четверг, 3 марта 2016 г.

Идентификация

ID-Ransomware.RU


Как идентифицировать вымогателя, заблокировшего или зашифровавшего файлы?

Для это нужно перейти на сайт ID Ransomware, выбрать русский язык в правом верхнем углу, далее с помощью кнопок "Выберите файл" выбрать на своем ПК два файла:
- записку о выкупе, оставленную вымогателями, если она есть;
- один зашифрованный файл, который теперь не открывается. 

И нажать красную кнопку "Загрузить".


Сразу же после загрузки файлы будут проверены по имеющей базе известных сервису вымогателей и вы получите результат в виде информации о вымогателе, в виде ссылки на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. 

Если никакой информации пока нет, вам будет предложено создать новую тему на форуме BleepingComputer.com для оказания вам помощи специалистами по крипто-вымогателям. Форум на английском языке, но можно описать свою проблему на любом языке. Там есть специалисты со всего мира и, возможно, им удастся вам помочь и выпустить дешифровщик, как это было уже много раз. И я помогу, чем смогу. 

Разработчиком ID Ransomware (IDR) является Майкл Джиллеспи (Michael Gillespie aka Demonslay335). 

Вы можете сверяться с каждой идентификацией и находить описания шифровальщиков по алфавиту в данном блоге. См. "Список".

См. также мои статьи:
Шифровальщики — чума Интернета
FAQ по Ransomware: Это важно знать!!!
10 способов защиты от шифровальщиков-вымогателей
Генеалогия вымогателей (объяснение родства)
Глоссарий блога (слова, которые нужно пояснить)



Вопросы и ответы


Почему в ID Ransomware (IDR) на официальном сайте названия некоторых вымогателей выделяются жирным шрифтом?
Это изначально задумка автора, Майкла Джиллеспи, чтобы показать общественности какие вредоносы добавились в список в последнюю неделю или обновились. 

Почему в ID Ransomware (IDR) и у вас некоторые названия различаются? 
Я работаю с IDR и беру название оттуда, если оно там появилось раньше или если оно не дано по ошибке. Корректирую с разработчиком IDR по необходимости. 
Если я описал вредонос раньше, чем он появился в IDR или ещё кем-то был описан, то даю название, которое точнее характеризует этот вымогатель, или оригинальное, если оно ещё никаким вымогателем в списке статей не занято. 
Иногда я даю 2 или 3 названия в заголовке, чтобы по ошибке не дублировать. Поисковик Google схватывает информацию быстро, она уходит на выдачу результатов. 
С недавних пор я стал в конце статьи дописывать то название, под которым Ransomware идентифицируется в IDR. В ранних статьях этого ещё не было. 

Как даются названия в IDR и в ваших статьях? 
Когда обнаружен новый крипто-вымогатель, не имеющий каких-то самоназваний, находящихся в поле видимости, или использующий чужое, более известное название, то порой непросто найти подходящее для него название. В таких случаях мы используем названия и строки, найденные в исполняемых файлах, в коде зашифрованных файлов, на сайтах уплаты выкупа, даже в обновлённых версиях вредоноса. В некоторых других случаях вредонос даёт нам подсказки как его назвать, чтобы было удобнее описывать и идентифицировать.

