Если вы не видите здесь изображений, то используйте VPN.

четверг, 3 марта 2016 г.

Идентификация

ID-Ransomware.RU


Как узнать какой шифровальщик зашифровал файлы?

Как идентифицировать вымогателя, который заблокировал или зашифровал файлы?

1 способ  
ID-Ransomware.RU — это краткое название сайта, где вы сейчас находитесь. 
Здесь можно в общем списке по названию программы-вымогателя или её элементам определить какой шифровальщик зашифровал файлы. Для это здесь собраны визуальные идентификаторы (VID), проще говоря, видимые элементы вымогательства: записки, которые оставляют вымогатели после атаки и шифрования файлов, контакты для связи, файлы с добавленными расширениями, самоназвания, написанные в записках, на сайтах вымогателей или вписанные в код программы. 

2 способ  
Если у вас есть зашифрованные файлы и файл записки с требованием выкупа, то вы можете воспользоваться еще одним сайтом ID-Ransomware. 


Разработчиком ID Ransomware (IDR) является Майкл Джиллеспи (Michael Gillespie aka Demonslay335). 

Для это нужно перейти на сайт ID Ransomware, выбрать свой язык в правом верхнем углу, далее с помощью кнопок "Выберите файл" выбрать на своем ПК два файла:
- записку о выкупе, оставленную вымогателями, если она есть;
- один зашифрованный файл, который теперь не открывается. 

И нажать там вот такую красную кнопку "Загрузить".



1) После загрузки файлы будут проверены по базе известных программ-вымогателей, а вы получите результат в виде информации о Ransomware, в виде ссылки на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. 
Иногда могут быть ссылки на мои статьи, но из-за каких-то проблем, ссылки получают неправильный адрес, поэтому разработчик стал делать ссылки на сообщение в Твиттере или на сайте BleepingComputer. 

Если IDR не может определить вымогателя, то вам будет предложено создать новую тему на форуме BleepingComputer.com для того, чтобы вам оказали помощь специалисты по крипто-вымогателям. Форум на английском языке, но можно описать свою проблему на любом языке. Кроме того я тоже там есть и, возможно, совместно нам удастся вам помочь и выпустить дешифровщик, как это было уже много раз. В любом случае я помогу, чем смогу или привлеку других специалистов. 

2) Вымогатели часто копируют записки из других Ransomware. Потому для большей точности нужно загружать в IDR файлы трижды:
- сначала только записку без файла;
- потом зашифрованный файл без записки;
- потом записку и зашифрованный файл. 

Если результаты совпадут, то идентификация правильная. 
Если же результаты разные, то потребуется исследование.
Скопируйте код и URL-адреса результатов и 
напишите нам.

Или пришлите нам записку (записки) и несколько разных зашифрованных файлов. В таком случае мы сами проведём нужные действия и проанализируем все результаты. 

Вы можете свериться с каждой идентификацией и найти описания шифровальщиков по алфавиту в данном блоге. См. "Список".

См. также мои статьи:
Шифровальщики — чума Интернета
FAQ по Ransomware: Это важно знать!!!
10 способов защиты от шифровальщиков-вымогателей
Генеалогия вымогателей (объяснение родства)
Глоссарий блога (слова, которые нужно пояснить)

Вопросы и ответы


Для чего предназначен ID Ransomware?
1) для постоянной идентификации Ransomware, т. к. база идентификаторов ежедневно 
пополняется, а вымогательские проекты могут оставаться активны долгое время или видоизменяться до неузнаваемости;
2) для временной идентификации Ransomware, т. к. порой создаётся временная группа, а после изучения образцов разные идентификации могут быть объединены или разделены;
3) для сбора поступающих образцов, указания на тему поддержки, на дополнительный источник информации, на отсутствие или наличие способа расшифровки файлов. 

Почему в ID Ransomware (IDR) названия некоторых вымогателей выделяются жирным шрифтом?
Это изначально задумка автора, Майкла Джиллеспи, чтобы показать общественности какие вредоносы добавились в список в последнюю неделю или обновились. 

Почему в ID Ransomware (IDR) и у вас некоторые названия различаются? 
Я работаю с IDR и беру название оттуда, если оно там появилось раньше и согласую его с разработчиком IDR по необходимости. 
Если я описал вредонос раньше, чем он появился в IDR или ещё кем-то был описан, то даю название, которое точнее характеризует этот вымогатель, или оригинальное, если оно ещё никаким вымогателем в списке статей не занято. 
Иногда я даю 2-3 названия в заголовке, чтобы по ошибке не дублировать. Поисковики Google и Яндекс считывают информацию и передают на выдачу результатов. Я добавляю в заголовок варианты названий и псевдонимы, а конце статьи указываю название, под которым Ransomware идентифицируется в IDR. В ранних статьях этого не было. 

