Вирусы - шифровальщики

Вирусы, шифрующие пользовательские данные (Trojan.Encoder и аналоги). Эти вирусы, попадая на компьютер пользователя, шифруют его документы и выводят требование оплатить расшифровку. Для большинства модификаций вируса у антивирусных компаний есть специальные утилиты, позволяющие восстановить документы. Но, увы, не для всех.

 

 

Вирусы-шифровальщики, или по другому их еще называют - криптографические вирусы - особый вид программного обеспечения, который осуществляет шифрование всех файлов на жестком диске. Что подразумевается под словом "шифрование"? При шифровании все файлы превращаются в набор нулей и единиц, то есть представляют собой бессмысленный набор информации, который невозможно открыть ни одной программой.

Это означает, что после шифрования, все файлы Word, Excel и прочие рабочие документы будет невозможно открыть и получить к ним доступ. А если в этих файлах находится ваша курсовая работа, которую вы так старательно выполняли в течении всего месяца? Возмущения от шифрования ваших данных не будет предела, скажу я вам. А если учесть, что большинство студентов хранит свои работы в чаще в одном экземпляре - на рабочем компьютере, то после шифрования жесткого диска того самого рабочего компьютера, студент теряет все наработки по документам. Не спорю, может повезти, если копия курсовой осталась на флешке, однако, есть еще весьма хитрый факт работы вирусов шифровальщиков.

Как и любой вирус, функции, который он выполняет - зависят напрямую от разработчика этого вируса. Что я имею ввиду под функциями? Приведу пример.

После шифрования жесткого диска и всех файлов на нем - вирус сразу не выдает себя. То есть, вы спокойно продолжаете открывать все свои документы и изменять их. При этом, во время правки - вы пользуетесь флешкой, на которой эти документы также есть. Что делает в этом случае вирус-шифровальщик? Вирус отслеживает все устройства, которые вы подсоединяете к USB портам: флешки, медиа-устройства - и постепенно шифрует на них информацию. После некоторого времени, вирус активизируется и блокирует доступ ко всем файлам на компьютере, в том числе успев зашифровать данные и на ваших флешках.

2911 1ru14 119338

 

 

 

Trojan.Encoder в вирусной библиотеке:

Семейство троянских программ, шифрующих файлы на компьютерах пользователей и требующих деньги за их расшифровку. Способны шифровать самые разнообразные типы файлов: архивы, изображения, документы, музыку, фильмы и многие другие (например: .rar, .zip, .arj, .jzip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, .mht, .bas, .cdx, .psw, .txt, .php и т.п.).

После того, как файлы зашифрованы, вредоносные программы Trojan.Encoder, в зависимости от модификации, могут помещать во все каталоги текстовые файлы с информацией по восстановлению данных, либо менять фон рабочего стола на изображение с указанием дальнейших инструкций. Сумма, требуемая злоумышленниками для расшифровки, может варьироваться от нескольких десятков до нескольких тысяч долларов.

Если вы стали жертвой одной из таких вредоносных программ, ни в коем случае не переводите деньги киберпреступникам и не пытайтесь самостоятельно устранить последствия заражения (не переустанавливайте операционную систему и не удаляйте никаких файлов на вашем компьютере) т.к. при этом существует высокая вероятность безвозвратной потери данных.

 

Рассмотрим несколько разновидностей Trojan.Encoder:

Trojan.Encoder.102

Троянец-шифровальщик, написан на языке Delphi. Первые версии были обнаружены в апреле 2011 года, с тех пор регулярно появляются новые модификации. Выполняет шифрование файлов пользователя с помощью алгоритма RSA, что делает крайне сложной полноценную расшифровку без закрытого ключа. Также в силу использования в коде троянца 32-битной переменной, энкодер записывает свою информацию в начало файлов объемом выше 4 Гбайт, что приводит к их порче и невозможности их восстановления. Также в файл добавляются несколько блоков «мусорных данных» с шагом в 0x400 байт.

blockEncoder.102.1

Информацию для расшифровки файлов троянец сохраняет в конце файла в виде блока шестнадцатеричных данных.

Как правило, данный шифровальщик не меняет имена файлов, текст с требованиями выкупа за расшифровку информации размещает на Рабочем столе Windows. В качестве контактов могут быть указаны следующие: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра., Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра., Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра., Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра., Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра., Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.,Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Trojan.Encoder.277

Для обеспечения автозапуска и распространения:

    Модифицирует следующие ключи реестра:
  • [\Software\Microsoft\Windows\CurrentVersion\Run] 'winrar' = '\winrar.exe'

Вредоносные функции:

    Ищет следующие окна с целью обнаружения утилит для анализа:
  1. ClassName: 'PROCMON_WINDOW_CLASS' WindowName: '(null)'
  2. ClassName: 'RegMonClass' WindowName: '(null)'
  3. ClassName: 'FileMonClass' WindowName: '(null)'

Изменения в файловой системе:

    Создает следующие файлы:
  • \winrar.rar
  • \winrar.exe
  • %ALLUSERSPROFILE%\Application Data\TEMP\RAIDTest

Другое:

    Ищет следующие окна:
  • ClassName: 'Indicator' WindowName: '(null)'
  • ClassName: 'Shell_TrayWnd' WindowName: '(null)'

Trojan.Encoder.398

Троянец-шифровальщик, написанный на языке Delphi, является, по всей видимости, развитием вредоносной программы Trojan.Encoder.225. Ключи для шифрования получает с сервера злоумышленников.

При первом запуске копирует себя в папку %APPDATA%\ID\ с именем ID.exe, где ID — серийный номер жесткого диска. Затем демонстрирует на экране сообщение о том, что архив поврежден, и запускает скопированный файл с каталогом по умолчанию C:\, после чего завершается.

Второй запущенный экземпляр троянца проверяет наличие каталога %APPDATA%\ID, получает серийный номер жесткого диска и отправляет его на сервер при помощи функции InternetOpenUrlA. В ответ троянец получает от сервера конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов (параметр ext).

После инициализации переменных начинается шифрование файлов. Шифрует только фиксированные диски (DRIVE_FIXED). Не шифрует файлы в следующих каталогах:

$RECYCLE.BIN, Windows,Program Files (x86), Program Files, Games, ProgramData, UpdatusUser, AppData, Application Data, Cookies, Local Settings, NetHood, PrintHood, Recent, SendTo, Главное меню, Поиски, Ссылки, System Volume Information, Recovery, NVIDIA, Intel, DrWeb Quarantine, Config.Msi, All Users, Все пользователи.

Сохраняет в каждом каталоге файл 'КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt' со следующим содержимым:

Все ваши файлы были зашифрована криптостойким алгоритмом.

Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.

Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.

Для покупки дешфратора напишите на наш email - Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.

Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.

Email для связи с нами - Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Троянец содержит в себе обширный список расширений файлов, которые подвергаются шифрованию:

ak|.BAK|.rtf|.RTF|.pdf|.PDF|.mdb|.MDB|.b2|.B2|.mdf|.MDF|.accdb|.ACCDB|.eap|.EAP|.swf|.SWF|
.svg|.SVG|.odt|.ODT|.ppt|.PPT|.pptx|.PPTX|.xps|.XPS|.xls|.XLS|.cvs|.CVS|.dmg|.DMG|.dwg|.DWG|
.md|.MD|.elf|.ELF|.1CD|.1cd|.DBF|.dbf|.jpg|.JPG|.jpeg|.JPEG|.psd|.PSD|.rtf|.RTF|.MD|.dt|.DT|
.cf|.CF|.max|.MAX|.dxf|.DXF|.dwg|.DWG|.dds|.DDS|.3ds|.3DS|.ai|.AI|.cdr|.CDR|.svg|.SVG|
.txt|.TXT|.csv|.CSV|.7z|.7Z|.tar|.TAR|.gz|.GZ|.bakup|.BAKUP|.djvu|.DJVU|

Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):

  1. DES
  2. RC2
  3. RC4
  4. RC5
  5. RC6
  6. 3DES
  7. Blowfish
  8. AES (Rijndael)
  9. ГОСТ 28147-89
  10. IDEA
  11. Tea
  12. CAST-128
  13. CAST-256
  14. ICE
  15. Twofish
  16. Serpent
  17. MARS
  18. MISTY1

Способ шифрования выбирается исходя из значения параметра, получаемого в конфигурационном XML-файле.

После первоначального цикла шифрования всех дисков запускает второй цикл, в котором шифрует базы данных 1С в каталогах Program Files и Program Files (x86).

Список расширений шифруемых файлов:

|.dbf|.DBF|.1cd|.1CD|.dt|.DT|.md|.MD|.dds|.DDS|

Помимо описанной выше версии троянца существует еще несколько модификаций данной вредоносной программы:

    1. C использованием адреса электронной почты Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Размещает на диске файл с сообщением от вымогателей следующего содержания:

Ваши файлы зашифрованы.
Расшифровать файлы можно, купив дешифратор и уникальный для вашего компьютера пароль.
Стоимость дешифратора 5000 рублей, чтобы купить дешифратор напишите нам на email - Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра..
Если вам нужно убедится в нашей возможности расшифровки файлов, можете приложить к письму любой, кроме баз данных файл и мы вышлем его оригинальную версию.

    1. С использованием адреса электронной почты Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра..
        При первом запуске записывает в ключ реестра Software\ENCRYPTOR следующие параметры:
      • files — путь к текстовому файлу, содержащему список всех зашифрованных файлов
      • hid — серийный номер жесткого диска
      • inst — флаг установки (true/false)
      • mg — путь к html-файлу с требованиями злоумышленников
      • p — путь к исполняемому файлу энкодера
      • w — путь к графическому файлу с требованиями злоумышленников

      Размещает в папке автозагрузки HTML-файл с текстом следующего содержания:

      Все ваши файлы были зашифрованы с помощью криптостойкого алгоритма!
      Расшифровать ваши файлы не зная уникальный для вашего ПК пароль невозможно!
      Любая попытка изменить файл приведет к невозможности его восстановления!
      Стоимость дешифратора 5000 рублей.
      Купить дешифратор и пароль для расшифровки можно написав нам на email:
      Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
      Если Вы хотите убедится в возможности восстановления ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы его расшифруем.

      В качестве обоев Рабочего стола Windows устанавливает следующее графическое изображение:

      Список расширений шифруемых файлов:

      *.odt,*.ods,*.odp,*.odb,*.doc,*.docx,*.docm,*.wps,*.xls,*.xlsx,*.xlsm,*.xlsb,*.xlk,*.ppt,*.pptx,*.pptm,
      *.mdb,*.accdb,*.pst,*.dwg,*.dxf,*.dxg,*.wpd,*.rtf,*.wb2,*.mdf,*.dbf,*.psd,*.pdd,*.eps,*.ai,*.indd,*.cdr,
      *.jpg,*.jpeg,*.arw,*.dng,*.3fr,*.srf,*.sr2,*.bay,*.crw,*.cr2,*.dcr,*.kdc,*.erf,*.mef,*.mrw,*.nef,*.nrw,*.orf,
      *.raf,*.raw,*.rwl,*.rw2,*.r3d,*.ptx,*.pef,*.srw,*.x3f,*.der,*.cer,*.crt,*.pem,*.p12,*.p7b,
      *.pdf,*.p7c,*.pfx,*.odc,*.rar,*.zip,*.7z,*.png,*.backup,*.tar,*.eml,*.1cd,*.dt,*.md,*.dds
    2. С использованием адреса электронной почты Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра..

При запуске демонстрирует на экране сообщение «Файл поврежден». Создает в системном реестре Windows ключ HKCU\Software\LIMITED, в котором сохраняет следующие параметры:

      • pth — путь к исполняемому файлу троянца
      • installd (возможное значение — true)
      • wall — путь к графическому файлу с требованиями злоумышленников
      • msge — путь к html-файлу с требованиями злоумышленников.
        Этот путь троянец также сохраняет в ветви системного реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
      • files — путь к текстовому файлу с требованиями злоумышленников
      • huid — идентификатор инфицированного компьютера

Сохраняет файлы со случайным именем в подпапках директории %APPDATA%, имена которых также назначаются случайным образом.

  1. С использованием адреса электронной почты Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра..

    Размещает в папке автозагрузки HTML-файл с текстом следующего содержания:

    Все ваши файлы были зашифрованы с помощью одного из криптостойких алгоритмов!!!
    Расшифровать файлы не зная уникальный для вашего компьютера пароль невозможно!
    Любая попытка изменить файл приведет к невозможности его восстановления!
    Стоимость дешифратора 5000 рублей.
    Купить дешифратор и пароль для расшифровки можно написав нам на email:
    Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
    Если хотите убедится в возможности расшифровки ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы вышлем его оригинал.

    В качестве обоев Рабочего стола Windows устанавливает следующее графическое изображение:

  2. С использованием адреса электронной почты Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра..

    Размещает в папке автозагрузки HTML-файл с текстом следующего содержания:

    Все ваши документы были зашифрованы одним из криптостойких алгоритмов. Расшифровать файлы не зная уникальный для вашего ПК пароль и тип шифрования невозможно!
    Не пытайтесь изменять название, структуру файлов или расшифровывать файлы различными дешифраторами выложеными в сети, это приведет к невозможности их восстановления.
    Стоимость дешифратора для ваших файлов 5000 рублей.
    Купить дешифратор и пароль для расшифровки можно связавшись с нами по email:
    Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
    Если вам нужно убедится в возможности расшифровки ваших файлов, прикрепите к письму какой-нибудь зашифрованный файл и мы вышлем его оригинальную версию.

    В качестве обоев Рабочего стола Windows устанавливает следующее графическое изображение: