытно до тех пор, пока не выполнят свою задачу. Задача вируса – проникнуть в систему и зашифровать все данные на компьютере пользователя. После того, как шифрование завершено, пользователь не может никак навредить вирусу, ведь зашифрованные файлы почти невозможно восстановить, не прибегая к помощи хакеров. В связи с этим, а также, чтобы еще больше усилить защиту от удаления, многие вирусы-шифровальщики использую функцию запугивания. Они говорят, что если ваш компьютер заражен, и вы попытаетесь удалить вирус, или установить какую-либо программу для его удаления – то против вас будут приняты меры.
Есть несколько видов подобных мер: увеличение суммы выкупа, частичное или удаление зашифрованных данных. Хакеры в очень суровой форме сообщают пользователю, что он ни в коем случае не должен пытаться найти выход из ситуации, иначе его ожидают большие проблемы. Как правило, такие угрозы являются лишь психологической уловкой.
Для предотвращения потери возможности восстановления файлов при помощи выкупа, можно сделать копию зашифрованных файлов и сохранить инструкции от вируса-вымогателя, которые содержат часть ключа для дешифрования. Лучше всего выполнять все процедуры в безопасном режиме. Безопасный режим – это неплохая дополнительная защита от вирусов, так как в нём любые посторонние программы просто не запускаются. Это значит, что вы сможете спокойно и без спешки выполнить все необходимые этапы удаления, и вирус не сможет вам помешать.
Помимо всего прочего, удаление вируса-шифровальщика, который зашифровал ваши данные, имеет еще один побочный эффект. Если вы удалите вирус с компьютера, вы уже не сможете восстановить файлы путем уплаты выкупа (если только вы не сделали резервную копию зашифрованных файлов и не сохранили инструкции к вирусу). Как только вирус будет удален, вам нужно будет самостоятельно искать решение этой проблемы, скачивать расшифровывающие программы и искать информацию о том, можно ли вообще расшифровать файлы. Мы можем помочь вам с этим: вам нужно будет лишь ввести название вируса, зашифровавшего файлы, в строку поиска на нашем сайте – и вы сможете получить полную информацию об этом вирусе, а также о том, как восстановить испорченные файлы. Просмотрите статью как восстановить зашифрованную информацию, чтобы получить более полное представление о способах восстановления информации.
- Нажмите «Пуск»
- Введите Msconfig и нажмите «Enter»
- Выберите вкладку «Загрузка»
- Выберите «Безопасная загрузка» и нажмите OK
- Нажмите «Пуск»
- Выберите «Панель управления»
- Выберите «Оформление и персонализация»
- Нажмите на «Параметры папок»
- Перейдите во вкладку «Вид»
- Выберите «Показывать скрытые файлы, папки и диски»
Удалить файлы вируса
Проверьте следующие папки на предмет наличия в них файлов вируса:
- %TEMP%
- %APPDATA%
- %ProgramData%
- Нажмите «Пуск»
- Введите «Regedit.exe» и нажмите «Enter»
- Проверьте папки автозапуска на наличие подозрительных записей:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- Аналогично для папки HKEY_CURRENT_USER
- Удалите из этих папок вредоносные файлы
Вариант Kryptovor Ransomware, Neitrino вымогателей сообщается кодировать файлы компьютера, он заражает, добавив расширение .Neitrino им. Этот вирус выкупа также использует файл MESSAGE.txt, который направлен для уведомления пользователей, их computer’ s файлы зашифрованы с шифра AES, и они должны платить выкуп деньги, чтобы получить их обратно. Это делается, чтобы убедить пользователей, они не имеют каких-либо других вариантов и их лучше всего заплатить преступников от их денег. Поскольку уже пострадали жертвы, эксперты настоятельно советую против уплаты выкупа примечания.
