Вирус-шифровальщик

Модераторы: M.I.B, Болтон, DIZEL

Вирус-шифровальщик

Сообщение Ride_Maniac » 30 окт 2013, 15:28

На работе паника... на комп один поймали вот такую хню:

КОМПЬЮТЕРНЫЙ ВИРУС-ШИФРОВАЛЬЩИК - ЛЕЧЕНИЯ НЕТ!

Повышенная вирусная опасность! Речь пойдет о так называемом вирусе вымогателе-шифровальщике под названием Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”).

Антивирусы Вам не помогут. Многие популярные антивирусные программы, к сожалению, пропускают данный вирус, как свидетельствуют посетители форумов:
http://forum.kaspersky.com/index.php?showtopic=232546

Проблема в том, что когда Ваш компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Но Вам это уже не поможет. Почему так происходит? Все просто. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусним программам необходимо время, чтобы начать распознавать новый тип вируса. И то, они это делают после того, когда уже кто-то заразился и отослал им «тело» вируса для анализа. А отославшему «тело» вируса уже ничего не остается, кроме, как отложить зараженный винчестер в ящик и ждать, когда ключ RSA1024 взломают (а это может случиться через эн...ное количество лет) или найдут уязвимость в нем. Второй вариант: отформатировать винчестер и установить новую систему. А данные ведь потеряны!

Я думаю, Вам уже стоит задуматься: стоит ли рисковать, какова вероятность того, что Ваш компьютер не заразится вирусом-шифровальщиком? Так рассмотрим по-подробнее данный вирус.

Вирус-шифровальщик проникает на компьютер 3-мя способами:

1 - Через вложение к письму.
В письме он может иметь вид: «акт.doc.....................exe» или «Благодарственное письмо.hta», «Вы видите только акт.doc, а остальная часть Вам не видна и Вы думаете это файл Microsoft Word». Дважды нажав, Вы запускаете программу Акт.doc.....................exe, которая начинает шифровать файлы на Вашем компьютере.

2 - Через файл взломанной программы.
Вы решили скачать программу, за которую не желаете платить деньги, и поэтому в поисковике набрали типа: «программа версия 2.0 взломанная версия скачать». Поисковик выдает Вам целую кучу ссылок, Вы нажимаете на них и в конце концов видите картинку, в которой Вы узнаете нужную вам программу. Вы нажимаете кнопку на сайте «скачать». После того, когда файл закачается на Ваш компьютер, Вы нажимаете на данный файл и ожидаете начала установки данной программы.
Все. Вирус запущен. Началось шифрование Ваших файлов.

3 - Через самораспаковывающийся архив.
Возможно проникновение как через вложение к письму, так и путем скачивания каких- либо неизвестных программ или утилит с непроверенных сайтов.

При попадании на компьютер данный вирус шифрует все файлы.

После того, когда все файлы упакованы, вирус может выдать окно с текстом типа:

«Все файлы на Вашем компьютере зашифрованы, желаете их расшифровать — пишите письмо по адресу ..... и мы вышлем Вам дальнейшие инструкции» или
«Заплатите 150USD на кошелек 2334344454 и перешлите нам на адрес ..... код и время транзакции. После этого мы вышлем Вам программу, которая распакует Ваши файлы».

Или в корне диска C Вы обнаружите файл КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt. Внутри данного файла будет текст (приведён реальный пример):

"Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024. Восстановить файлы можно только зная уникальный для вашего пк пароль и дешифратор.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать их даже нам будет не под силу.

Напишите нам письмо на адрес ..... чтобы узнать как получить дешифратор и пароль.

Среднее время ответа специалиста 2-10 часов.

К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt, который находится в папке C:КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt". Не изменяйте это файл, иначе расшифровать ваши файлы мы не сможем!

Если Вы хотите убедится в том, что мы действительно можем расшифровавать ваши файл в сообщение также можете прикрепить документ с известным вам содержанием и мы его расшифруем.

Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!"