Почему в ID Ransomware (IDR) на официальном сайте меньше вымогателей, чем у вас в списке?
Для того есть несколько причин:
а) в IDR только те, которые идентифицируются по названию текстовой записки о выкупе, по расширению, по контактам вымогателей, маркеру файлов и ряду других признаков, а если нет текстовой записки о выкупе и никакое расширение к файлам не добавляется, то такой вымогатель в IDR не идентифицируется;
б) в списке IDR находятся только реальные крипто-вымогатели (шифровальщики), если файлы не шифруются, то их тоже нет в этом списке, а у меня в списке есть ещё фейк-шифровальщики, проекты RaaS, гибрид-вымогатели и блокировщики-вымогатели, получившие развитие как шифровальщики;
в) в IDR только те, которые опознаны как новые шифровальщики, но если по ряду признаков и программному коду идет повтор (новая итерация) уже известных, то идентификация в IDR группируется в один более ранний или получивший наибольшую известность шифровальщик, а в результатах IDR даётся ссылка на тему помощи и поддержки на форуме BleepingComputer;
г) статьи в этом блоге пишутся ежедневно, в хронологическом порядке, если у вредоносов появляются обновления, то в конце статьи я добавляю эти сведения, а не пишу статью про каждую новую копию; 
д) исключение из пункта "д" составляют новые вариации крипто-вымогателей, для описания которых требуется отдельная статья с подробной информацией (признаки, записки, контакты, скриншоты и пр.), и часто заранее неизвестно о том, что это новая вариация уже описанного вымогателя; в таких случаях потом выручает пункт "Генеалогия";
е) некоторые идентификации в IDR сгруппированы, например под HiddenTear там идентифицируется большая куча однотипных шифровальщиков, основанных на HiddenTear; в других тоже сгруппированы "родственники". 
ё) великое множество крипто-вымогателей и фейк-шифровальщиков ещё не описано из-за отсутствия подробной информации или же они настолько повторяют друг друга, благодаря крипто-конструкторам и крипто-строителям, что не нуждаются в отдельной идентификации в IDR и в описании у меня в блоге; если они будут отличаться, то будут отдельная идентификация и отдельное описание. 

Почему у вас в списке вымогателей нет ряда известных шифровальщиков из 2015 года и более ранних годов? 
Ранее было немало шифровальщиков, но тогда я не вёл этот блог. Будет необходимость, я добавлю описание в начало 2016 года, как недавно сделал это для Locky и Magic. Ранее добавленные нужно смотреть по алфавиту в апреле 2016 г., по возможности я выстрою хронологию и для них. В последнее время я добавил несколько шифровальщиков из прошлого. 

Почему у вас в списке вымогателей нет ряда шифровальщиков, которые есть в IDR? 
На некоторые шифровальщики из IDR вообще нет информации и образцов, есть только название записки и расширения. В IDR в таком виде добавить можно, а мне рассказать нечего. Некоторые и в таком виде описаны, в надежде позже добавить информацию, но она так и не появилась. Другие я описывал ранее в другом месте сети, там остались мои описания и ссылки. Можно найти их в результатах поиска под другим моим ником - SNS-amigo, но информация там устарела и нуждается в дополнениях. Для них нужно время. Периодически я обновляю статьи из прошлого, но теперь только здесь... 

Как формируется описание в ваших статьях?
Не сразу, но со временем, мне удалось создать подобие шаблона, который позволяет дополнять информацию за меньшее время. Ранее я писал всю статью полностью, что занимало больше времени, но тогда было меньше вымогательских программ. Да и гораздо лучше для подписчиков и читателей, когда они видят привычный уклад текста, по которому они находят нужную им информацию, даже, если не знают русского языка.  

Что означает сокращение (n/a) у вас в ссылках на идентификацию?
Запись ID Ransomware (n/a) у меня в статьях блога означает:
No able identifiable - "невозможно определить";
ID not available - "идентификатор недоступен";
ID not applicable - "идентификатор не указан". 
Какой ни возьми, смысл одинаковый. 

Что означает HT в названиях?
Это указание на происхождение из HiddenTear. Добавляется в тех случаях, когда уже есть вымогатель с таким названием, или используется более известное название, примеры: Facebook HT, Cyber Police HT и пр. Может быть следовало добавлять HT и ко всем названиями, основанным на HiddenTear, но их уже столько было, что на правку ранних статей уйдёт много ненужного времени. 

Как с вами связаться и задать вопрос? 
Задать вопросы можно в комментариях или через форму обратной связи ниже. 
Мой email: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net

© Amigo-A (Andrew Ivanov): All blog articles.

3 комментария:

  1. hello bro Im infected with ransomware .poler extension help my please link of ransomware http://www.mediafire.com/file/tvcn7mq7coiwd3s/Cyborg+Builder+.Ransomware..7z

    ОтветитьУдалить
    Ответы
    1. hello. I do not work with decryption. I forwarded your request to specialists.

      Удалить
  2. Недавно я обновил эту страницу, включив ответы на новые вопросы. Спрашивайте, что нужно узнать. Эта информация больше нигде не публикуется.

    ОтветитьУдалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton