На главную
Обслуживание компьютеров


Калькулятор


      Документы               





Мы в:

 644027472
 VK
 Фейсбук


Цены Контакты
Вернуться на главную
Трояны-шифровальщики.

Данная статья написана ведущим программистом нашей компании Михеевым Алексеем.
Надеемся, что информация, изложенная ниже поможет вам избежать серьезных последствий заражения вирусом-шифровальщиком.
Итак, приступим.

Троянцы шифровальщики семейства Trojan.Encoder появились в 2006-2007 году
На данный момент существует около 1000 разновидностей.
Самые совершенные троянцы используют проверенные временем и стойкие к атаке алгоритмы.
Например, чтобы восстановить файлы зашифрованные трояном Encoder.741 путем простого перебора потребуется 107902838054224993544152335601 год.
По данным компании Dr.Web расшифровка возможна только в 10% случаев.
Есть разновидности, которые уже успешно расшифровываются:
Трояны - Trojan.Encoder.94, Trojan.Encoder.293
при заражении которыми возможно восстановление файлов в 90% случаев.
Но, например, троянцы модификации Trojan.Encoder.556, Trojan.Encoder.686, Trojan.Encoder.858 вообще не позволяют восстановить файлы.

Бывает, что некоторые создатели шифровальщиков после оплаты не способны расшифровать файлы зашифрованные их детищем и отправляют их в техподдержку компании Dr.Web, которая имеет высокие результаты по восстановлению файлов.

Как происходит заражение.
Жертва заражается через спам-письмо с вложением (реже инфекционным путем).
Вложение представляет собой архив, в котором:
-либо файл-заставка с расширением scr., который при запуске распаковывает из себя файлы шифровальщики.
-либо может быть js (ява-скрипт) файл, который скачивает все необходимое с сервера злоумышленников по интернету при запуске.
Последнее развитие шифровальщиков хранит все необходимое сразу во вложении в зашифрованном виде для создания проблемы антивирусам.

В теме письма может значиться тревожные сообщения от банка, суда, налоговой и т.д. Также могут фигурировать эти же слова и в имени вложения.

В архиве файлы маскируются под doc, xls, pdf, jpg и другие файлы.
Длину имени файла выбирают таким образом, чтобы при стандартных настройках окна архиватора было видно - <название файла>.doc, а продолжение названия, где написано второе расширение (js, exe, scr, com) не видно пока не прокрутишь скролл.

Но вот иконка файла внутри архива показывается из расчета настроек системы.
Подделать ее возможно, только если предварительно заразить атакуемый компьютер и подменить иконку отображения файлов scr и js на иконки word или excel файлов.

 

Примеры вложений:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Чаще всего потенциально вредоносный файл размещают в архиве, т.к. файлы, которые могут исполняться в системе - почтовые системы не пропускают.

Вот что может быть в архиве:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

В имя файла иногда добавляют название антивируса, которым якобы был предварительно проверен файл. Обязательно перед расширением, которое может быть
исполнено в системе указывают расширение ловушку, под которое маскируется документ.
В указанном выше примере скрипт javascript маскируется под word файл. Если бы ширина поля имени была уже, то было бы видно только расширение doc.
Так как система не была заражена перед атакой, то иконка явно указывает, что это вирус. Вполне явственно видно, что иконка файла в архиве нисколько не похожа на иконку вордовского документа. Такой файл ни в коем случае открывать нельзя.

Более изощренные способы вложений:


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

В данном случае вложением является word-файл, а в нем уже находится вредоносный объект OLE (Object Linking and Embedding, произносится как oh-lay [олэй]), который предлагается открыть из документа word. Подробнее об OLE.


Если бы это действительно было резюме, то его приложили бы сразу.
Такой файл лучше показать сисадмину.

 


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

В данном случае пытаются решить проблему корректного отображения текста макросами, но здесь проблема шрифта. Такой файл также стоит показать сисадмину. Такой способ обработки файла вполне может быть и легальным.

 

 

Как они работают:

Шифровальщик Trojan.Encoder.398
Троянец-шифровальщик, написанный на языке Delphi, является, по всей видимости, развитием вредоносной программы Trojan.Encoder.225. Ключи для шифрования он получает с сервера злоумышленников по сети.
При первом запуске копирует себя в папку %APPDATA%\ID\ с именем ID.exe, где ID — серийный номер жесткого диска. Затем демонстрирует на экране сообщение о том, что архив поврежден, и запускает скопированный файл с каталогом по умолчанию C:\, после чего завершается.
Второй запущенный экземпляр троянца проверяет наличие каталога %APPDATA%\ID, получает серийный номер жесткого диска и отправляет его на сервер при помощи функции InternetOpenUrlA. В ответ троянец получает от сервера конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов (параметр ext).
После инициализации переменных начинается шифрование файлов. Шифрует только фиксированные диски (DRIVE_FIXED).

