шифровальщик

Постов: 6 Рейтинг: 8090
2064

Winassociate - топорная рекомендация от шифровальщиков

Развернуть
Winassociate - топорная рекомендация от шифровальщиков
Хочу довести информацию, что данный топорный метод #comment_82295458 имеет место быть.
Winassociate - топорная рекомендация от шифровальщиков
После этого все исполняемые файлы с которыми часто запускаются шифровальщики будут ассоциироваться с текстовым файлов и открываться в блокноте.
Если потребуется вернуть стандартные значения прописываем в командной строке:
Для упрощения данных операций написал следующую простую программу
Аналог есть в интернете Unassociate-File-Types которая - Не запускается в Windows 10

+ добавил расширения исполняемых файлов
Winassociate - топорная рекомендация от шифровальщиков
Было желание сделать только для данных расширений, но позже добавил
+ Админ.панель которая показывает и позволяет менять все расширения (ассоциации)
Winassociate - топорная рекомендация от шифровальщиков
Файл занимает 225КБ в комплекте .bat файлы для тех кто не собирается запускать программу
Winassociate - топорная рекомендация от шифровальщиков
Для того чтобы проверить в папке "test" пустые файлы со всеми расширениями в списке
Winassociate - топорная рекомендация от шифровальщиков
Программа будет работать только если Запустить от имени администратора
Для желающих напишите на почту отправлю исходники

Советы, рекомендации, пожелания туда же
Winassociate - топорная рекомендация от шифровальщиков
Спасибо тем кто дочитал, надеюсь кому нибудь окажется полезной.
Для тех, кто резко против прошу не топить (коменты для минусов прилагаются)

Яндекс.Диск
1806

Ваш компьютер атакован опаснейшим вирусом

Развернуть
По роду своей деятельности очень часто общаюсь с бухгалтерами различных фирм. Последний год участились такие случаи: бухгалтер получает письмо с вложением (то ли pdf, то ли doc), а там типа письмо из налоговой. Гербовая печать, бланк - все как полагается. Только лишь бухгалтер откроет это письмо, как во всей локальной сети происходит шифрование баз данных "1С". Причем шифрованию подвергаются и архивы в том числе. Единственное, что остается - это открытые в момент шифрования базы. И то есть предположение, что как только ее закроешь - она так же станет неработоспособной. На компьютере оставляется файл с указанием сколько и куда нужно заплатить. Обычно это Qiwi или биткоин.
Ваш компьютер атакован опаснейшим вирусом
Поначалу вроде бы шифровалось абсолютно все, до чего мог дотянуться вирус, но последнее время заметил, что атаке подвергаются только базы "1С". Если не делался архив в облако или на внешние накопители - дело труба. Никто из моих знакомых не спас информацию.

И вот сейчас читаю такую статистику ...
Ваш компьютер атакован опаснейшим вирусом
В 2016 году число атак с использованием вымогательского ПО в четыре раза превысило показатель за 2015 год.

Плата операторам вредоносного ПО за расшифровку файлов только поощряет киберпреступников к дальнейшему проведению подобных атак, уверены эксперты. Тем не менее, многие жертвы вымогателей предпочитают платить, благодаря чему количество атак с использованием троянов-шифровальщиков растет в геометрической прогрессии.

Согласно опубликованному в прошлом месяце отчету экспертов института Ponemon, 48% компаний, ставших жертвами вымогательского ПО, предпочитают заплатить выкуп злоумышленникам и не искать другие решения проблемы. По данным ФБР, в 2015 году общая сумма выкупа составила $24 млн, но уже в первые три месяца 2016 года она увеличилась до $209 млн (речь идет только об известных атаках и только в США). Если подобная тенденция будет продолжаться, к концу текущего года сумма выкупа достигнет $1 млрд.

В 2015 году только CryptoWall3 причинил ущерб по всему миру на $325 млн. Убытки от обнаруженной в прошлом году версии CryptoWall4 достигли $18 млн. По подсчетам страховой компании Beazley, в 2016 году число атак с использованием вымогательского ПО в четыре раза превысило показатель за 2015 год.

Как сообщили эксперты Symantec, в марте прошлого года количество заражений троянами-шифровальщиками достигло 56 тыс. – в два раза больше, чем обычно.
Ваш компьютер атакован опаснейшим вирусом
Вот так иногда запускается шифровальщик.


Вот что пишут на специализированных ресурсах:

Злоумышленники как правило покупают брученные дедики с RDP и заражают системы своей заразой. Если раньше вирусы-шифровальщики использовали простые алгоритмы расшифровки файлов, то сейчас они серьёзно эволюционировали, одним из такой заразы был GPCode против которого лаборатория Касперского даже за помощью народа обратилась, дабы расшифровать файлы. Сейчас же в сети появилась зараза покруче, называется она семейством Vandev, последняя версия шифрует файлы в расширение: *.EBF (EncryptBlowFish). Расшифровать который невозможно!