И вся проблема в том, что если Вы даже пойдете на переговоровы с вымогателями, то нет никакой уверенности, что они Вам пришлют программу-расшифровщик.

Мне самому пришлось столкнуться с вирусом-шифровальщиком. У знакомого на компьютере стоял антивирус Avira (бесплатная версия), там же стояла 1С бухгалтерия. После того, как вирус «поработал» на данном компьютере, ничего не осталось. При запуске 1С выдавал ошибку на файл 1cv7.md. На диске D появилась папка 1С_Архив, а внутри десяток файлов с расширением zip, каждый файл по 5 Мб. Все графические файлы, файлы mp3, видео файлы не запускаются - все зашифрованы. При попытке отправить письмо вымогателю для выяснения требований - получили возврат письма с указанием того, что почтовый ящик более не существует.

В общем, это сравнимо с ситуацией из фантастического рассказа, как-будто у Вас есть свой частный дом, но пришел кто-то, обнес этот дом силовым полем и вовнутрь этого дома Вы уже не попадёте. Даже если у Вас есть супер-оружие - Вы только всё разрушите безвозвратно. Если у Вас только нет устройства, которое выключит это силовое поле или, хотя бы, сделает брешь в нем.

Алгоритм шифрования (RSA1024) — RSA 1024 бит, который применяет данный вирус, не взламывается! Точнее, его можно взломать, но для этого надо будет взять в аренду все суперкомпьютеры, которые есть в мире (и неизвестно, сколько десятилетий или столетий они будут пытаться взломать данный ключ). И опять похоже на фантастику. Но математика такова: чтобы взломать RSA длинной 768 бит, т.е. подобрать ключ методом перебора (так называемый brute force), необходимо иметь 1 000 000 USD и 1 год вычислений. В 2008 году кто-то заявлял, что ключ взломан, но до сих пор (2013 год) никто не предоставил доказательства взлома ключа.

Кто желает ознакомиться с тем, возможно ли с помощью полного перебора всех варианов взломать данный алгоритм, советую почитать данную статью: http://cybervlad.net/faq-cle/

С сайта http://virusinfo.info/showthread.php?t=24090:

"Лаборатория Касперского" ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист» http://www.viruslist.com/ru/analysis?pubid=188790045), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.

До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.
На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит.

Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса."

То есть, реальных шансов взломать данный ключ пока нет.

Оригинал статьи тут:
http://gist.com.ua/%D1%81%D1%82%D0%B0%D1%82%D1%8C%D0%B8/%D0%B2%D0%B8%D1%80%D1%83%D1%81-%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BB%D1%8C%D1%89%D0%B8%D0%BA-%D0%BB%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8F-%D0%BD%D0%B5%D1%82.html

Добавлено спустя 1 минуту 1 секунду:
Титаны компутерных технологий, кто что по этому поводу думает?
MMC Pajero v24 4D56
Изображение
MMC Pajero v64 6G74 GDI
Изображение
Дороги начинаются там, где заканчивается асфальт...
Аватар пользователя
Ride_Maniac
Голосистый соловей
 
Сообщений: 3366
Зарегистрирован: 15 авг 2011, 18:57
Откуда: так получилось
Награды: 1
За клубные заслуги : 1
Карма: 40

Re: Вирус-шифровальщик

Сообщение JIo63uk » 30 окт 2013, 16:51

Чета сыкотно. Вирь скорее всего работает только под виндой, поэтому дружно переходим на Линуха.
Terminator, 97, 4M40, EFI, АКПП, EXEED.
Traxxas Summit 1:10
Аватар пользователя
JIo63uk
Активный участник
 
Сообщений: 655
Зарегистрирован: 18 май 2011, 15:51
Откуда: Оттуда
Карма: 0

Re: Вирус-шифровальщик

Сообщение Ride_Maniac » 30 окт 2013, 16:58

ога, под линухом оно не пашет )) ну это у меня на работе паника, дома все пох ибо линух и андроид
MMC Pajero v24 4D56
Изображение
MMC Pajero v64 6G74 GDI
Изображение
Дороги начинаются там, где заканчивается асфальт...
Аватар пользователя
Ride_Maniac
Голосистый соловей
 
