четверг, 31 марта 2016 г.

Способы защиты

10 способов защиты от шифровальщиков-вымогателей

10 правильных способов защиты от крипто-вымогателей


БЭКАП
1. Регулярное резервное копирование ценных данных по методу 3-2-1.
2. Корректировка резервных копий согласно времени их создания.

ЗАЩИТА
3. Использование коммерческой ежегодно продлеваемой антивирусной программы.
4. Изучение работы и настройка в ней автоматического резервного копирования.

ПОЧТА
5. Использование функции Антиспам в почтовой программе или почтовом сервере.
6. Изучение информации по основным угрозам, исходящим от электронной почты.

СЕМЬЯ
7. Изучение и понимание рисков, связанных с использованием сети Интернет.
8. Изучение информации по шифровальщикам и другим блокировщикам компьютера. 

ВЫКУП
9. При столкновении с программами-вымогателями не паникуйте прежде времени.
10. Шифрование с целью выкупа — это преступление, его можно и нужно пресечь.

Не самая полезная привычка пользователей ПК — это накопление информации и различного мусора. Фотографии хранятся гигабайтами, видео терабайтами. Вместо того, чтобы выбрать лучшие и сохранять их на отдельном внешнем накопителе, который лежит большее время на полке в шкафу и не доступен для вирусов. Нужно соблюдать порядок на своём ПК — не разбрасывать информацию и не хранить её гигабайтами или терабайтами, тогда и атака вымогателей будет не страшна. 

А теперь более подробно по каждому пункту... 

БЭКАП
1. Регулярное резервное копирование ценных данных по методу 3-2-1.
Правило "3-2-1" заключается в следующем: создать 3 резервные копии на 2-х различных носителях и 1-м хранимом в отдельном месте. Так можно лишить вымогателей козырной карты и вернуть свои файлы с минимальными потерями (переустановка системы за небольшую денежную трату на услуги айтишника). Это гораздо дешевле суммы, что хотят вымогатели. Смотрите в конвертере эквиваленты 1 BTC. 

2. Корректировка резервных копий согласно времени их создания.
Корректировка заключается в следующем: сначала надо упорядочить файлы по категориям (документы, фотографии, музыка, видео, другие важные файлы), а потом поддерживать их по временным датам (важное событие, месяц, год и пр.) и проверять целостность. Упорядоченная информация гораздо ценнее "творческого беспорядка", на восстановление которого бесполезно и бессмысленно тратить время. 

ЗАЩИТА
3. Использование коммерческой ежегодно продлеваемой антивирусной программы.
Давно пора всем отказаться от использования Free-антивирусов, как поставщиков ложного чувства защищённости. Но антивирусные компании, желая привлечь больше пользователей на свою сторону ради высокого рейтинга, продолжают проталкивать их всеми способами. Коммерческие продукты имеют более актуальный защитный функционал, способный защитить от большинства шифровальщиков. 

4. Изучение работы и настройка в ней автоматического резервного копирования. 

Это ещё один аргумент в пользу коммерческой ежегодно продлеваемой антивирусной программы, у которой имеется функционал автоматического резервного копирования (бэкапа). Он также может называться защитой данных от повреждения и удаления. Вопреки убеждениям пользователей, настройка этого функционала заключается только в выборе нескольких опций и места хранения файлов.

Где её взять? Хотите попробовать, прежде, чем купить? 
Обратитесь за помощью в Клуб Симантек
Узнаете, как установить Norton Internet Security или Norton 360, получить ключ и быть под защитой одного из лучших антивирусных решений с мировым именем. В Norton 360 есть функционал бэкапа и файлы будут под защитой и их резервные копии на своём месте. 

ПОЧТА
5. Использование функции Антиспам в почтовой программе или почтовом сервере.
Сегодня функция Антиспам имеется у большинства почтовых серверов (yandex.ru, mail.ru и пр.), которая, как и антивирусная проверка вложений, предоставляются бесплатно. Но пользователь может ему немного помочь и самостоятельно отмечать как спам подозрительные и незапрошенные им самим входящие сообщения. Почтовые программы имеют свои настройки, разобраться с которыми нетрудно. 

6. Изучение информации по основным угрозам, исходящим от электронной почты.
Многие коммерческие антивирусные программы имеют функционал защиты электронной почты, это еще один плюс в их пользу. Но без элементарных знаний об email-угрозах, все их усилия сведутся к нулю, если пользователь, например, откроет хоть одно вредоносное email-вложение, без его предварительного сохранения в специально отведённой для этого дела папке и без проверки его антивирусом.

СЕМЬЯ
7. Изучение и понимание рисков, связанных с использованием сети Интернет.
Антивирусные и ИБ-компании регулярно публикуют аналитические обзоры и исследования вредоносных программ и методов, с помощью которых совершаются онлайн-преступления: распространение вредоносов и спама, хакерские атаки и взлом, фишинг и хищение данных, шифрование информации, социальные преступления, перенесённые в Интернет и пр. Читайте ресурсы по информационной безопасности. 

8. Изучение информации по шифровальщикам и другим блокировщикам компьютера. 
Для этого дела прекрасно подойдёт этот блог, в котором регулярно публикуется новейшая информация и обновления по различным шифровальщикам-вымогателям, блокировщикам-вымогателям, вообще не использующим шифрование, а также по фейк-шифровальщикам, которые не шифруют файлы, но используют похожие методы запугивания своих жертв, чтобы заставить их поскорее выплатить выкуп.

ВЫКУП
9. При столкновении с программами-вымогателями не паникуйте прежде времени.
Пострадавшим не нужно паниковать, потому что, как сказано выше, не все вымогатели в реале используют шифрование, не у всех оно криптостойкое, не у всех алгоритм шифрования безупречен, зачастую в алгоритме и в самой вредоносной программе имеются ошибки, позволяющие специалистам по шифровальщикам создать программу для дешифровки / разблокировке файлов. 

10. Шифрование с целью выкупа — это преступление, его можно и нужно пресечь. 
Важно знать, что вымогательство с требованием выкупа за заблокированные (зашифрованные) файлы является уголовно наказуемым преступлением и разбираться с преступниками должны правоохранительные органы. По всем фактам такого вымогательства, произошедшего с российскими гражданами или предприятиями, нужно НЕМЕДЛЕННО обращаться в местное Управление "К" МВД России или территориальный орган МВД России. 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее о заявлении и его содержании >>

ВНИМАНИЕ! Вам не надо никуда далеко идти в поисках информации по атаковавшему вас шифровальщику, т.к. она есть на этом сайте. Если затрудняетесь найти, напишите мне в форму обратной связи (см. ниже статьи) и получите ответ. 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoHasYou

CryptoHasYou Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма  AES-256 с RSA-2048 ключом, а затем требует $300 USD, чтобы вернуть файлы обратно. Через три дня после заражения и каждые сутки потом оплата поднимается на $150. К зашифрованным файлам добавляется расширение .enc

  Название криптовымогателя произошло от слова .Cryptohasyou, которое скрывает фразу "Crypto_has_you" (Крипто_имел_вас). Видимо, начальная версия криптовымогателя должна была использовать расширение .Cryptohasyou, но потом его заменили.    

  Записка о выкупе называется YOUR_FILES_ARE_LOCKED.txt 
Записка о выкупе, TXT-версия
Записка о выкупе, BMP-версия

  Содержание записки о выкупе:
READ THIS. IT IS VERY IMPORTANT.
Hello, Unfortunately for you, a virus has found its way onto your computer. The virus has encrypted all of the files that exist on this computer (pictures, 
documents, spreadsheets, videos, etc.). There is no way to restore the files back to their original forms without the unique decryption programs.
Fortunately, we can help. We have your unique decryption program. If you value your locked files and want to restore them, we can provide you with 
the decryption program and any assistance you need for the price of $300.
Want us to fix all of your files? Have a question? Want to send us a complaint(or compliment)?
Contact us! Our email is locked@vistomail.com
We will get back to you with haste.
If you want proof that we can decrypt your files, send us a single encrypted file in an email and we will return it to you fixed and in original condition!
You must respond to this in a timely fashion if you want your original files back.
The initial price of our service is $300. For every 3 days that pass, the price of our service will raise by an additional $150. We will know how long it 
has been. Remember, we are your only option. If you consult an IT expert, they will tell you the same thing.
Cheers.
Additional Details: (for IT People)
[+] It is impossible to recover the original files without our help.
[+] Encryption scheme: aes256(filesystem, aes_key) -> rsa2048(aes_key, public key)
-In other words, the private_key is required to decrypt the filesystem
[+] During filesystem encryption, all affected files had the original data overwritten with the encrypted data several times over to prevent recovery.
[+] If the extention of an encrypted file is not “.enc” when the decryption program is run, it will not be decrypted.
[+] Do not shut down or restart your computer while filesystem decryption occurs
FOR FILE DECRYPTION CONTACT US: locked@vistomail.com
You will need to provide the following data to us along with a payment in order to decrypt your files:
< DATA >
{уникальный ID-номер с буквами и цифрами}

 Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, за исключением имеющих расширения:  .bat, .bin, .blf, .cat, .cdf-ms, .cdfs, .cmd, .com, .conf, .cpl, .dat, .dev, .dll, .dmp, .drv, .enc, .etl, .evt, .evtx, .exe, .folder, .gadget, .gpd, .grp, .idx, .inf, .ini, .ins, .inx, .isu, .job, .jse, .key, .lib, .lnk, .lock, .man, .manifest, .mark, .mci, .mdmp, .msc, .msi, .msn, .msp, .mst, .mui, .my, .nls, .ocx, .osc, .paf, .pdb, .pif, .reg, .rgu, .scr, .sct, .sfc, .sfcache, .shb, .shs, .shs, .sif, .sys, .vbe, .vbs, .vbscript, .vtd, .wsf (70 расширений) и файла .bmp со случайным именем (в этом примере это c35312fb3a.bmp), которые ему нужны. 
По завершении шифрования могут быть зашифрованы и файлы оставшихся типов. Это делает криптовымогатель буквально всеядным. 