Как даются названия в IDR и в ваших статьях? 
Когда обнаружен новый крипто-вымогатель, не имеющий каких-то самоназваний, находящихся в поле видимости, или использующий чужое, более известное название, то порой непросто найти подходящее для него название. В таких случаях мы используем названия и строки, найденные в исполняемых файлах, в коде зашифрованных файлов, на сайтах уплаты выкупа, даже в обновлённых версиях вредоноса. Иногда используется добавляемое расширение или логин почты вымогателей. В других случаях вредонос даёт нам подсказки, как его назвать, используя маркер зашифрованных файлов или мьютекс. Так
 удобнее описывать и идентифицировать ransomware.  

Почему в ID Ransomware (IDR) на официальном сайте меньше вымогателей, чем у вас в списке?
Причин несколько:
а) в IDR записаны только те шифровальщики, которые идентифицируются по названию текстовой записки о выкупе, по коду исполняемого файла, по расширению, по контактам вымогателей (email, BTC, Jabber, Telegram, Discord, Tor-сайту и Tor-почтe), маркеру файлов и ряду других признаков, а если нет текстовой записки и никакое расширение к файлам не добавляется, то такой шифровальщик в IDR может не пройти идентификацию; 
б) в списке IDR находятся только реальные крипто-вымогатели (шифровальщики), если файлы не шифруются, то их тоже нет в этом списке, а у меня в списке есть ещё фейк-шифровальщики, проекты RaaS, тест-проекты, "обучатели", гибрид-вымогатели и блокировщики-вымогатели, получившие развитие как шифровальщики; 
в) в IDR только те, которые опознаны как новые шифровальщики, но если по ряду признаков и программному коду идёт повтор (новая итерация) уже известных, то идентификация в IDR группируется в один более ранний или получивший наибольшую известность шифровальщик, а в результатах IDR даётся ссылка на тему поддержки на форуме BleepingComputer; 
г) статьи в этом блоге пишутся ежедневно, в хронологическом порядке, если у вредоносного ПО появляются обновления, то в конце статьи я добавляю эти сведения, а не пишу статью про каждую новую копию; 
д) исключение из пункта "г" составляют новые вариации крипто-вымогателей, для описания которых требуется отдельная статья с подробной информацией (признаки, записки, контакты, скриншоты и пр.), и часто заранее неизвестно о том, что это новая вариация уже описанного вымогателя; в таких случаях потом выручает пункт "Генеалогия"; 
е) некоторые идентификации в IDR сгруппированы, например под HiddenTear там идентифицируется множество однотипных шифровальщиков, основанных на HiddenTear; в других тоже сгруппированы "родственники": CryptoMix, Scarab, GlobeImposter. 
ё) великое множество крипто-вымогателей и фейк-шифровальщиков ещё не описано из-за отсутствия подробной информации или же они настолько повторяют друг друга, благодаря крипто-конструкторам и крипто-строителям, что не нуждаются в отдельной идентификации в IDR и в описании у меня в блоге; если они будут отличаться, то будут отдельная идентификация и отдельное описание. 

Почему у вас в списке вымогателей нет ряда известных шифровальщиков из 2015 года и более ранних годов? 
Ранее было немало шифровальщиков, но тогда я не вёл этот блог. Будет необходимость, я добавлю описание в предыдущие годы. По возможности я выстрою для них хронологию и генеалогию. Я регулярно добавляю информацию о старых шифровальщиках, но не сообщаю об этом. 

Почему у вас в списке вымогателей нет статей для ряда шифровальщиков, которые есть в IDR? 
На некоторые шифровальщики из IDR вообще нет информации и образцов, есть только название записки и расширения. В IDR в таком виде добавить можно, а мне рассказать нечего. Некоторые в таком виде уже описаны, в надежде добавить информацию. Другие я описывал ранее в другом месте сети, там остались мои ранние описания и ссылки. Можно найти их в поиске под другим моим ником - SNS-amigo, но информация там давно устарела. Периодически я обновляю статьи здесь.

Как формируется описание в ваших статьях?
Не сразу, но со временем, мне удалось создать подобие шаблона, который позволяет дополнять информацию за меньшее время. Ранее я писал всю статью полностью, что занимало больше времени, но тогда было меньше вымогательских программ. Да и гораздо лучше для подписчиков и читателей, когда они видят привычный уклад текста, по которому они находят нужную им информацию, даже, если не знают русского языка.  

Что означает сокращение (n/a) у вас в ссылках на идентификацию?
Запись ID Ransomware (n/a) у меня в статьях блога означает:
No able identifiable - "невозможно определить";
ID not available - "идентификатор недоступен";
ID not applicable - "идентификатор не указан". 
Какой ни напиши, смысл одинаковый. 

Что означает HT в названиях?
Это указание на происхождение из HiddenTear. Добавляется в тех случаях, когда уже есть вымогатель с таким названием, или используется более известное название, примеры: Facebook HT, Cyber Police HT и пр. Может быть следовало добавлять HT и ко всем названиями, основанным на HiddenTear, но их уже столько было, что на правку ранних статей уйдёт много ненужного времени. 

Как с вами связаться и задать вопрос? 
Задать вопросы можно в комментариях или через форму обратной связи ниже. Или через страницу Contact
Мой email: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net и увидишь email для контакта. 


© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *