Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: RaRansomware - Recovery instructions.html
Скриншот неполностью загруженной записки
Скриншот полностью загруженной html-записки
Содержание записки о выкупе: All your files are belong to us! All your personal files, including, but not limited to: Photos, videos, databases and office projects have been encrypted using a mix of two very strong cryptographic algorithms - AES-128 and RSA-1028. Original files have been overwritten, recovery tools and software will not help you. The only way to recover your files, are to meet our demands. Be warned, we won't be able to recover your files if you start fiddling with them. You have 120 hours (5 days) from this moment to send us payment, or you files will be lost in eternity. To start the recovery process you need to download and install the Tor browser, which is easily done from their own home-page. Once you have the Tor browser running you need to navigate to xxxx://recoverv6m3lvkxg.onion and then input your personal id displayed below. Further payment instructions will be given once logged in. [ASEVed5iyM+ZQAGkdcIja4mew***] Перевод записки на русский язык: Все ваши файлы принадлежат нам! Все ваши личные файлы, в том числе, но не ограничиваясь: Фото, видео, базы данных и офисные проекты были зашифрованы с использованием сочетания двух очень сильных криптографических алгоритмов - AES-128 и RSA-1028. Исходные файлы были перезаписаны, средства восстановления и программы вам не помогут. Единственный способ восстановить ваши файлы - выполнить наши требования. Будьте предупреждены, мы не сможем восстановить ваши файлы, если вы начнете ими заниматься. У вас есть 120 часов (5 дней) с этого момента, чтобы отправить нам платеж, или ваши файлы будут потеряны навечно. Чтобы запустить процесс восстановления, вам надмо загрузить и установить браузер Tor, который легко сделать с его домашней страницы. После запуска браузера Tor вам надо перейти на xxxx://recoverv6m3lvkxg.onion, а затем ввести свой личный идентификатор, указанный ниже. Дальнейшие инструкции по оплате будут предоставлены после входа в систему. [ASEVed5iyM + ZQAGkdcIja4mew ***]
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: RaRansomware - Recovery instructions.html RaRaPayloadCrypted.exe KUAJW.exe XTQLT.exe <random>.exe - случайное название Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> %AppData%\KUAJW\KUAJW.exe %AppData%\XTQLT\XTQLT.exe Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Tor-URL: xxxx://recoverv6m3lvkxg.onion URL: xxxx://bitly.com/2u086NE xxxx://apps.identrust.com xxxx://www.download.windowsupdate.com/ См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid анализ >> 𝚺 VirusTotal анализ >>VT>> ᕒ ANY.RUN анализ >> 🐞 Intezer анализ >> Ⓥ VirusBay образец >> 👽 AlienVault анализ >> 🔃 CAPE Sandbox анализ >> ⴵ VMRay анализ >> ⨇ MalShare анализ >> ⟲ JOE Sandbox анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
К зашифрованным файлам добавляется расширение: .nozelesn Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В первые часы почти все пострадавшие были из Польши. Записка с требованием выкупа называется: HOW_FIX_NOZELESN_FILES.htm
Содержание записки о выкупе: All files including videos, photos and documents on your computer are encrypted by nozelesn ransomware. File decryption costs money. In order to decrypt the files, you need to perform the following steps: 1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en 2. After installation, run the browser and enter the address: lyasuvlsarvrlyxz.onion 3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files. Guaranteed recovery is provided within 10 days. IMPORTANT INFORMATION You should enter the personal code on the tor site. Your Personal CODE: e09c5e1d187866ae38cdbcdd263d3db4-ff1fb0f01634f41f05222ca0893***** Перевод записки на русский язык: Все файлы, включая видео, фото и документы на вашем компьютере, зашифрованы nozelesn ransomware. Дешифрование файла стоит денег. Чтобы расшифровать файлы, вам надо выполнить следующие шаги: 1. Вы должны загрузить и установить этот браузер http://www.torproject.org/projects/torbrowser.html.en 2. После установки запустите браузер и введите адрес: lyasuvlsarvrlyxz.onion 3. Следуйте инструкциям на веб-сайте. Напоминаем, чем скорее вы это сделаете, тем больше шансов восстановить файлы. Гарантированное восстановление обеспечивается в течение 10 дней. ВАЖНАЯ ИНФОРМАЦИЯ Вы должны ввести персональный код на сайте tor. Ваш персональный КОД: e09c5e1d187866ae38cdbcdd263d3db4-ff1fb0f01634f41f05222ca0893*****
Скриншоты с сайта "Nozelesn decryption cabinet"
Вход в кабинет
Информация в кабинете
Технические детали
Вероятно, использует вредоносные DOC-файлы с макросами для инфицирования при открытии. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: HOW_FIX_NOZELESN_FILES.htm - создан 11 мая 2018.