Сообщений: 3366
Зарегистрирован: 15 авг 2011, 18:57
Откуда: так получилось
Награды: 1
За клубные заслуги : 1
Карма: 40

Re: Вирус-шифровальщик

Сообщение JenniS » 30 окт 2013, 17:23

я, конечно, совсем не титан компутерных технологий, и даже к ним никакого отношения не имею))) но поймала я этот шифровальщик летом еще, в конце июня. Как последний лох открыла в электронке письмо от якобы ФССП и ткнула в приложенный файл... зашифровались у меня все перечисленные файлы за исключением 1С. Расширение файлов у меня стало что-то типа yahoo.com и какими-то цифрами. :zas:

На рабочем столе появился загадочный негр с автоматом на плече и сообщением, что моя финансовая помощь требуется бедным сомалийцам. :crazy: В благодарность мне обещали выслать дешифратор. Поскольку Касперский вирус пропустил и даже не вякнул, я скачала утилиты dr.Web, а потом еще какой-то, но фик там.

Пошарив по форумам типа Касперского и Вэба и других, выяснила следующее: 1) на тот вирус, что поймала я, дешифратора еще нет и когда будет – неизвестно. Оказалось, что их целая куча всяких разных, и иногда разработчикам антивирусов удается подобрать дешифратор к конкретному вирусу, но это крайне редкие случаи. 2) сделать ничего нельзя, кроме как все переустановить (замечу, что комп рабочий и все снести – это конец). 3) некоторые платили сомалийцам и тому подобным что-то около 5 тыс. и некоторым даже присылали дешифратор. В среднем им удавалось расшифровать до 90% информации в лучшем случае, остальное потеряно. 4) некоторые восстанавливали свои файлы с помощью программ типа Recuva. Я скачала эту Recuva, и она мне не помогла.

Знакомые программисты разводили руками, один приехал, повздыхал и «подчистил хвосты вируса», как он сам выразился, т.е. вируса у меня на компе больше не было, но информация так и осталась зашифрованной.

Сказать, что меня сильно разозлили «бедные сомалийцы» - это не сказать ничего. Я еще погуглила и приступила к «спасению утопающих». Я нашла в своем компе, в какую именно папку эта сомалийская скотина спрятала все мои файлы (папка была скрытой), и откатила эту папку к ее предыдущей версии. Благо, что у меня почти вся инфа находится в одной папке типа «Моя». Ну и по рабочему столу текущие документы немного есть. Вот их, кстати, с рабочего стола восстановить не удалось, т.к. у них не оказалось предыдущих версий(((
Вот так я как смогла победила эту заразу. Но лучше не открывать ничего подобного))) :nunu:
Аватар пользователя
JenniS
Активный участник
 
Сообщений: 126
Зарегистрирован: 23 май 2012, 12:02
Награды: 1
За клубные заслуги : 1
Карма: 21

Re: Вирус-шифровальщик

Сообщение Smolnyj » 30 окт 2013, 17:56

Шифрующим вирусам лет примерно столько же, сколько НМД с произвольным позиционированием. Они ровесники дискет, в общем. Меняется конечно среда существования, менются методы перехвата управления да собственно алгоритмы шифрования. А так в общем-то оно есть всё те же самые яйца, что катали наши папы в молодости.

Нынешние популярные версии под WinNT сильны использованием неплохих алгоритмов, тот же RSA например, или AES. Слабость как обычно проявляется в конкретной реализации алго - дешёвая(в смысле вычресурсов) дешифровка становится возможной из-за ошибок кодера как алгоритмических, так и тактико-стратегических. Впрочем это больше относится к симметричным алгоритмам и с тем же RSA например часто не прокатывает, потому как число "дорогостоящих" алгоритмических ошибок в случае несимметричного алго очень сильно снижается, и пидарас автор может ни одной просто не сделать.
То есть, если вирусяка уже отработала и алгоритм несимметричный - то велик шанс что без доступа к компу(или телу) автора дешифровать за приемлемое времяденьги не получится.

