Re: Техническая поддержка форума. Вопросы, Баги и прочее - 2
Напоминаем, что открывать файлы программ или скриптов пришедшие по
почте нельзя, только документы. Особое внимание уделяйте архивам, даже
от знакомых партнеров.
Скрипт по почте или снова о шифровальщиках
Просторы русскоговорящего сегмента Интернета захлестнула волна очередного шифровальщика. Причем,
если две версии не получили массового распространения, то две других, особенно четвертая
(последняя на момент написания статьи) вызвали что-то наподобие миниэпидемий. Причем явно видно,
что автор проводил работу над ошибками в своем творении. Если изначально из-за ошибок изощренным
способом особо продвинутые пользователи еще могли найти ключ и восстановить информацию, то теперь
и эта лазейка закрыта.
Как опознать: файлы получают дополнительное расширение (в порядке появления версий)
uncrpt@gmail_com
unstyx@gmail_com
unblck@gmail_com
paystyx@gmail_com
Механизм распространения: вредоносный обфусцированный js-скрипт, который приходит по электронной
почте (зачастую от известных пострадавшим пользователям отправителей)
Механизм работы: после запуска скрипта он докачивает свои компоненты с серверов в интернете. В их состав входят:
1. bat-файл, который и отвечает за процедуру шифрования
2. легитимная утилита GnuPG, которая и выполняет само шифрование по алгоритму RSA (с длинным ключом,
что делает нерациональным по временным меркам простой подбор ключа для дешифровки)
3. «хамелеон» Блокнота, который на самом деле служит для отправки информации злоумышленнику
4. другие компоненты (файл с сообщением для пользователя, дешифратор [в последних версиях], который бесполезен без ключа)
Bat-файл просматривает все диски от B до Z и шифрует подходящие типы файлов
(в первой версии это были *.doc *.docx *.xls *.xlsx *.1cd *.cd *.jpeg *.jpg *.mdb *.pdf *.rar),
пропуская скрытые и системные.
После шифрования по заранее заданным местам в системе разбрасываются сообщения вымогателя, а сами важные компоненты работы затираются
Сам bat-файл детектируется Лабораторией Касперского, как Trojan-Ransom.Bat.Agent.*