Файлы, связанные с CryptoHasYou Ransomware:
YOUR_FILES_ARE_LOCKED.txt - Записка о выкупе, создается во всех папках с зашифрованными файлами;
C:\Users\W7_MMD\AppData\Local\Roaming\c35312fb3a.bmp - экран блокировки, встает в качестве обоев Рабочего стола, файл со случайным именем;
C:\Users\W7_MMD\AppData\Local\Temp\dejqmavb.bat - bat-файл для зачистки следов вымогателя в системе, файл со случайным именем. 


Степень распространённости: средняя. 
Подробные сведения собираются.

Ссылки:
Тема поддержки на BC

Профилактика угрозы

Профилактика угрозы и защита бизнеса



Защитите себя и свою организацию!


  Я очень надеюсь, что этот сайт, статьи, руководства, инструкции и вся справочная информация, которую вы здесь найдёте, спасёт множество организаций, семей и лиц от неприятностей, связанных с угрозой вымогательства и уплатой выкупа, и научит их защищаться. 

  Не откладывайте всё на потом, начните с себя прямо сейчас! 

...Лечебные учреждения, учебные заведения, государственные и местные органы власти, транспортные компании, правоохранительные органы, предприятия малого и среднего бизнеса, крупные предприятия — это лишь некоторые из субъектов, пострадавших от крипто-вымогателей — коварных вредоносных программ, которые шифруют или блокируют ценные цифровые файлы и требуют немалый выкуп за их частичное или полное возвращение.

  Невозможность получить доступ к важной информации для организаций может иметь катастрофические последствия, например, если говорить об утрате конфиденциальной или служебной информации, о нарушении непрерывного производственного процесса, финансовых потерях, понесённых при восстановлении системы и файлов, и о пострадавшей репутации организации.

  Домашние компьютеры, разумеется, также восприимчивы к атаке крипто-вымогателей, т.к. потеря доступа к личным и бесценным цифровым данным, в том числе семейным фотографиям, видео, документам и другим данным, может стать невосполнимой для физических лиц, привести к личной драме, стать причиной семейных скандалом, разлуке с близкими и пр. пр. пр. 

  Угроза программ-вымогателей существует уже нескольких лет, но в 2015 году антивирусными компаниями и правоохранительными органами был отмечен рост кибер-атак этого вида, особенно в отношении организаций, т.к. там и цены выкупа выше, и выплаты чаще. Первые три месяца 2016 года указывают на то, что число вымогательских инцидентов и последующий ущерб, который они вызывают, будут продолжать расти в текущем и будущем годах, если отдельные лица и организации не подготовятся к этим нападениям заранее.

  Пример атаки вымогателя: жертва, получив email-письмо, адресованное ей, открывает его и бездумно кликает вложение, которое кажется неопасным, например, присланное фото, счет-фактура, решение суда или электронный факс, но на самом деле содержит вредоносный код вымогателя. Или пришедшее электронное письмо может содержать легитимного вида URL-адрес, но когда жертва бездумно кликает на него, то мигом перенаправляется на веб-сайт, который заражает компьютер вредоносным кодом, эксплуатируя уязвимости в программном обеспечении и защите.

  Инфицировав компьютер, вредоносная программа начинает шифрование файлов и папок на локальных дисках, подключенных внешних дисках, дисках резервного копирования, а также на других компьютерах в той же сети, присоединенных к ПК жертвы. Пользователи и организации, как правило, не знают, что они инфицированы, пока не поймут, что не могут получить доступ к своим данным или пока не увидят вымогательских сообщений, в которых сообщается о том, что файлы были зашифрованы (заблокированы, скрыты) и описываются требования на уплату выкупа в обмен на ключ дешифрования. В них также есть инструкции о том, как заплатить выкуп, как правило, в Bitcoin — виртуальной криптовалюте, предоставляющей анонимный обмен и выплаты.

  Атаки вымогателей от банально известных, становятся все более изощренными. Несколько лет назад, программы-вымогатели обычно доставлялись только через email-спам, но потом системы email-защиты стали лучше фильтровать спам, и кибер-преступники обратились к email-фишингу, ставшему не только целенаправленным, но индивидуально подстраиваемым. Так кроме банального фишинга, используется таргет-фишинг, копьё-фишинг, уэйлинг... Ежедневно появляются новые виды. 