 

Не шифрует файлы в следующих каталогах:

$RECYCLE.BIN, Windows,Program Files (x86), Program Files, Games, ProgramData, UpdatusUser, AppData, Application Data, Cookies, Local Settings, NetHood, PrintHood, Recent, SendTo, Главное меню, Поиски, Ссылки, System Volume Information, Recovery, NVIDIA, Intel, DrWeb Quarantine, Config.Msi, All Users, Все пользователи.


Шифрует следующие типы файлов: ak|.BAK|.rtf|.RTF|.pdf|.PDF|.mdb|.MDB|.b2|.B2|.mdf|.MDF|.accdb|.ACCDB|.eap|.EAP|.swf|.SWF|
.svg|.SVG|.odt|.ODT|.ppt|.PPT|.pptx|.PPTX|.xps|.XPS|.xls|.XLS|.cvs|.CVS|.dmg|.DMG|.dwg|.DWG|
.md|.MD|.elf|.ELF|.1CD|.1cd|.DBF|.dbf|.jpg|.JPG|.jpeg|.JPEG|.psd|.PSD|.rtf|.RTF|.MD|.dt|.DT|
.cf|.CF|.max|.MAX|.dxf|.DXF|.dwg|.DWG|.dds|.DDS|.3ds|.3DS|.ai|.AI|.cdr|.CDR|.svg|.SVG|
.txt|.TXT|.csv|.CSV|.7z|.7Z|.tar|.TAR|.gz|.GZ|.bakup|.BAKUP|.djvu|.DJVU|


Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):
1.    DES
2.    RC2
3.    RC4
4.    RC5
5.    RC6
6.    3DES
7.    Blowfish
8.    AES (Rijndael)
9.    ГОСТ 28147-89
10.    IDEA
11.    Tea
12.    CAST-128
13.    CAST-256
14.    ICE
15.    Twofish
16.    Serpent
17.    MARS
18.    MISTY1

 

После первоначального цикла шифрования всех дисков запускается второй цикл, в котором троянец шифрует базы данных 1С в каталогах Program Files и Program Files (x86).


Список расширений шифруемых файлов:
|.dbf|.DBF|.1cd|.1CD|.dt|.DT|.md|.MD|.dds|.DDS|

 

После зашифровки рядом с зашифрованными файлами появляется такое требование:
Все ваши файлы были зашифрованы с помощью криптостойкого алгоритма!
Расшифровать ваши файлы не зная уникальный для вашего ПК пароль невозможно!
Любая попытка изменить файл приведет к невозможности его восстановления!
Стоимость дешифратора 5000 рублей.
Купить дешифратор и пароль для расшифровки можно написав нам на email:
backyourfiles@aol.com
Если Вы хотите убедится в возможности восстановления ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы его расшифруем.

 

Шифровальщик BAT.Encoder.18
Троянец-шифровальщик, распространяющийся под видом вложенного в электронные письма резюме. Представляет собой инсталляционный пакет NSIS. После запуска извлекает на компьютер пользователя следующие файлы:
•    csrss.bat – основной файл троянца;
•    svchost.exe – переименованная утилита GPG;
•    iconv.dll - библиотека для работы GPG;
•    pubring.bak - данные для GPG;
•    pubring.gpg - данные для GPG;
•    random_seed - данные для GPG;
•    secring.gpg - данные для GPG;
•    trustdb.gpg - данные для GPG.
csrss.bat удаляет директорию %APPDATA%\gnupg\, уничтожая тем самым уже установленную утилиту GPG. Затем повторно создает каталог %APPDATA%\gnupg\ и копирует в него файлы pubring.bak, pubring.gpg,random_seed, secring.gpg, trustdb.gpg.
После этого троянец начинает процесс шифрования данных, для чего перебирает все диски, кроме диска A, и зашифровывает найденные на них файлы. Полученные в итоге файловые объекты имеют расширение *.gpg, которое заменяется на *.pzdc.

 

Также есть шифровальщик, который шифрует файлы и меняет расширение на vault.
Такой шифровальщик, попадая на компьютер пользователя, скачивает также утилиту GPG и создает уникальный ключ для компьютера. Этот ключ отправляется на сервер злоумышленников расположенный за территорией РФ.
Затем шифровальщик сканирует диск и шифрует документы и картинки пользователя на локальном диске. При шифровании он составляет список зашифрованных файлов и также отправляет их на сервер злоумышленников.

Сервер злоумышленников находится в защищенной сети TOR.
Стоимость восстановления зависит от количества файлов и считается в биткойнах (один из видов крипто-валюты (от Bitcoin: англ. bit — бит и coin — монета)). Согласно уникальному ключу присланному троянцем злоумышленники могут идентифицировать каждый зараженный ПК и посчитать стоимость ущерба в каждом конкретном случае.

 

Виды шифрования:

Шифрование с помощью операции "XOR"
Начнем с программ, осуществляющих самое примитивное шифрование. Ярким представителем таких вредоносных программ является семейство Trojan-Ransom.Win32.Xorist. Оно обладает следующими характерными особенностями:

•    Xorist – один из немногих шифровальщиков, который выполняет свою угрозу и портит файлы пользователя при многократном неправильном введении пароля.
•    Для шифрования используется операция "XOR". Уязвимостью этой криптосхемы является то, что возможно легкое дешифрование файлов за счет известных стандартных заголовков файлов. Чтобы противостоять этому, Xorist шифрует файлы не с самого начала, а с некоторым отступом. По умолчанию этот отступ составляет 104h байт, но может быть изменен при компиляции  вируса.
•    Для усложнения алгоритма шифрования используется рандомизация ключа с помощью первой буквы названия файла.

 

 



 

 

 

 

 

 

 

 

 

 

 

 

 

 

Фрагмент файла, зашифрованного шифровальщиком из семейства Xorist: отчетливо видна размерность ключа в 8 байт.

 

Симметричное шифрование.
Симметричной схемой шифрования называется схема, при которой для шифрования и расшифровывания используется пара ключей, связанных соотношением симметрии (именно поэтому такая схема называется симметричной). В подавляющем большинстве случаев в таких схемах для шифрования и расшифровки используется один и тот же ключ.
Если ключ "вшит" в тело шифровальщика, то при наличии тела трояна (т.е. сохранился сам экземпляр вируса) можно достать из него ключ и создать эффективную утилиту для расшифровывания файлов. Такие вредоносные программы обычно стараются удалить сами себя после шифровки файлов. Примером программ этого типа могут служить некоторые модификации семейства Rakhni.

 

Если же ключ получается с сервера злоумышленников либо генерируется и отправляется на него, то наличие образца вредоносной программы мало что дает – необходим экземпляр ключа, находящегося на сервере злоумышленников. Если такой ключ удается восстановить (вредоносная программа, по понятным причинам, старается удалить такой ключ после использования), то создать утилиту для дешифровки возможно. В этом случае также могут оказаться полезными системы, кэширующие интернет-трафик пользователей.

 

Асимметричное шифрование
Асимметричной схемой шифрования называется схема, при которой ключи шифрования и расшифровки не связаны очевидным соотношением симметрии. Ключ для шифрования называют открытым (или публичным), ключ для расшифровывания называют закрытым (или приватным).  Вычисление закрытого ключа по известному открытому – очень сложная математическая задача, не решаемая за разумный срок на современных вычислительных мощностях.
В основе асимметричных криптосхем лежит так называемая однонаправленная функция с секретом. Говоря простым языком – это некая математическая функция, зависящая от параметра (секрета). Если секретный параметр не известен, значение функции относительно легко вычисляется в "прямом" направлении (по известному значению аргумента вычисляется значение функции) и чрезвычайно трудно вычисляется в "обратном" (по значению функции вычисляется значение аргумента).

 

Способы защиты:


•    Регулярно делайте резервные копии всех важных файлов и размещайте их на отдельном носителе вне компьютера.
•    Включите отображение расширений для зарегистрированных типов файлов. Это поможет вам контролировать, что присланный вам документ – действительно документ, а не исполняемый файл. В этом необходимо убеждаться, даже если письмо получено от знакомого вам адресата. Внимательно смотрите на иконки файлов во вложениях прежде чем открывать их!
•    Относитесь с подозрением к ссылкам и вложениям из писем, получения которых вы не ждете. Любопытство и страх   это любимые "инструменты" злоумышленников, чтобы заставить пользователей забыть о бдительности и открыть вложение. Если у вас возникло хоть малейшее подозрение в легитимности присланных вам файлов, стоит обратиться за помощью к системному администратору. Даже если тревога будет ложной, это все равно лучше, чем потеря всей информации на ПК.
•    Используйте последние версии антивирусных продуктов. Как правило, их эффективность возрастает с каждой новой версией за счет новых модулей.
•    Ну и наконец, дождитесь обновления антивирусных баз, прежде чем читать утреннюю почту.


А также Вы можете обратиться в нашу компанию за консультацией. Специалисты «Технограда» дадут все необходимые рекомендации по повышению сетевой безопасности, а также профессионально внедрят продукты для решения данной задачи.




  © "Компания "Техноград" г. Екатеринбург
(343) 384-55-22