<random>.exe - случайное название decryptor.exe - дешифровщик от вымогателей Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Tor-URL: lyasuvlsarvrlyxz.onion BTC-список: 12cUV1ZEhC1jvejZFiSYT4nWcvnEY58r5u 14QwbicD8muprhu7TuAzR3xtENEGQi6FwN 1733fk5rn6rf1EQkee17i3mYZdAWSYtkjY 17z7Wj2i4wJKSCFf2fdh6Hhx68UUAHZLhE 1AmCy7QatvYCvycTP4tGWYqTssUA7aaZb9 1B8KBmUDhbNZLcsJqSoCDMuMZEveoXjsxr 1BYwfMsSREUtTZqcot5rwVQYUhWbhEhb1g 1Ft1u5CtKkjLz8gU4UfEw3kmVzAqVvf44K 1HpwUA7ze78mkpeW7XYeUWG1TCW7rmcNCd 1JXf2KUGTgR3rRizjcGgGZAweRQGriQJQY 1JZmRjo4tbWD1ewRdeWVNjbjqew6YHnDJD 1K3we9NJ8gqm9AoTmi3nAY3WBj85XsL9oV 1M3MbGcce1DBukJBUZUxCfJVMtrsCBksAC 1MkChUxcomDSfUtXqFYuCHtfX1mpnsuR8Q 1Ms1QYX7drSDMJEsfsqYkAqyPRUZQ5Cmdc См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid анализ на файл дешифровщика >> + Можно скачать >> 𝚺 VirusTotal анализ на файл дешифровщика >> ᕒ ANY.RUN анализ >> 🐞 Intezer анализ >> Ⓥ VirusBay образец >> 👽 AlienVault анализ >> 🔃 CAPE Sandbox анализ >> ⴵ VMRay анализ >> ⨇ MalShare анализ >> ⟲ JOE Sandbox анализ >> Степень распространённости: средняя. Подробные сведения собираются регулярно.
Обновление от 11 ноября 2018: Расширение: .nozelesn Записка: HOW_FIX_NOZELESN_FILES.htm
➤ Содержание записки: All files including videos, photos and documents on your computer are encrypted by nozelesn ransomware. File decryption costs money. In order to decrypt the files, you need to perform the following steps: 1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en 2. After installation, run the browser and enter the address: lyasuvlsarvrlyxz.onion 3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files. Guaranteed recovery is provided within 10 days. IMPORTANT INFORMATION You should enter the personal code on the tor site. Your Personal CODE: 909c0f054e1cc2f316174cf18be3c36a-012da85d9b435df325d7e7c481a62***
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Как удалить? Как расшифровать? Как вернуть данные? По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. См. также статьи УК РФ: ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее) ст. 272 "Неправомерный доступ к компьютерной информации" ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью алгоритма Salsa20, а RSA-2048 используется для вспомогательного шифрования ключей. Затем требует выкуп в $1200 в DASH или BTC, чтобы вернуть файлы. Оригинальное название: GandCrab Ransomware v4. На файле написано: Crack_Ghost_Mouse_Auto_Clicker.exe или что попало. В названии проекта вообще прописано: WMIC.pdb. Есть сведения, что вымогатели действуют из Румынии, потому румынский язык есть в белом списке. Среди распространителей шифровальщика есть знающие русский язык. По всей видимости это международная группа со связями в разных странах. Они продолжают свою традицию и принимают меры, чтобы ПК пользователей из Румынии, России и ряда стран из бывшего СССР (кроме Латвии, Литвы, Эстонии), не шифровались. Но эта мера действует только для ПК с языковыми локализациями из белого списка. В списке языков "поддержки" пострадавших на сайте вымогателей: английский, германский, французский, итальянский, китайский, японский, корейский.