  Новые инциденты показывают, что некоторые кибер-преступники вообще не используют электронную почту. Помощник директора киберподразделения ФБР Джеймс Трейнор сообщает: "Методы киберпреступников совершенствовались и теперь им не нужно принуждать человека нажимать на ссылку в письме. Они делают это путем инфицирования легитимных сайтов вредоносным кодом, воспользовавшись неисправленными уязвимостями в программном обеспечении ПК конечных пользователей".

  Важно помнить, что все варианты вымогателей представляют угрозу для индивидуальных пользователей, организаций и предприятий. Немало вариантов ориентированы на атаку уязвимых серверов, чтобы одновременно причинить вред данным на сервере, веб-хостинге, всем расположенным на них веб-сайтам и подключенным пользователям. Большой объём данным и длительное время восстановления порой вызывает у вымогателей искушение — после уплаты выкупа, не выдавать все ключи дешифрования, не предоставлять доступ ко всем файлам, а потребовать ещё больше денег, двойную или тройную оплату. 


Платить или не платить? 


  ФБР сегодня категорически против уплаты выкупа вымогателям. Трейнор продолжает: "Уплата выкупа не гарантирует организациям возвращение доступа к утраченным данным. Нам известны случаи, когда организации не получали ключ дешифрования даже после того, как платили выкуп. Каждый оплаченный выкуп стимулирует кибер-преступников к будущим атакам на организаций, является примером легкой наживы для других преступников, толкая их к незаконной деятельности. И, наконец, заплатив выкуп, организация непреднамеренно финансирует другую незаконную деятельность киберпреступников".

  Так что же ФБР рекомендует? По мере развития методов вымогателей продолжают развиваться и вредоносные программы, и становится всё труднее обнаруживать вымогателей. Пока не стало слишком поздно, организациям, в частности, следует сосредоточить внимание на двух основных направлениях:
- проводить профилактику, обучать и информировать персонал о вымогателях и надежных технических средствах контроля;
- разработать и утвердить план обеспечения непрерывности процесса работы организации в случае атаки вымогателей (см. далее "Советы..." для дополнительной информации).

— Нет ни одного метода или инструмента, который бы гарантированно защитил вас или вашу организацию от атаки вымогателей, — сказал Трейнор. — Но готовность к непредвиденным обстоятельствам и планирование реабилитации имеют решающее значение для восстановления бизнеса и его непрерывности, поэтому указанные мероприятия должны проводиться на регулярной основе. — В то же время, по словам Трейнора, ФБР будет продолжать работать со своими местными, федеральными, международными и частными партнёрами в целях усиления борьбы с вымогателями и другими угрозами.


Советы ФБР по борьбе с вымогателями


  ФБР рекомендует предприятиям, организациям и пользователям рассмотреть возможность осуществления следующих мер профилактики угрозы, защиты бизнеса и обеспечения его непрерывности, чтобы уменьшить риск успешной атаки вымогателей.  Хотя данные советы предназначены в первую очередь для предприятий, организаций и их сотрудников, некоторые из них подойдут и персональным пользователям.

Меры профилактики угрозы

- Убедитесь, что все сотрудники информированы о вымогателях и понимают всю важность защиты данных организации.
- Убедитесь, что ОС, ПО и прошивки на всех компьютерах и устройствах обновляются с помощью централизованной системы управления исправлениями.
- Убедитесь, что решения по обеспечению защиты от вирусов и вредоносных программ установлены и актуальны на всех компьютерах.
- Убедитесь, что на всех компьютерах учётные записи администратора используются только при крайней необходимости.
- Убедитесь, что на всех компьютерах настроен контроль доступа, в том числе к файлам, каталогам и общим сетевым папкам. 
- Убедитесь, что пользователи, которым нужно только читать конкретную информацию, не имеют прав на внесение изменений в этих файлах.
- Убедитесь, что на всех компьютерах отключены макросы и уведомления об их включении в офисных файлах, передаваемых и получаемых по email.
- Убедитесь, что на всех компьютерах внедрены политики ограниченного использования программ или других элементов управления для предотвращения выполнения программ-вымогателей из общих мест. Это касается временных папок, с которыми работают популярные интернет-браузеры и архиваторы.

Обеспечение защиты бизнеса

- Делайте регулярное резервное копирование данных и регулярную проверку целостности этих резервных копий.
- Защитите резервные копии и убедитесь, что они не подключены к компьютерам и сетям хранения баз данных.
- Критически относитесь к ссылкам в email-сообщениях и не открывайте вложения от неизвестных отправителей.
- Загружайте программное обеспечение, особенно бесплатное (Free), только с официальных и доверенных сайтов. 
- Проверяйте до запуска, если возможно, целостность программного обеспечения с помощью цифровой подписи.
- Обновляйте операционную систему, свои программы, прошивки, включая Adobe Flash, Java, веб-браузеры и пр.
- Настройте антивирусные и другие защитные программы на автоматическое обновление и регулярные проверки ПК.
- Отключите макросы для получаемых по email файлов. Используйте Office Viewer для открытия файлов MS Office.
- Создайте ограничения на выполнение программ и элементов управления, активнее внедряйте проактивную защиту. 