Скачать утилитучтобы удалить Neitrino
Угроза резюме Neitrino Ransomware’ s Neitrino методы распределения вымогателей вирус может использовать сторонние веб-сайты и оставить его вредоносных исполняемых файлов там, выкладывая их в виде различных законных программ:
Подобно Kriptovor Ransomware, Neitrino, также могут использовать вредоносный спам электронной почты которая может заразить пользователей через поддельные .pdf файл. Такой файл может содержать вредоносные макросы или быть .js file(JavaScript).
Она также может быть полезной нагрузки капельницы троянский конь вирус.
Содержание таких сообщений электронной почты может показаться убедительными для пользователя, давая его или ее серьезные причины для открытия вложения электронной почты. Это очень эффективно, если спамеры используют веб-сайты, пользователи регистрируются в или другой информации против них, делая пользователи считают, что это является законным.
Так как Neitrino представляет собой Kriptovor вариант, он также может использовать Троян, который может получить и отправить информацию о ключевых системы кибер преступников:
Скачать утилитучтобы удалить Neitrino
Neitrino Ransowmare могут также иметь конкретные конфигурации для удаления самой и не запущена. Например если он обнаруживает, что он не работает на среде с реальной Windows и вместо этого выполняется на виртуальном диске, она может завершить работу и самостоятельно прекратить. Не только это, но если такие критерии ment, Neitrino Ransowmare также могут скачать ее полезной нагрузки в. RAR файл от вредоносных доменов, принадлежащих к кибер преступников.
Neitrino вымогателей может иметь более одного исполняемого файла. Он может добавить запись реестра для его вредоносный файл, который шифрует файлы в редакторе реестра Windows. Целевой ключ может быть «RunOnce» ключ, который работает шифратора, когда вы начинаете Windows:
→ HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
Как только начинается процесс шифрования Neitrino, он может сканировать сотни видов типов файлов. Большинство «важные» файлы, которые он шифрует являются:
Документы Microsoft Office.
Но Neitrino не останавливаться на достигнутом. Neitrino вирус, фактически оставляет Примечание выкупа, написана полностью на русском языке. Он переводит на следующее сообщение:
Это scareware сообщение предполагает, что Neitrino вымогателей может использовать так называемые режиме CBC. Эта аббревиатура расшифровывается зашифрованный блок цепочки, и он действительно может повредить файлы, если вы попытаетесь использовать другие decryptors чем оригинал. Это почему мы не советуем вам это сделать, или если вы сделать это, для создания копий закодированных файлов.
Если вы решили, что вы должны немедленно удалите Neitrino вымогателей, наш совет заключается в использовании инструкции, которые мы любезно предоставили для вас после этой статьи. Они помогут вам вручную удалить Neitrino из вашего компьютера. В случае, если вы испытываете трудности после ручной инструкции, как правило предпочтительнее использовать передовые анти вредоносные программы, которая будет автоматически сканировать для и удалить вредоносные файлы, связанные с этим вирусом и восстановления настроек вернуться к нормальной без повреждения закодированные файлы.
Скачать утилитучтобы удалить Neitrino
В случае, если вы чувствуете, как вы должны сделать что-то о зашифрованных файлах, не платить суммы выкупа, если мошенники просят за него. Вместо этого вы можете попробовать:
1. перед началом любого расшифровки самостоятельно создать несколько копий зашифрованных файлов так, что вы можете попробовать, расшифровывая их с помощью Kaspersky’ s и Emsisoft’ s decryptors с безопасного компьютера.
2. попросите кибер преступников для расшифровки одного файла бесплатно как гарантию, так как это поможет вам с расшифровкой других файлов.
3. выполните предлагаемые альтернативные решения в действии «3. ««Восстанавливать файлы, зашифрованные с Neitrino» ниже.
Внимание! Существенное уведомление об угрозе Neitrino : ручное удаление Neitrino требует вмешательства с системные файлы и реестры. Таким образом это может вызвать повреждение к вашему ПК. Даже если ваши навыки работы на компьютере не на профессиональный уровень, возлюбленная €™ т беспокоиться. Вы можете сделать удаление всего за 5 минут, используя средство удаления вредоносных программ.
Next PostPrevious Post
.
FILED UNDER : IT