Изображение не принадлежит шифровальщику (это логотип статьи)
К зашифрованным файлам добавляется расширение:.KRAB Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец июня - начало июля 2018 г. Штамм времени: 30 июня 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: KRAB-DECRYPT.txt
Содержание записки о выкупе: --= GANDCRAB V4 =--- Attention! All your files, documents, photos, databases and other important files are encrypted and have the extension: .KRAB The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. The server with your key is in a closed network TOR. You can get there by the following ways: ---------------------------------------------------------------------------------------- | 0. Download Tor browser - https://www.torproject.org/ | 1. Install Tor browser | 2. Open Tor Browser | 3. Open link in TOR browser: xxxx://gandcrabmfe6mnef.onion/6361f798c*** | 4. Follow the instructions on this page ---------------------------------------------------------------------------------------- On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. ATTENTION! IN ORDER TO PREVENT DATA DAMAGE: * DO NOT MODIFY ENCRYPTED FILES * DO NOT CHANGE DATA BELOW ---BEGIN GANDCRAB KEY--- lAQAADcGuK2O86SjorV5S***2252_chars***3xoPSX/TrEnwTiQ76HdztGYuXZ4KO7rogc= ---END GANDCRAB KEY--- ---BEGIN PC DATA--- wfKD6iudumBkmpL8IRr4U7***76_chars***mMngioqtOiJtTit2DjRIuBtNYA== ---END PC DATA--- Перевод записки на русский язык: --= GANDCRAB V4 =--- Внимание! Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы и имеют расширение: .KRAB Единственный способ восстановления файлов - купить уникальный закрытый ключ. Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы. Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами: ---------------------------------------------------------------------------------------- | 0. Загрузите браузер Tor - https://www.torproject.org/ | 1. Установите браузер Tor | 2. Откройте браузер Tor | 3. Откройте ссылку в браузере TOR: xxxx://gandcrabmfe6mnef.onion/6361f798c*** | 4. Следуйте инструкциям на этой странице ---------------------------------------------------------------------------------------- На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно. ВНИМАНИЕ! ДЛЯ ПРЕДОТВРАЩЕНИЯ ПОВРЕЖДЕНИЯ ДАННЫХ: * НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ * НЕ ИЗМЕНЯЙТЕ ДАННЫЕ НИЖЕ ---BEGIN GANDCRAB KEY--- lAQAADcGuK2O86SjorV5S***2252_chars***3xoPSX/TrEnwTiQ76HdztGYuXZ4KO7rogc= ---END GANDCRAB KEY--- ---BEGIN PC DATA--- wfKD6iudumBkmpL8IRr4U7***76_chars***mMngioqtOiJtTit2DjRIuBtNYA== ---END PC DATA---
Также присутствуют: KRAB-DECRYPT.html CRAB-DECRYPT.txt Информатором жертвы также выступает сайт оплаты. который указан в записке.
Комбо-скриншот
Комбинированный скриншот с сайтом оплаты, запиской и зашифрованными файлами. Спасибо Marcelo Rivero (InfoSpyware) за скриншот.
Скриншоты с сайта оплаты
Скриншоты с сайта оплаты мне не удалось сделать через браузер Tor, т.к. сайт не открывается для российских пользователей. Потому спасибо за скриншоты Lawrence Abrams (BleepingComputer).
Технические детали
Для распространения применяется метод обманных загрузок с взломанными, перепакованными (RePack) и заражёнными инсталляторами популярных программ, игр и прочего софта. Когда пользователь загружает и запускает эти программы, то они устанавливают на ПК GandCrab-4. Также используются взломанные сайты, созданные на платформе WordPress. Даже при беглом просмотре мы обнаружили множество зараженных сайтов с вредоносными страницами (см. ниже "Сетевые подключения и связи"), среди которые есть уже очищенные. Ссылки вели как на сами страницы, так и на то, что на них размещается, в том числе изображения. Активно используется перенаправление на специальные зараженные страницы. Вероятно, как и раньше, может использовать вредоносные DOC-файлы с макросами для инфицирования при открытии. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, торрент-файлов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. ➤ В GandCrab добавлена поддержка эксплойта EternalBlue NSA, но он пока не используется. Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ На русскоязычных версиях Windows шифрование по-прежнему не производится. Но не только на русскоязычных. Весь список список языков и стран, из белого списка GandCrab-4: 419 (русский язык, Россия) 422 (украинский язык, Украина) 423 (белорусский язык, Беларусь) 428 (таджикский язык, Таджикистан) 42B (армянский язык, Армения) 42C (азербайджанский язык, латиница, Азербайджан) 437 (грузинский язык, Грузия) 43F (казахский язык, Казахстан) 440 (кыргызский язык, Кыргызстан) 442 (туркменский язык, Туркменистан) 443 (узбекский язык, латиница, Узбекистан) 444 (татарский язык, Россия) 82C (азербайджанский язык, кириллица, Азербайджан) 843 (узбекский язык, кириллица, Узбекистан) 818 (румынский язык, Румыния) 819 (молдавский язык, Молдавия) ➤ Записка о выкупе теперь содержит зашифрованный ключ (закодированный в base64) и базовую информацию о ПК, которая зашифрована с помощью алгоритма RC4 с использованием жёстко закодированного ключа "jopochlen", прежде закодированного с base64. ➤ После завершения шифрования удаляет теневые копии командой: WMIC.exe shadowcopy delete ➤ Останавливает следующие процессы, которые мешают шифровать файлы. Список из 38 процессов: agntsvc.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, oracle.exe, outlook.exe, powerpnt.exe, sqbcoreservice.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, steam.exe, synctime.exe, tbirdconfig.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, xfssvccon.exe ➤ Шифровальщик пропускает следующие директории: \Windows\ \ProgramData\ \Program Files\ \Boot\ \Tor Browser\ \Local Settings\ ➤ Шифровальщик пропускает и не шифрует следующие файлы: desktop.ini autorun.inf ntuser.dat iconcache.db bootsect.bak boot.ini ntuser.dat.log thumbs.db KRAB-DECRYPT.html KRAB-DECRYPT.txt CRAB-DECRYPT.txt ntldr NTDETECT.COM Bootfont.bin ➤ GandCrab-4 не ставит обои на Рабочий стол, как было в предыдущей версии. ➤ GandCrab-4 не использует C&C сервер, поэтому теперь он может шифровать файлы пользователей, чьи ПК не подключены к Интернету. ➤ GandCrab-4 шифрует сетевые ресурсы, которые использует пострадавший ПК. ➤ Ресурсы шифровальщика забиты текстами на разных экзотических языках. Всё это кажется бессмысленным набором текста. На самом же деле этот приём уже известен исследователем и его участие в процессе шифрования понятно. ➤ В папке с зашифрованными файлами создается некий зашифрованный файл с расширением .lock, который потом удаляется, но остаётся записка о выкупе.
➤ Распространители GandCrab-4 на этот раз через код отправили фразу-послание Дэниэлу Дж. Бернштейну, профессору компьютерных наук в Университете в Чикаго (штат Иллинойс. США), который изобрел алгоритм Salsa20: @hashbreaker Daniel J. Bernstein let's dance salsa <3
Список файловых расширений, подвергающихся шифрованию: Все типы файлов, кроме белого списка расширений. Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без расширений и пр. Белый список расширений: .ani, .bat, .cab, .cmd, .cpl, .CRAB, .cur, .diagcab, .diagpkg, .dll, .drv, .exe, .gandcrab, .hlp, .icl, .icns, .ico, .ics, .idx, .key, .KRAB, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .zerophage_i_like_your_pictures Файлы, связанные с этим Ransomware: CRAB-DECRYPT.txt (KRAB-DECRYPT.txt) Crack_Ghost_Mouse_Auto_Clicker.exe 1.pdf 1.exe ntsvc64.exe <random>.exe - случайное название Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> \Downloads\ntsvc64.exe Записи реестра, связанные с этим Ransomware: HKCU\SOFTWARE\keys_data\data - место для ключей HKCU\Software\keys_data\data\public - место хранения открытого RSA-ключа HKCU\Software\keys_data\data\private - место хранения зашифрованных ключей в виде двоичного блока См. ниже результаты анализов. Сетевые подключения и связи: xxxx://gandcrabmfe6mnef.onion - сайт вымоагтелей xxxx://gandcrabmfe6mnef.onion/6361f798c4ba3647 - адрес после авторизации ➤Связанные URL: xxxx://terrapersonas.com/readme.php
Обновление от 17 июля 2018: Пост в Твиттере >> Версия: 4.1.2 В коде есть запись адресованная исследователям Fortinet и AhnLab
Обновление от 20 июля 2018: Пост в Твиттере >> Версия: 4.2 В коде есть запись адресованная исследователям hasherezade и AhnLab. Обновление о 1 августа 2018: Пост в Твиттере >> Версия: 4.2.1 В коде снова есть запись адресованная исследователям из AhnLab.
Обновление о 1 августа 2018: Пост в Твиттере >> Версия: 4.3 В коде есть есть запись адресованная исследователям, в которой самоназванные GandCrab-вымогатели пригрозили AhnLab эксплойтом, направленным против из антивирусных решений.
Thanks:
(victims in the topics of support)
Andrew Ivanov, Alex Svirid, JAMESWT, GrujaRS, sudopaulit,
Michael Gillespie, MalwareHunterTeam,
Marcelo Rivero (InfoSpyware),
Lawrence Abrams (BleepingComputer),
Joie Salvio (Fortinet), Tamas Boczan (VMRay)
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as RaRansomware ) Write-up, Topic of Support 🎥 Video review >>
Thanks: Karsten Hahn, Michael Gillespie Andrew Ivanov CyberSecurity GrujaRS *