Сообщения об атаках вымогателей

  ФБР призывает пострадавших сообщать обо всех инцидентах, связанными с вымогателями, федеральным правоохранительным органам, независимо от результата атаки, чтобы составить более полное представление о текущей угрозе и её воздействии на пострадавших.

Для этого следует указать следующую информацию:
1. Дату инфицирования ПК (может быть также установлена по отчётам Windows).
2. Информацию о варианте вымогателя (записка о выкупе, используемое расширение).
3. Информация о компании-жертве (какое предприятие, организация, размер бизнеса).
4. Как произошло заражение (ссылка или вложение в email, работа в Интернете и пр.).
5. Запрошенная вымогателями сумма выкупа (указывается в записке или на сайте оплаты).
6. Адрес Bitcoin-кошелька вымогателей (указывается в записке или на сайте оплаты).
7. Выплаченная вымогателям сумма выкупа (если выкуп вымогателям был выплачен).
8. Общие потери, связанные с вымогательской инфекцией, включая сумму выкупа.
9. Официальный отчёт о причинённом ущербе, включая заявления от пострадавших.

👉 Сравните информацию, сообщаемую в федеральные органы США, с онлайн-заявлением в Управление "К" МВД России. 


Как помогают собранные данные?

1. Отчётность по преступлениям даёт правоохранительным органам более точную картину о методах нападавших, чтобы они могли попытаться отслеживать и в конечном итоге сорвать их планы.
2. Криминальные сводки помогают правоохранительным органам оценить масштаб проблемы, чтобы выделить ресурсы и обеспечить необходимое финансирование со стороны законодателей или других политиков.
3. Накопление разведывательных данных о киберпреступности помогает следователям лучше коррелировать деятельность их банд, помогая разоблачать и преследовать лиц, участвующих в атаках. 
4. ФБР ранее отмечал, что "значительная часть инфраструктуры, используемая злоумышленниками, размещается за рубежом", и что бюро часто работает с международными правоохранительными органами.


 Read to links: 
 FBI: Incidents of Ransomware on the Rise (апрель 2016)
 FBI urges victims to report ransomware incidents (сент. 2016)
 ID-Ransomware.RU

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 30 марта 2016 г.

KimcilWare

KimcilWare Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные веб-сайтов с помощью алгоритма Rijndael (AES), а затем требует выкуп в пределах от $ 140 до $ 415 (в зависимости от версии, которой сайт был заражен), чтобы вернуть файлы. Название оригинальное. Активность пришлась на март 2016 г., но известные более ранние атаки, например в феврале этого года. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии.

© Генеалогия: Hidden Tear modified >> MafiaWareKimcilWare



За этим крипто-вымогателем стоит одна из индонезийских хакерских группировок, специализирующаяся на взломе веб-сайтов по всему миру. Выявлена связь с другим вымогательским ПО этой группировки — MireWare

Этимология слов, использованных вымогателями:
kimcil - индонез. одно из названий проститутки
tuyuljahat (Tuyul Jahat) - индонезназвание злого духа, вымогающего деньги. 

Известны две версии сценариев для шифрования сайтов. Один скрипт шифрует все данные на веб-сайте, добавляет расширение .kimcilware к зашифрованным файлам, заменяет index-страницу сайта на свой файл index.html (см. ниже), и требует выкуп в размере 140 долларов США. 

Пример содержимого веб-папки с зашифрованными с помощью сценария KimcilWare см. ниже.

Другой скрипт добавляет расширение .locked к зашифрованным файлам, но не заменяет index-страницу сайта на записку с требованием выкупа. Вместо этого он создаёт в каждой папке, в которой были зашифрованы файлы, записку о выкупе под именем README_FOR_UNLOCK.txt, содержащую инструкции для оплаты выкупа в 1 биткоин или 415 долларов США.

Содержание записки README_FOR_UNLOCK.txt:
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: *****
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy

Перевод на русский язык:
ВСЕ ФАЙЛЫ ВАШЕГО ВЕБ-СЕРВЕРА БЛОКИРОВАНЫ
Вы должны послать мне 1 BTC для разблокировки ваших файлов.
Платите на BTC-адрес: *****
Мыльте на tuyuljahat@hotmail.com после отправки мне BTC. Сообщите мне адрес веб-сайта и ваш Bitcoin-адрес.
Я буду проверять свой Bitcoin и если вы прислали мне BTC, то я пришлю дешифратор для разблокировки ваших файлов.
Надеюсь, вам понравится 

Активность этого криптовымогателя пришлась на март 2016 г. Ориентирован на англоязычных пользователей, что не мешает использовать его по всему миру.