Заражение происходит следующим образом:

1) на компьютер пользователя попадает бэкдор, который открывает удаленный доступ к компьютеру.

2) злоумышленник в удобное для него время заходит на компьютер, вручную запускает шифрование с произвольным ключом.

3) злоумышленник подчищает следы и логи, оставляя на компьютере лишь зашифрованные файлы и файлы: "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt", "ЧТО_НУЖНО_СДЕЛАТЬ.TXT" либо HOW_TO_DECRYPT_FILES.TXT


Вот один из примеров, который произошел совсем недавно с форума nova.cc:

Цитата: nestor2007
Доброго Вам времени суток Друзья.
Вчера очень красиво хакнули наш сервак с 1С и прислали такое вот жизнеутверждающее сообщение.

Внимание!

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самых криптостойких алгоритмов.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии.
Напишите нам письмо на адрес beryukov.mikuil@gmail.com (если в течение суток вам не ответят то на decrypting@tormail.org) чтобы узнать как получить дешифратор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-12 часов.
К письму прикрепите файл "ЧТО_НУЖНО_СДЕЛАТЬ.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!


Вот такой ответ приходит с почтового ящика beryukov.mikuil@gmail.com:

Здравствуйте! Чтобы получить дешифратор с уникальным для Вашего пк паролем, необходимо пополнить наш счет QIWI на сумму 10 000 рублей. После поступления средств мы вышлем вам инструкцию для дешифровки ваших файлов вместе с расшифровщиком и паролем.

Скидок нет. Рассрочек тоже. Мы готовы расшифровать любой небольшой текстовый документ или фотографию для подтверждения своих намерений. Вместе с ним прикрепите КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT либо HOW_TO_DECRYPT_FILES.TXT либо ЧТО_НУЖНО_СДЕЛАТЬ.txt.

Базы данных прикреплять не нужно, бесплатно их вам никто не расшифрует. Реквизиты вышлем за несколько часов до оплаты, потому как они постоянно меняются. Кошелек действует в течение 36 часов после отправки его вам. Пожалуйста, не изменяйте тему сообщения.

Вам необходимо пополнить наш кошелек Visa QIWI Wallet (это не баланс мобильного) +79299023543.

Выберите наиболее удобный для вас способ пополнения: https://w.qiwi.ru/fill.action
Видео как пополнить киви через терминал: http://www.youtube.com/watch?v=wCVpbw0wxW8
!!!В КОММЕНТАРИЯХ: ЧАСТНОЕ ПОПОЛНЕНИЕ!!! (если есть возможность написания коментариев)
Кошелек действует в течение 36 часов с момента отправки этого сообщения.
Как оплатите, пишите нам, и прикрепите КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT либо HOW_TO_DECRYPT_FILES.TXT либо ЧТО_НУЖНО_СДЕЛАТЬ.TXT
Сохраните квитанцию об оплате.

Все форумы вирусных компаний пестрят сообщениями "Файлы зашифрованы (расширение .EBF)"

Будьте осторожны! Не забывайте делать бэкапы в облако или на съемные носители.
895

Всем кто пострадал от шифровальщика CrySiS.

Развернуть

Ссылка на мастер-ключи:


Более подробно:
163

Издевательство над распостранителями шифровальщиков. В четвёртый раз с начала года

Развернуть
У операторов ботнета Dridex, который в последнее время занимается распространением шифровальщика Locky, определенно выдался плохой месяц. Инфраструктуру ботнета опять взломал неизвестный gray hat доброжелатель, подменив вредоносный пейлоад на предупреждение о малвари.

Этот взлом стал для Dridex четвертым с начала года. Инфраструктура ботнета, ранее распространявшего одноименный банковский троян, а теперь занимающегося дистрибуцией вымогателя Locky, подвергается издевательским атакам раз за разом. Пару недель назад, в начале мая 2016 года, неизвестные хакеры полностью удалили исходные коды вымогателя с серверов, подменив их всего двумя словами: «Дурацкий Locky» (Stupid Locky).
Издевательство над распостранителями шифровальщиков. В четвёртый раз с начала года
Еще чуть раньше, в апреле 2016 года, в панель управления одного из подконтрольных Dridex ботнетов сумели проникнуть специалисты компании Buguroo. По итогам исследователи опубликовали интересный отчет об устройстве бекэнда Dridex, а также сумели собрать много полезных данных.

В феврале 2016 года Dridex взломали еще раз, подменив загрузчик банковского трояна Dridex (тогда ботнет еще не переключился на распространение Locky) на оригинальную и самую свежую версию инсталлятора бесплатного антивируса Avira.
Издевательство над распостранителями шифровальщиков. В четвёртый раз с начала года
17 мая 2016 года специалисты компании F-Secure сообщили о новом инциденте. На этот раз исследователи обнаружили вместо пейлоада Locky файл, который учит пользователей азам компьютерной безопасности. JScript, который загружается с серверов ботнета, оказался вовсе не малварью, а предупреждением о том, что не следует открывать подозрительные файлы.
Издевательство над распостранителями шифровальщиков. В четвёртый раз с начала года
«Вы читаете это сообщение, потому что открыли вредоносный файл. Ради вашей собственной безопасности: не открывайте почтовые вложения из неизвестных источников», — гласит сообщение.

Специалисты F-Secure саркастично отмечают, что неизвестному gray hat’у, пожалуй, не стоило использовать термин «вредоносный файл», потому что большинство пользователей все равно не поймут, что это такое. По мнению аналитиков, нужно было написать проще: «Вы читаете это сообщение, потому что кликнули на компьютерный вирус, но я (мы?) взломал хакеров, чтобы они не могли взломать вас. В следующий раз удача может не быть к вам так благосклонна. Впредь будьте осторожнее».

Источник: журнал "Хакер"
117

Шифровальщик PETYA объединился с вымогателем MISCHA

Развернуть
Разработчики вредоносного ПО, по всей видимости, решили, что два вымогателя лучше, чем один и оптимизировали механизм доставки своей малвари. Теперь шифровальщик Petya поставляется «в комплекте» с аналогичным зловредом Mischa, который вступает в игру, если Petya потерпел фиаско.
Шифровальщик PETYA объединился с вымогателем MISCHA
Криповымогатель Petyaс марта 2016 года. От общей массы шифровальщиков его отличает то, что Petya полностью лишает пользователя доступа к жесткому диску. Дело в том, что Petya проникает в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table, или главную таблицу файлов.
В апреле 2016 года исследователь, известный под псевдонимом Лео Стоун (Leo Stone) дешифровки файлов, пострадавших в ходе атак Petya. Судя по отзывам пострадавших, способ Стоуна действительно работал. Что, очевидно, и побудило автора малвари создать улучшенную версию.
Шифровальщик PETYA объединился с вымогателем MISCHA
Специалисты MalwareHunterTeam обнаружили, что теперь установщик Petya поставляется со вторым, резервным шифровальщиком в комплекте, который получил имя Mischa. Исследователи BleepingComputer, в свою очередь, , что Petya по-прежнему нужны привилегии администратора в системе. То есть если жертва отказывается выдать вредоносу права: он бессилен. Именно на такой случай и нужен Mischa. Второму вымогателю не требуются права администратора, он и без них зашифрует файлы по классической схеме, используя алгоритм AES, но не затрагивая MBR.

Пара шифровальщиков Petya и Mischa распространяется преимущественно через фишинговые письма, замаскированные под заявки о поступлении на работу. Такие сообщения якобы содержат ссылку на резюме соискателя, которое на самом деле оказывается файлом вида PDFBewerbungsmappe.exe. Когда жертва запускает такой файл, начнется установка Petya, и появится запрос прав администратора. Если установить Petya не удалось, сработает Mischa. Демонстрацию процесса заражения можно увидеть на видео ниже.
Mischa шифрует не только стандартные типы файлов (изображения, документы и так далее), но также файлы .exe. Вымогатель не затрагивает только директории \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome.

На сегодня злоумышленники требуют от своих жертв выкуп в размере 1,93 биткоина (порядка $875 по текущему курсу).

3045

Учения.

Развернуть
Идут командно-штабные учения. Работа кипит, пот течет. Мой хороший товарищ, главный шифровальщик флотской разведки (кто именно - не скажу, кому надо - его уже узнали), звонит в подчиненное подразделение.
- Алло! Капитан первого ранга Н. Готовьтесь принять торпеду, 10 групп, в адрес разведки Северного флота.
- Ладно.
От такой телефонной фамильярности утомленный учениями мой товарищ вошел в ярость.
- Что ладно!? С кем я говорю? Кто принял информацию?
На том конце провода молчание, потом не менее утомленный голос.
- Кравченко...
- Что Кравченко?! Кравченко принял! Должность и звание! У меня Кравченок столько, что солить можно! Звание и должность!!!
Опять молчание и четкий ответ.
- Принял информацию начальник Главного штаба Военно-морского флота России вице-адмирал Кравченко.
- Простите, товарищ вице-адмирал, номером ошибся...