BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: Вирус шифровальщик - исследование, защита, обсуждение  (Прочитано 1679 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8218
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
У нас уже была одна тема но тогда угроза казалась призрачной и особого внимания на это никто не обратил, до тех пор пока несколько дней / недель назад наши местные админы, в том числе и форумчане столкнульсь с "реалиями жизни" - у пользователей стали шифроваться файлы...

Итак в краце что по факту происходит:
- Вирус распространятеся по почте
- Почтовое сообщение содержит вложение или ссылку на архив в дропбоксе, гугл драйве, другом облаке
- Вложение представляет из себя файл архива содержащим сам вирус, который представляет из себя js файл (как правилос очень длинным именем)
- Архив (вложение) как правило имеет тематическое название, типа - Сч-фактуры.zip или -фактуры - october_e2c.zip и все в таком духе
- Текст сообщения как правило связан с предосталвением налоговой отчетности, бухгалтерией и т.п.

Мне за последнее время попалось несколько экземпляров скриптов вируса, разные по синтаксису но принцип примерно у всех похожий итак после запуска файла вируса происходит следуюущее:
- Запускается js файл
- Создает нужные файлы для работы (это могут быть exe, bat, cmd, pif, vbs, dll файлы)
- Замечено, что название файлов и каталогов как правило рандомные
- Замечено, что в процессе работы создается в ОС RSA ключ (C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\)
- Создаются файлы (в разных месторасположениях) CONFIRMATION.KEY, VAULT.KEY, VAULT.hta (собственно само уведомление о том что файлы зашифрованы и т.п.)
- Происходит поиск файлов по всевозможным источникам (популярные типы "офисных" расширений)
- После нахождения шифрование и переименование фалов с добалвением в качестве расширения, расширения - vault
- Так же производится попытка удалить теневые копии

Доп. инфо
- js файлы, содерат достаточно запутанный и зашифрованный код прошедший обфускацию
- код может быть сжат JavaScript Compressor'ом
- исполняемые файлы генерируемые вирусом содержатся в теле вируса, т.е. вирус является лоадером
- основные папки где инциализируется вирус - %temp%, %appdata%
- после работы, вирус добавляет VAULT.hta в автозагрузку через Start Menu (C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\)

Доп. материалы найденные в сети:
http://support.kaspersky.ru/viruses/disinfection/4264
https://www.freedrweb.com/show/?i=9689&c=19&lng=ru
http://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2015-032015-4327-99
http://habrahabr.ru/post/168677/
http://habrahabr.ru/post/266077/

Защита
Хмм... интересный вопрос )) Что собственно и можно обсуждать и делиться ситуациями по теме в этой ветке...
« Последнее редактирование: Ноябрь 11, 2015, 04:35:32 pm от sysadmin »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

 

Оффлайн CyberPunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1163
  • Karma: +46/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
Боюсь что защититься от таких типов вирусов не получится в ближайшем будущем, тем более что лечение тем более мало вероятно.
Мы повсеместно внедряем централизованное бэкапирование с помощью Bacula. Единственно правильное средство имхо.

Как говорил один мой коллега:
- Системный администраторы делятся на два типа, те кто делают бэкапы и те кто уже сделал.
Одной мотивации недостаточно: если у вас есть идиот и вы его мотивировали, то в результате вы получите мотивированного идиота. Джим Рон

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8218
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Можно разделить защиту на несколько типов - Обязательная и Превентивная

Обязательная:
  • Резервные копии
  • Минимизация прав пользователей / объектов системы
  • Грануляция доступа к ресурсам (к примеру каталоги - локальные, общие)
  • Использование антиспам систем
  • Использование специализированного ПО направленного на защиту ПК (хотя бы сигнатурно)
  • Использование своевременных обновлений для операцонных систем, использемого ПО и т.п.

На тему gpg шифрования так же нашлось:
http://forum.antichat.ru/threads/369458/
http://www.gpg4usb.org/download.html

Превентивные / Дополнительные меры:
  • Нормализация (стандартиация) набора используемого ПО в компании
  • Контроль / Блокировка запуска приложений
  • Использование почтовых клиентов со встроенными элементами защиты (у Outlook к примеру есть базовая защита от запуска исполняемых файлов)
  • Информативная работа с пользователями (необходимо доносить до пользователей информацию по заданному направлению т.е. "воспитывать" пользовталя)
« Последнее редактирование: Ноябрь 16, 2015, 03:44:18 pm от sysadmin »

Оффлайн CyberPunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1163
  • Karma: +46/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
К сожалению базовая защита от исполняемых файлов в почтовом клиенте не помогает, так как такие вирусы приходят в архивах.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8218
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Нам пришли не в архивах парочку

Оффлайн Ćằɯeӈьҝẫ

  • Опытный пользователь
  • ***
  • Сообщений: 175
  • Karma: +3/-0
  • Пол: Мужской
  • Каждой твари - по витой паре!
    • Share Post
Цитировать
Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».
эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web
А у кого нибудь есть этот вирус,хочу протестить его
« Последнее редактирование: Ноябрь 16, 2015, 02:27:24 pm от ԑիẫḋծẅḩὅşԷ »

Оффлайн DaRoni

  • Специалист ИТ
  • ****
  • Сообщений: 291
  • Karma: +22/-0
  • Пол: Мужской
    • Share Post
Kaspersky 2016 сможет защитить?

Оффлайн CyberPunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1163
  • Karma: +46/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
В теории если проактивная защита будет стоять в параноидальном режиме.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8218
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Но как это повлияет на производительность, в частности на "слабых" машинах? Вирус попросту не сможет проникнуть на машину, так как все ресурсы будут загружены на 100 процентов ))

Опять же повторюсь, вирус не сможет удалить теневые копии, если у пользователя не будет административных прав, поэтому необходимо закручивать безопасность, на антивирусы надежд мало...

Оффлайн DaRoni

  • Специалист ИТ
  • ****
  • Сообщений: 291
  • Karma: +22/-0
  • Пол: Мужской
    • Share Post
так ведь теневые копий не везде включены. У меня например только на сервере ). на рабочих станциях не включены.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8218
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Основные рабочие документы, храните на сервере или в перемещаемых профилях. Ну и все же на рабочих станциях включить защиту желательно.

Так же отработайте варианты запуска  исполняемых файлов, в особенности из appdata, temp... Запретить установку и запуск из неизвестных мест не администраторам...
« Последнее редактирование: Ноябрь 18, 2015, 10:52:11 am от sysadmin »

Оффлайн DaRoni

  • Специалист ИТ
  • ****
  • Сообщений: 291
  • Karma: +22/-0
  • Пол: Мужской
    • Share Post
пока такие заразы распространяются через электронную почту не страшно. У меня у всех почта запрещена )))
а про варианты запуска это уже всем нужно.

Оффлайн Al8

  • Пользователь
  • **
  • Сообщений: 97
  • Karma: +4/-3
    • Share Post
У антивирусов есть Sandbox - песочница, она же как раз от этого защищает?
Недавно обратилась одна особь, у которой зашифрованы файлы. Расширение у файлов .cbf

Дешифратор от дрвеба не смог расшифровать ни один файл, в инете пишут что печалька вышла с этими файлами. Везде инструкции по удалению самого зло вреда, а как привести файлы к первоначальному виду инфы нет.

Теперь многие пользователи задумались о бекапах)


Говорят действенным является запуск программ только из папки Program Files.
« Последнее редактирование: Декабрь 11, 2015, 07:45:35 pm от Al8 »

Оффлайн CyberPunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1163
  • Karma: +46/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
Вирусы постоянно "мутируют" и становятся умнее, появился вирус которому даже не нужно обращаться в интернет чтобы сгенерировать ключи.

Оффлайн CyberPunk 2050

  • Сообщество ИТ-Специалистов
  • сисадми́н
  • *****
  • Сообщений: 1163
  • Karma: +46/-0
  • Пол: Мужской
  • Местный IP-шник. Работаю в DHCP.
    • Share Post
И да сетевые диски еще как шифруются, на моем примере был зашифрован весь сетевой диск вирусом VAULT. Благо не все данные пострадали т.к. угрозу локализовали и у пользователя был ограниченный доступ (NTFS/ACL)


xx
Вирус-шифровальщик PAYCRYPT@GMAIL_COM

Автор MFlyagin

2 Ответов
10539 Просмотров
Последний ответ Июнь 27, 2014, 09:10:52 am
от MFlyagin
xx
Что нужно срочно сделать если вас резко паролит вирус шифровальщик?

Автор Fire

4 Ответов
2444 Просмотров
Последний ответ Июль 11, 2014, 08:50:47 pm
от Fire
xx
Подозрение на взлом сайта, исследование

Автор sysadmin

9 Ответов
532 Просмотров
Последний ответ Февраль 05, 2016, 05:38:58 pm
от sysadmin
xx
Исследование стойки сервера. Где и какой сервер?

Автор bessmertnyi_poni

2 Ответов
392 Просмотров
Последний ответ Февраль 22, 2016, 12:00:36 pm
от CyberPunk 2050