KimcilWare направлено на веб-сайты, основанные на системе управления интернет-магазинами Magento. Возможно, заражению способствует установка пока ещё легитимных расширений для CMS Magento. Одно из них, Helios Vimeo Video Gallery (от Helios Solutions), уже помечено как опасное. Но не исключается вероятность программной прокладки-заготовки в самом Magento, как и во всех других CMS.

Владельцы интернет-магазинов, работающих на Magento, должны использовать сильные пароли для учётных записей администратора, и как можно скорее обновить систему управления сайтом до последней версии Magento, или установить все доступные патчи для используемой версии.

KimcilWare устанавливается после взлома веб-сервера. При желании злоумышленники могут распространять его с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы и папки, находящиеся в директории веб-сайта, некоторые даже по 2 раза. 

Файлы, связанные с KimcilWare Ransomware:
README_FOR_UNLOCK.txt

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 ID Ransomware
 Fortinet blog
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

Policy of Use

Политика использования информации (Policy of Use)


Блоги "Шифровальщики-вымогатели" (ШВ), "Дешифровщики файлов" (ДФ), "Проект Anti-Ransomware" (AR) — это свободные проекты, независимые от антивирусных компаний. Информация на этом блоге-сайте защищена авторским правом.

Информация об авторских правах:
© Шифровальщики-вымогатели, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Дешифровщики файлов, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Проект Anti-Ransomware, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016

Информацию блогов ШВ, ДФ, AR допускается использовать следующими способами: 
– читать и распространять информацию о блоге, как источнике полезной ифнормации;
– находить, изучать и присылать мне новую информацию для обобщения и публикации;
– общаться с другими людьми, включая форму для ответов и комментариев, ЛС и email;
– приобретать опыт и делиться своими знаниями и навыками с автором и собеседниками.

Я изучаю и учитываю все ваши пожелания, комментарии, чтобы сделать блоги лучше и информативней. 
Это способствует общению, позволяет легко и быстро делиться информацией с другими участниками. 

При любой републикации материалов из вышеназванных блогов обязательно следует использовать правило: 
а) активная ссылка на блог + название блога, автор блога; 
б) или активная ссылка на блог + название блога; 
в) или активная ссылка на блог + автор блога. 

Ссылки на мои блоги, полученные при их регистрации: 

1. Блог "Шифровальщики-вымогатели"
https://id-ransomware.blogspot.ru
http://id-ransomware.blogspot.ru
https://id-ransomware.blogspot.com
http://id-ransomware.blogspot.com
Баннер 468x60:


2. Блог "Дешифровщики файлов"
https://decryptors.blogspot.ru
http://decryptors.blogspot.ru
https://decryptors.blogspot.com
http://decryptors.blogspot.com
Баннер 468x60:


3. Проект "Anti-Ransomware"
https://anti-ransomware.blogspot.ru
http://anti-ransomware.blogspot.ru
https://anti-ransomware.blogspot.com
http://anti-ransomware.blogspot.com
Баннер 468x60:



Соглашение 
по использованию информации блогов
 "Шифровальщики-вымогатели", Дешифровщики файлов", 
"Проект Anti-Ransomware"

Не знание и игнорирование этого соглашения не снимает ответственности!

Разрешается свободно ссылаться на блог, его автора и информацию, находящуюся на страницах блога, при соблюдении следующих положений и условий. 

Любой веб-сайт (форум, блог, ЖЖ и пр.), ссылающийся на блог-сайт ("Шифровальщики-вымогатели", "Дешифровщики файлов", "Проект Anti-Ransomware"):
– соглашается соблюдать все пункты данного соглашения по использованию, описанные ниже и волен выбрать любой из блогов;
– может свободно изучать все материалы блогов, в том числе архивные; 
– может свободно ссылаться на материалы блога, но не копировать их в полном объеме (не больше 30%), не искажать содержание и суть;
– не должен сообщать вводящую в заблуждение или ложную информацию о блоге, его авторе, читателях и подписчиках;
– не должен искажать взаимосвязь блога-сайта и деловых партнёров автора-администратора, в том числе в прошлом;
– не должен провоцировать своих пользователей на конфликт с автором блога, его читателями и подписчиками;
– не должен использовать материалы блога, чтобы негативно влиять на отношение своих пользователей к блогу, автору, читателям;
– не должен публиковать у себя на сайте (форуме, блоге, ЖЖ и пр.) материалы из блога рядом с темами непристойного содержания;
– не должен использовать логотипы, элементы содержания или оформления блога без письменного разрешения автора;
– должен быть согласен по первому требованию автора блога внести соответствующую корректировку в публикацию.

Любой веб-сайт, соблюдающий все пункты данного соглашения по использованию:
– может заочно считать себя реферальным партнёром блогов "Шифровальщики-вымогатели" или "Дешифровщики файлов", или "Проект Anti-Ransomware";
– может вступить в деловые (партнёрские) отношения с автором для преимуществ публикации. 

Любой веб-сайт, частное лицо, не соблюдающие все пункты данного соглашения:
– не имеет права любыми способами и в любом виде пользоваться материалами или любым другим содержимым вышеназванных блогов;
– не должен из-за этого распространять в Интернет и частной беседе заведомо искажённую и ложную информацию о блоге, его авторе, читателях, подписчиках, участниках беседы в комментариях. 

Дата последнего изменения: 18 ноября 2016 г.

Список сайтов очно-заочных партнёров и рефералов блога "Шифровальщики-вымогатели":
http://www.bleepingcomputer.com/ 
http://club-symantec.ru/ 
http://safezone.cc/ 
http://decryptors.blogspot.ru/ 
http://anti-ransomware.blogspot.ru/
...
Добавляйтесь!
Список сайтов-нарушителей авторского права блога и его автора:
...Я знаю несколько таких иностранных сайтов, регулярно тягающих информацию, но пока не публикую их адреса... 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 29 марта 2016 г.

MireWare

MireWare Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы обратно. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии. См. также KimcilWare

К зашифрованным данным добавляются расширения .bleeped, .fucked, .fuck 

© Генеалогия: Hidden Tear modified >> MafiaWare > MireWare 




Записка о выкупе READ_IT.txt размещается на Рабочем столе и в корне каждого диска. 

Содержание записки о выкупе: 
Files have been encrypted
Send me some bitcoins to decrypte your files
Contact tuyuljahat@hotmail.com for more information and deal!

Перевод на русский язык:
Файлы были зашифрованы
Отправь мне биткоины, чтобы дешифровать файлы
Пишите на tuyuljahat@hotmail.com для информации и сделки!

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml

Файлы, связанные с этим Ransomware:
%UserProfile% \Desktop\READ_IT.txt
hidden-tear.exe
<random>.exe

В настоящее время C&C-серверы вымогателей отключены, потому вымогатель подключиться к серверу через HTTPS не может. Есть сведения, что вымогатели сменили сервера, переписали шифровальщики и используют для атаки пользователей другие Ransomware: KimcilWare, 8lock8 и ряд других пока малоизвестных. 

Степень распространённости: низкая.
Подробные сведения собираются. 


 Внимание!!! 
Для зашифрованных файлов есть декриптер. 

пятница, 25 марта 2016 г.

PowerShell Locker

PowerShell Ransomware 

PowerShell Locker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует посетить Tor-страницу, чтобы ознакомиться с условиями выкупа, оплатить его, получить ключ и декриптер, а затем с их помощью вернуть файлы. Название получил от того, что используются возможности Microsoft PowerShell

К сожалению, для всех пострадавших от действий этого криптовымогателя, нет возможности восстановить зашифрованные этим криптовымогателем файлы, т.к. в процессе программирования вымогателями были допущены ошибки, которые привели к тому, что данные безвозвратно испорчены. 

© Генеалогия: PowerShell Locker 2015 > PowerWare


Легитимный компонент в руках преступников — оружие!

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на октябрь 2015 - январь 2016 г. Ориентирован на англоязычных пользователей, что не мешало распространять его по всему миру.

Записки с требованием выкупа и инструкциями называются:
README.txt
DECRYPT_INSTRUCTION.html
DECRYPT_INSTRUCTION.txt


Содержание записки README.txt:
Extract the .ps1 file and run with Powershell. 
Depending on the size of your system it may take either minutes to hours to complete decryption. 
You can use files again when DECRYPT_INSTRUCTION.html has been removed from folder.

Перевод записки на русский язык:
Извлеките файл .ps1 и работайте с Powershell.
Завися от размера вашей системы может занять от минут до часов на полную расшифровку.
Вы можете использовать файлы, если DECRYPT_INSTRUCTION.html удален из папки.


Содержание записок с инструкциями "DECRYPT_INSTRUCTION"
What happened to your files? 
All of your files were protected by a strong encryption with RSA-2048. 
 More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean? 
 This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. 
How did this happen? 
 Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. 
 All your files were encrypted with the public key, which has been transferred to your computer via the Internet. 
 Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.  
What do I do? 
 Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. 
 If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.  
For more specific instructions, please visit this home page: 
1.http://vswefkqsipoeuq5o.onion.nu 
 Please scroll below for your #UUID 
If for some reasons the address is not available, follow these steps: 
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
 2. After a successful installation, run the browser and wait for initialization.
 3. Type in the address bar: vswefkqsipoeuq5o.onion
 4. Follow the instructions on the site. 
IMPORTANT INFORMATION:
Your Home PAGE: http://vswefkqsipoeuq5o.onion.nu
Your Home PAGE(using TOR): vswefkqsipoeuq5o.onion
Please scroll below for your #UUID
Your #UUID is EFTK8odtw47RMslfhDWV2iL6c
Guaranteed recovery is provided before scheduled deletion of private key on the day of 01/01/2016 11:09:27 
The price to obtain the decrypter goes from 500 $ to 1000 $ on the day of 12/12/2015 11:09:27 

Кроме нижней части и веб-адресов на Tor-сайты, сама "инструкция" была заимствована вымогателями у криптовымогателя CryptoWall. 

