Опыт лечения от троянцев-шифровщиков

Описание: Любой пользователь, может здесь написать полезный Faq, желательно касающиеся компьютера.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 viprus » 17.07.2016, 00:06

Опыт лечения от троянцев-шифровщиков

Я хочу поделиться с вами своим опытом.
Около недели назад меня попросили помочь с машиной поймавшей троян-шифровальщик.

Тип троянца - vault, можете погуглить. Гадость достаточно крепкая, все антивирусные конторы сразу в отказ. Утверждают, что расшифровать используемый в нём алгоритм шифрования может только автор самого троянца. И кстати во многих статьях в сети впрямую предлагали связаться с ним и заплатить.

Проршли времена, когда у файлов при этом просто менялось расширение в расчёте на чайников, или они архивировались с коротким паролем (взламывалось достаточно успешно).

Сейчас авторы отбирают наиболее стойкие варианты шифрования (это же их хлеб!). И поджидают жертву покрупнее. При этом сумма выкупа сразу в тексте "приветствия" не озвучивается. В начале они ждут, чтобы жертва вышла на связь. Это означает, что потеряна действительно ценная информация и клиенты готовы заплатить.

Для подтверждения возможности расшифровки жертве предлагается прислать пару файлов. По ним автор старается определить степень платёжеспособности, чтобы не продешевить в требованиях. И выкуп начинается с 20 - 30 тысяч рублей. Согласитесь ему было бы обидно заломить скажем тысяч сто, а клиент сорвётся и больше на связь не выйдет, то есть не он получает ничего. С другой стороны так же обидно получить скажем тысяч 50, кода выяснится, что информация ст0ит пол миллиона. Так что тут всё тонко...

Должен признать, по моему опыту, шансы на расшифровку (без обращения к авторам) сейчас постепенно стремятся к нулю. Да, действительно есть Лаборатория Капсерского, у них три подобных утилиты :

rakhnidecryptor

rectordecryptor

xoristdecryptor

Есть сервис DrWeb (см пост Горыныча - Вредоносная программа шифрования файлов. Помогите!), которые так же берутся расшифровать ваши файлы, если вы - их зарегистрированный пользователь. Но ни, те ни другие ничего не гарантируют. А успех, по моим наблюдениям, у них не превышает 1-2 процентов от обращений. То есть он есть, тогда когда найден вариант решения. Авторам троянца об этом становится известно не просто быстро, они узнают об этом первыми. И? Они естественно в дальнейшем сразу же переходят на ещё более сложный способ.

Это вам не блокеры, которые под конец щёлкал как орехи любой юнец.

Но что же мы можем сделать с шифровальщиками? Спросите вы.

1 Профилактика:

- Не открывайе письма от неизвестных авторов.
- Не открывайте писем от знакомых и друзей с вложениями, если вы этих писем не ждёте.

Резюмируя: НЕ ОТКРЫВАЙТЕ ПИСЕМ, КОТОРЫХ ВЫ НЕ ОЖИДАЕТЕ. Если приятель прислал вам письмо, но в анонсе к нему он не называет вас по имени... позвоните ему и узнайте, посылал он вам что-нибудь или нет.

Типичное такое послание: "Привет, посмотри что я нашёл! (далее ссылка или просто вложенная картинка)" У организаций легче сробатывает что-то типа: "Пожарная инспекция: Срочно оплатите штраф! "

Или что-то подобное. Так, кстати, было в моём случае.

2. Если вы всё же открыли и увидели угрожающую надпись: ... ваши файлы/документы зашифрованы... Сразу, нет С Р А З У!!!!! обесточьте компюьтер! Подчёркиваю не выключите штатно (типа Пуск - Завершение работы - Выключение) и даже не долго удерживайте кнопку включения на корпусе (Задача шифрования, может иметь (и обычно имеет) высокий приоритет и может приостановить выключение до завершения задачи). То есть отрубить пилот, Отключить на спине системника блок питания, выдернуть вилку из розетки, отщёлкнуть аккумулятор на ноутбуке.

Потому что всё это время ваши документы будут шифроваться. Чем больше у вас их на компе (а шифруются в основном документы Word, Excell, pdf, jpeg, то есть документы и изображения/фотографии) и чем слабее ваш процессор, тем больше на это потребуется времени.

Если у вас супер-пупер мощная игровая система, то на это может уйти всего пара минут или меньше. Но если повезёт, это может растянуться минут на 20 - 30. И вот тут, чем быстрее вы отключите питание, тем большую долю документов вы успеете сохранить. Если комп простоял с заставкой о шифровании больше часа, можно уже не суетиться, всё самое плохое уже случилось.

Именно по этому в тексте с угрозами вас будут предупреждать ни в коем случае не выключать ваш комп. В моём случае, они позвонили, когда прошло больше 3 часов и время было упущено.

Если вы попались в этот капкан особенно тщательно следует выбирать того, к кому вы обратитесь за лечением. Если это окажется дилетатнт и включит его как обычно "посмотреть" что там за угроза, он сведёт ваши усилия на нет, при штатном включении задание продолжиться и зашифрует то, что ещё не зашифровано. Загружать такую машину (в первую очередь для изоляции троянца) следует со специального Live-CD диска. И желательно его (троянца) не удалять, а запаковать для передачи в лабораторию. Если даже вам не смогут расшифровать ваши файлы, то по крайней мере вы поработаете на будущее, возможно вы поможете изучить новый тип зловреда.

Я, приехав, я удалил троянца и его корни (тут ничего нового, чего бы не было описано в моём сообщении Тут), убедился что, больше здесь я ничего с делать не смогу, но, как честный человек, около часа искал в интернете хоть какие-то варианты по vault. И нашёл любопытную вещицу.

ShadowExplorer оф сайт для загрузки - ShadowExplorer

Если в операционной системе (Windows Vista и новее) на разделе с зашифрованными файлами до заражения было включено Восстановление системы (желательно в режиме - Восстановление параметров системы и предыдущие версии файлов), то время от времени ось делает резервные копии файлов этого раздела.

Настроить это можно, например в Семёрке, здесь: Мой комп правой кнопкой мыши - Свойства - В левой половине Защита системы - Вкладка Защита системы - выбрать раздел (диск С или D) - Настройка - поставить точку в верхнем пункте - Восстановление параметров системы и предыдущие версии файлов.

Так вот, откатив систему (она же у нас рабочая, загружается и работает вполне штатно) на контрольную точку сохранения ДО заражения, есть шанс, что восстановятся и файлы на этом разделе. Но откат системы дело долгое и хлопотное. Тут нам и пригодится ShadowExplorer.

Скачиваете его с официального сайта и запускаете на вылеченной машине. В левом верхнем углу (как на втором снимке см выше) выбираем раздел. В данном случае - С. В окошке правее появляется список контрольных дат, на которые имеется контрольная точка сохранения. Если в этом окне пусто, значит Восстановление системы было отключено и ловить тут больше нечего.

Изображение

Мне повезло, точки были. Я выбрал ту, что поближе к заражению, но ДО него. И вот мне предлагается Проводник с деревом папок и фйалов на диске С на тот момент. Теперь топаем правой пяткой мыши на нужной нам папке (даже многуровневой) или на файле и выбираем - Экспортировать, указываем новую папку и складываем туда "восстановленные" варианты файлов.

Изображение

Так я поднял заказчикам документы с Рабочего стола (пусть даже и недельной давности, они были довольны).

Дальше мне не повезло дважды.

1. На разделе D Восстановление было отключено. Так в принципе поступаю и я в целях экономии места на разделе. Поступал раньше. В дальнейшем я буду думать всегда ли это ст0ит делать. :)
2. Папка Мои документы, штатно размещённая на разделе С, местным "администратором" так же была перенесена на раздел D. Со всеми вытекающими от сюда последствиями.

То есть да, это был бы умный ход в других случаях, например при крахе системы и её переустановке Мои документы как раз бы не потерялись при форматировании раздела С, но вот при шифровании увы... Кстати у клиентов зашифровались даже данные на личной флешке, которая была воткнута. Хорошо ещё, что второй комп в бухгалтерии не был соединён с больным по локальной сети.

Вот такой вот опыт, которым я хотел с вами поделиться. Возможно это кому-то пригодится. Я не претендую на то, что мой случай - панацея и выручит при любом подобном троянце. Я даже не могу утверждать, что любой vault можно будет обойти так. Но...

Грустно ведь что, если (когда) об этом узнают авторы, боюсь они в свой троян включат ещё и команду отключения восстановления на разделах. При этом все контрольные точки сохранения стираются и восстановление становится почти невозможным.

ЗЫ решил запилить в фак, может прилепить?
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 52
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1820
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 6 лет 3 месяца

#2 stalker78yd » 17.07.2016, 00:14

viprus писал(а):может прилепить?
хз, но в закладки добавил :good3:
stalker78yd M В сети
Эксперт
Эксперт
Аватара
Возраст: 38
Откуда: 4ый энергоблок
Репутация: 1299
Лояльность: 215 (+237/−22)
Сообщения: 12608
Темы: 8
Зарегистрирован: 14.07.2014
С нами: 3 года 2 месяца

#3 viprus » 17.07.2016, 00:22

Ок. :smile:
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 52
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1820
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 6 лет 3 месяца

#4 looki » 17.07.2016, 07:40

Вирмейкеры давно умеют шифровать фалы даже в теневых копиях и даже на сетевых дисках.
Просто вирус вирусв рознь.
Например уже известен шифровальщик написанный на 1с и внедряющийся непосредственно в программу.
Рассылая правдоподобные (читай-реальные) документы и файлы контрагентам заражае всех.
Но при этом действительно были ситуации,когда виомейкеры совершенствовали свой код опираясь на болтливых сотрудников вирлабов и иже с ними.
А некоторые вирусописатели и вовсе интелегентные,воспитанные люди)
looki F
Поддержка
Поддержка
Репутация: 88
Лояльность: 89 (+90/−1)
Сообщения: 860
Темы: 4
Зарегистрирован: 12.11.2014
С нами: 2 года 10 месяцев

#5 viprus » 17.07.2016, 14:58

looki писал(а):даже в теневых копиях и даже на сетевых дисках
Вас не смущает э-м... огромная разница в уровне этих двух задач?

looki писал(а):Рассылая правдоподобные (читай-реальные) документы
Простите рассылает из 1с? И прямо вот так внедряется в 1с? Надо полагать вы имеете в виду 1С Предприятие? А можно поподробнее или это из агентства ОБН (одна бабка сказала)?
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 52
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1820
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 6 лет 3 месяца

#6 looki » 17.07.2016, 16:19

Реальный троян,написан на русском,как я помню.
Доктор веб недавно публикацию делали,неужто не читали?

Добавлено спустя 16 минут 16 секунд:
перейти по ссылке
looki F
Поддержка
Поддержка
Репутация: 88
Лояльность: 89 (+90/−1)
Сообщения: 860
Темы: 4
Зарегистрирован: 12.11.2014
С нами: 2 года 10 месяцев

#7 viprus » 17.07.2016, 16:58

С 1С - убедительно, признаю. А вот про теневые копии словами бросаться не надо. Троянцу гораздо проще отрубить Восстановление и теневые копии просто исчезнут, нет никакого смысла запускать этот процесс, открывать точки сохранения и заморачиваться шифрованием документов которые там окажутся. Согласитесь?
Тогда как сетевой диск доступен в проводнике и для шифрования документов на нём специально ничего делать не надо.
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 52
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1820
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 6 лет 3 месяца

#8 looki » 17.07.2016, 17:09

Да,неверно выражено в текст...для удаления копий на системах старше хр достаточно изменения одного-двух недокументированных значений реестра.
Либо немного иначе...но суть та же,пробить защиту.
Нанести урон,как вы выразились.
По сетевым дискам не все так просто,как кажется))

Добавлено спустя 7 минут 3 секунды:
Еще более точнее,то теневые копии в хр и тех же 10 организованы по разному,поэтому и шла речь о сетевых дисках и шифровании копий.
Я так понимаю вы в курсе,что отключив восстановление убиваются и копии,но если они лежат не на локальном,то и задачи иные.
looki F
Поддержка
Поддержка
Репутация: 88
Лояльность: 89 (+90/−1)
Сообщения: 860
Темы: 4
Зарегистрирован: 12.11.2014
С нами: 2 года 10 месяцев

#9 viprus » 17.07.2016, 17:57

:smile: мне словжно вас понимать, что такое "недокументированных значений реестра"?
В ХРюше не создаётся теневых копий, там служба работает по другому, это только В Висте и позже они создаются.

looki писал(а):Я так понимаю вы в курсе,что отключив восстановление убиваются и копии

:smile: А я не так написал?
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 52
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1820
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 6 лет 3 месяца

#10 looki » 17.07.2016, 18:00

Не документированные?
Я полагаю те,что отсутствуют в официальной литературе.
looki F
Поддержка
Поддержка
Репутация: 88
Лояльность: 89 (+90/−1)
Сообщения: 860
Темы: 4
Зарегистрирован: 12.11.2014
С нами: 2 года 10 месяцев

#11 viprus » 17.07.2016, 19:48

Ок, я понял.
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Автор темы, Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 52
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1820
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 6 лет 3 месяца


  • Понравилась тема? Поделись с друзьями!

Вернуться в Компьютерный Faq

Кто сейчас на форуме (по активности за 20 минут)

Сейчас этот раздел просматривают: 1 гость