Главная же слабость этих вирусов - способ получения управления. Абсолютно всегда используется один и тот же метод: "юзер = долбоёб, он сам меня запустит". Во всяком случае каких-либо других способов запуска я не видел уже лет десять точно(а вирусы мне по работе каждый день носят).
Поэтому если вы ещё не подверглись такой атаке - то рецепт дальнейшего неподвергания крайне прост: не надо быть долбоёбом. Один раз настройте свою систему в плане безопасности, и после этого не совершайте долбоебических действий типа open ГолаяБаба.exe from strange email.
Аватар пользователя
Smolnyj
Активный участник
 
Сообщений: 510
Зарегистрирован: 13 дек 2011, 01:50
Награды: 1
За клубные заслуги : 1
Карма: 7

Re: Вирус-шифровальщик

Сообщение Ride_Maniac » 30 окт 2013, 19:51

Слава, зачот ))
MMC Pajero v24 4D56
Изображение
MMC Pajero v64 6G74 GDI
Изображение
Дороги начинаются там, где заканчивается асфальт...
Аватар пользователя
Ride_Maniac
Голосистый соловей
 
Сообщений: 3366
Зарегистрирован: 15 авг 2011, 18:57
Откуда: так получилось
Награды: 1
За клубные заслуги : 1
Карма: 40

Re: Вирус-шифровальщик

Сообщение mr.maks » 30 окт 2013, 20:06

Smolnyj писал(а):и после этого не совершайте долбоебических действий типа open ГолаяБаба.exe from strange email.

:rofl: :good:
Изображение
Аватар пользователя
mr.maks
Военный
 
Сообщений: 3439
Зарегистрирован: 01 фев 2012, 19:49
Награды: 1
За клубные заслуги : 1
Карма: 66

Re: Вирус-шифровальщик

Сообщение странник » 30 окт 2013, 20:19

купить второй винт, и хотя бы раз в месяц подключать и синхронизировать свои ценные файлы.
Аватар пользователя
странник
Вождь
 
Сообщений: 3540
Зарегистрирован: 08 мар 2010, 04:23
Награды: 1
За клубные заслуги : 1
Карма: 19

Re: Вирус-шифровальщик

Сообщение Ride_Maniac » 30 окт 2013, 20:38

Юра, это все равно полумера ))) Слава правильно сказал - не тыкать во все подряд
MMC Pajero v24 4D56
Изображение
MMC Pajero v64 6G74 GDI
Изображение
Дороги начинаются там, где заканчивается асфальт...
Аватар пользователя
Ride_Maniac
Голосистый соловей
 
Сообщений: 3366
Зарегистрирован: 15 авг 2011, 18:57
Откуда: так получилось
Награды: 1
За клубные заслуги : 1
Карма: 40

Re: Вирус-шифровальщик

Сообщение странник » 30 окт 2013, 20:57

Ride_Maniac писал(а):Юра, это все равно полумера ))) Слава правильно сказал - не тыкать во все подряд

я думаю это больше чем полумера. согласись, это просто всё лень матушка, пошевелить лишний раз пальцем, хотя бы ради бесценных фоток.
а да, ещё можно куда нибудь сливать данные на интернет хранилища, яндекс диск например. тоже вариант, на запас.
Аватар пользователя
странник
Вождь
 
Сообщений: 3540
Зарегистрирован: 08 мар 2010, 04:23
Награды: 1
За клубные заслуги : 1
Карма: 19

Рекламный блок

Сообщение Реклама » 01 янв 0000, 00:00

Аватар пользователя
Реклама
Двигатель прогресса
 
Сообщений: 100500
Зарегистрирован: 01 янв 0001, 00:00
Авто: MMC
Город: Россия

След.

Вернуться в Неформальное общение

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2