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены с сильным шифрованием RSA-2048. 
Более подробную информацию о ключах шифрования с использованием RSA-2048 можно найти здесь: хттп://en.wikipedia.org/wiki/RSA_(cryptosystem) 
Что это значит?
Это означает, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете их восстановить. 
Как это произошло?
Специально для Вас, на нашем сервере был создан секретный ключ пары RSA-2048 - открытый и секретный. 
Все ваши файлы были зашифрованы с помощью открытого ключа, который был передан на компьютер через Интернет. 
Дешифровать файлы можно лишь с помощью секретного ключа и декриптера, находящихся на нашем секретном сервере. 
Что мне делать?
Увы, если вы не примите нужные меры за определенное время, то будут изменены условия для получения секретного ключа. 
Если вы точно цените ваши данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет. 
Для подробных инструкций, пожалуйста, посетите страницу:
1.хттп://vswefkqsipoeuq5o.onion.nu 
Пожалуйста, прокрутите ниже для вашего #UUID
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите Tor-браузер: хттп://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации. 
3. Введите в адресной строке: vswefkqsipoeuq5o.onion
4. Следуйте инструкциям на сайте.
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша веб-страница: хттп://vswefkqsipoeuq5o.onion.nu
Ваша веб-страница (с помощью TOR): vswefkqsipoeuq5o.onion 
Пожалуйста, прокрутите ниже для вашего #UUID
Ваш #UUID это EFTK8odtw47RMslfhDWV2iL6c
Гарантированное восстановление до запланированного удаления секретного ключа до дня 01/01/2016 11:09:27
Цена за декриптер будет от 500 $ до 1000 $ в день 12/12/2015 11:09:27


Скриншот сайта оплаты

Содержание текста со страницы сайта оплаты:
Instructions to unlock your files / data:
1. Download and install the Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins. (check DECRYPT_INSTRUCTION.HTML for correct amount based on date) and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed earlier. From there, hit the "Send" tab Send the remaining BTC (bitcoin) to our Bitcoin-wallet address:
1Pw1Jin***
Now submit the form below, only if you've actually sent the Bitcoins Upon manual verification of the transaction you will receive the decrypter through email within 12 hours ALL of your files/data will then be unlocked and decrypted automatically.
Do NOT move files around or try to temper them in any way. because the decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again! If payment is not received within ten days (check DECRYPT_JNSTRUCTION HTML for date) the price for the decrypter is doubled Scheduled deletion of the key is after 30 days, we will not be able to recover files after this.
Your
BTC-address:
Your ID:
Your Email:
Submit

Перевод текста со страницы сайта оплаты:
Инструкции по разблокировке ваших файлы / данных:
1. Загрузите и установите приложение Multibit. Это даст вам свой адрес Bitcoin-кошелька. Вы можете найти его на вкладке "Request". Вставить это в поле "Your BTC-address" ниже.
2. Купите биткоины. (Проверьте в DECRYPT_INSTRUCTION.HTML корректность суммы по дате) и отправьте их на свой адрес Bitcoin-кошелька, они отобразятся в приложении Multibit, что вы установили ранее. Оттуда нажмите "Send" для отправки оставшихся BTC (Bitcoin) на адрес нашего Bitcoin-кошелька:
1Pw1Jin***
Теперь заполните форму ниже, только если вы уже послали биткоины после ручной проверки, из
сделки вы получите декриптер по email в течение 12 часов, все ваши файлы / данные будут
разблокированы и расшифрованы автоматически.
НЕ перемещайте файлы или пытайтесь их поправить каким-либо образом, потому что декриптер больше не будет работать
Пожалуйста, помните, что это единственный способ, чтобы снова получить доступ к вашим файлам! Если платеж не получен в течение десяти дней (проверьте DECRYPT_JNSTRUCTION HTML по дате) цена на декриптер удваивается, по расписанию удаление ключа через 30 дней, мы не сможем восстановить файлы после этого.
Ваш BTC-адрес:
Ваш ID:
Ваш Email:
Отправить

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd,.pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (450 расширений).
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
README.txt
DECRYPT_INSTRUCTION.html
DECRYPT_INSTRUCTION.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***vswefkqsipoeuq5o.onion
***lgemfolpt5ntjaot.onion

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up on BC
 ID Ransomware (ID PowerShell Locker)
 Topic on BC
 *
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *