33 ответов в этой теме

[v.martyanov]

Тема создана для сбора информации и выдачи рекомендаций по трояну-энкодеру. Отличительные признаки: к файлам добавилось новое расширение .STOP, контактные email'ы - razshifrovka@gmail.com и razshifrovka@tormail.org. Если ХОТЬ ОДИН признак отличается - создавайте новую тему, ваши сообщения в этой теме будут удаляться!

 

По состоянию на 11:00 (MSK) 14.05.2013 состояние следующее:

РАСШИФРОВКА НЕВОЗМОЖНА. Точнее, возможна расшифровка только отдельных кусков файлов. Причина: пароль в троян вводится РУКАМИ. На пораженной машине НЕ СОХРАНЯЕТСЯ. Шифрование - XOR + Blowfish, так что расшифровка возможна только для отдельных кусков. Распространяется, судя по всему, через незакрытые средства удаленного администрирования. В первую очередь - RDP.

 

Рекомендации:
1. Прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ зашифрованный doc/xls-файл в категорию Запрос на лечение.

Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. Если ответа нет больше 1 рабочего дня - в этой теме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
2. Обратиться в полицию с заявлением о совершении преступления.

3. Озаботиться информационной безопасностью ваших машин.

Сообщение было изменено v.martyanov: 14 Май 2013 - 12:38

[Maximusukr]

В дополнение к

13/05/2013

19:13

drweb.com #4072717

 

о! Я нашел зашифрованный и doc и xls-файл с расширением .STOP. Мне его лучше с новым номером запроса отправить через https://vms.drweb.com/sendvirus/ или чтоб не плодить новых номеров запроса на одно и то же мыло,  по почте отправить, отвечая на первое письмо с о старым номером запроса в теме?

[v.martyanov]

а не зашифрованные файлы помочь могут?

Не могут.

[v.martyanov]

Все написано. Читайте.

[VVZar]

покопавшись в файлах вредоюзера, зашедшего через RDP и заразившего машину, нашел следы в sessionstore.js:

 

время изменения файла совпадает по времени с шифрованием файлов минута в минуту и там только одна сессия:

 

 {"windows":[{"tabs":[{"entries":[{"url":"http://upwap.ru/3106771","title":"Файл «runtime.zip»","ID":0,"docshellID":5,"docIdentifier":0},{"url":"http://upwap.ru/3106771?sid=bo3j6br3ln19ukbl6tcf3d9jl5","title":"Файл «runtime.zip»","cacheKey":1368363979,"ID":1,"docshellID":5,"referrer":"http://upwap.ru/3106771","docIdentifier":1,"scroll":"0,0"}],"index":2,"hidden":false,"attributes":{"image":"http://upwap.ru/favicon.ico"}}],"selected":1,"_closedTabs":[],"width":837,"height":540,"screenX":114,"screenY":0,"sizemode":"normal","cookies":[{"host":"upwap.ru","value":"bo3j6br3ln19ukbl6tcf3d9jl5","path":"/","name":"sid"}],"title":"Файл «runtime.zip»","_shouldRestore":true}],"selectedWindow":0,"_closedWindows":[],"session":{"state":"stopped","lastUpdate":1368364673925,"startTime":1368363974993,"recentCrashes":0},"scratchpads":[]}

 

подозреваю, что в файле runtime.zip мог содержаться сам троян и пакетный файл запуска, с запросом ключа, но архив "запаролен". файл из сессии я выкачал повторно благо сохранился sid, увы проверить не могу, нет возможности подобрать пароль на архив.

 

На данный момент файл уже удален из обменника.

В архиве два файла - Run.bat и yupdate.exe.

и судя по размеру и имени  исполняемого файла yupdate.exe - это мог быть просто чекер обновлений Яндекса. точный размер 408064 байт  CRC32 - B22E332C

 

Есть у кого-нибудь совпадения?

[v.martyanov]

Ну троян это, троян.

[Sufix]

runtime.zip

 

пароль на runtime.zip

75757575

[VVZar]

а что за код в батнике? это не тот пароль, что ручками вбивается в этот троян? может поможет для расшифровки? похоже, что некий скрипт после получения переменной с паролем, создает батник с этой переменной, сохраняет вместе с телом трояна в архив и выкладывает в автоматическом режиме на обменнике, т.к. я на том обменнике капчи особой не заметил. потом через некоторое время файл с обменника удаляется.

и пока этого не произошло, можно данные вернуть, я прав?

 

Исполняемый файл упакован и зашифрован? Можно декомпилировать?

 

Кстати, было бы интересно посмотреть текст скрипта, который всю эту гадость делает

[v.martyanov]

Код в батнике нужен для запуска трояна. Без него просто не запустится.

Кстати да: давайте без обмена троянами на форуме. Тем более что расшифровку даже с ними не сделать.

Сообщение было изменено v.martyanov: 14 Май 2013 - 14:47

[kenny_rim]

[drweb.com #4074333].
 

У меня вопрос ко всем: Среди пострадавших есть домашние ПК, или все поголовно покомпьютерно работающие в организациях(предприяниях, фирмах)?

[VVZar]

система Windows 2003 server. в логах системы были долговременные попытки подбора пароля к RDP с разных адресов. в день захода вредителя попыток подбора не было, зашли сразу, сделали черное дело. но у нас, думаю, целенаправленно постарались (был мотив)

Есть адрес - откуда зашли, но скорее всего  это прокси, европейский диапазон.

[bdv]

система Windows 2003 server. в логах системы были долговременные попытки подбора пароля к RDP с разных адресов. в день захода вредителя попыток подбора не было, зашли сразу, сделали черное дело. но у нас, думаю, целенаправленно постарались (был мотив)

Есть адрес - откуда зашли, но скорее всего  это прокси, европейский диапазон.

У меня лежит две фирмы с 1С сервера на базе win2003

[kenny_rim]

моя ОС Win2003Server R2 Enterprise Edition SP2
подбора пароля не заметил, мой пароль был типа 897Qz657 и тем не менее залогинились по RDP(есть подозрение, что ктото из юзеров

накануне письмо злокачественое открыл, сработал скрипт передал мой ip и инфу из C:\WINDOWS\system32\config\SAM, но это сугубо мои догадки)

в день атаки (13,05,2013)заходили с ip 95.143.193.61

за три дня(10,05,2013) с с ip 78.159.115.158

есть подозрение что 10,05,2013 скрипт по какойто причене у них не отработал

[VVZar]

по ходу все 

 

моя ОС Win2003Server R2 Enterprise Edition SP2
подбора пароля не заметил, мой пароль был типа 897Qz657 и тем не менее залогинились по RDP(есть подозрение, что ктото из юзеров

накануне письмо злокачественое открыл, сработал скрипт передал мой ip и инфу из C:\WINDOWS\system32\config\SAM, но это сугубо мои догадки)

в день атаки (13,05,2013)заходили с ip 95.143.193.61

за три дня(10,05,2013) с с ip 78.159.115.158

есть подозрение что 10,05,2013 скрипт по какойто причене у них не отработал

 

Теже айпи адреса были и в моем случае, атака была с 95.143.193.61, а сбор информации с 78.159.115.158

 

первый заход был случайно не в? : 

  

 

 

Тип события: Аудит успехов

Источник события: Security

Категория события: Вход/выход 

Код события: 528

Дата: 10.05.2013

Время: 18:53:01

 

  Код входа: (0x3,0x815C902D)

  Тип входа: 10

  Процесс входа: User32  

  Пакет проверки: Negotiate

 

  Код входа вызывающего: (0x0,0x3E7)

  Код процесса вызывающего: 316096

  Промежуточные службы:-

  Адрес сети источника: 141.170.252.139

  Порт источника: 56337

 

второй вход :

 

 

 

 

Тип события: Аудит успехов

Источник события: Security

Категория события: Вход/выход 

Код события: 552

Дата: 10.05.2013

Время: 19:35:12

 

Попытка входа с явным указанием учетных данных:

 Вошедший пользователь:

 

  Код входа: (0x0,0x3E7)

 

 Имя целевого сервера: localhost

 Данные целевого сервера: localhost

 Код процесса вызывающего: 326984

 Адрес сети источника: 78.159.115.158

 Порт источника: 50641

 

третий вход:

 

 

 

Попытка входа с явным указанием учетных данных:

 

  Код входа: (0x0,0x3E7)

 

 Имя целевого сервера: localhost

 Данные целевого сервера: localhost

 Код процесса вызывающего: 751668

 Адрес сети источника: 95.143.193.61

 Порт источника: 52124

 

и последний: 

 

Тип события: Аудит успехов

Источник события: Security

Категория события: Вход/выход 

Код события: 552

Дата: 12.05.2013

Время: 16:17:13

Пользователь: NT AUTHORITY\SYSTEM

Попытка входа с явным указанием учетных данных:

 Вошедший пользователь:

 

  Код входа: (0x0,0x3E7)

 

 Имя целевого сервера: localhost

 Данные целевого сервера: localhost

 Код процесса вызывающего: 751668

 Адрес сети источника: 95.143.193.61

 Порт источника: 52124

 

 

 

и первые файлы РАСШИФРОВКА.txt появились в профиле пользователя в 16:18 12.05.13г.

 

атакующий воспользовался браузером firefox для скачивания тела трояна.

и обменником upwap.ru для скрытия источника происхождения трояна.

[DrWebFAN]

Та же фигня. Win2k3 SP2. Тоже остался след до файла runtime.zip. Заходили с ip 95.143.193.61, это шведский прокси. Говорят, что лучше заплатить, т.к. без пароля если и удастся расшифровать, то не всё и дороже. Буду заново заполнять пустую базу 1с, повезло, что это возможно. Денег платить уродам не буду принципиально...

[VVZar]

 

(есть подозрение, что ктото из юзеров

накануне письмо злокачественое открыл, сработал скрипт передал мой ip и инфу из C:\WINDOWS\system32\config\SAM, но это сугубо мои догадки)

 

 

В моем случае за машиной никто не работает, и тем более почту не открывает. используется сугубо как файловый сервер с доступом для администрирования по RDP.

 

Разный способ сбора инфы.. Сначала сбор жертв по принципу открытых портов RDP, запуска трояна пользователями на каком нибудь сайте и сканированием внутренней сети и компов жертв на наличие учетных данных для удаленного доступа по RDP и бог знает с помощью чего еще. Затем проверка доступности жертв по списку на основе полученных данных, и потом сама атака.

[VVZar]

думаю, только через владельцев прокси и файлообменников можно попробовать отследить цепочку, но там хостов промежуточных может быть сколько угодно, и не факт, что делалось все не с ботов-жертв.

взять таких умников имхо можно только умниками из силовиков на живца, с помощью одной из жертв и сотрудничая с посредниками передачи электронных денежных средств. деньги отследить можно практически всегда если подготовиться заранее. но это уже не наша забота и не тема данного обсуждения. Всем пострадавшим сочувствую. 

 

Также есть шанс, что пароль у всех может быть одинаковый (сужу из автоматизации атаки)

Сообщение было изменено VVZar: 14 Май 2013 - 16:50

[Maximusukr]

у меня тоже Win2003Server R2 SP2 и RDP и 1С. Давайте лучше подумаем, как нам это может помочь и что можно использовать для нашей пользы... И о будущем подумаем, защитив себя и других от наступания на эти грабли.

[mrbelyash]

Пишите заяву!

[VVZar]

у меня тоже Win2003Server R2 SP2 и RDP и 1С. Давайте лучше подумаем, как нам это может помочь и что можно использовать для нашей пользы... И о будущем подумаем, защитив себя и других от наступания на эти грабли.

 

У меня все просто: Пострадала только часть данных, так как у взломанного пользователя, были ограничены мною права. без нужды лишние не давал. Так что бОльшая часть данных и вся система не пострадали. Особенно рад, что на диск с бэкапами у пользователя доступа не было.