Да уж интересная софтина попалась, поймали сегодня на одной машине в сети.
В итоге имеем много зашиф
Попробую подвести итог:
Заражение
Сначала пользователь получает письмо с сообщением о выписке из налоговой / счетчика воды / счета за консультант плюч.
В письме была ссылка на вложенный файл с ресурса download-attach.com. (хостинг вроде оплачен биткоином) В архиве по этой ссылке самое интересное имеется обфусцированный js файл, с очень подробным именем.
При его запуске в %TEMP% пользователя появляется несколько файлов и в автозагрузку прописывается скрипт для запуска revault.js
Вот некоторые файлы, которые удалось идентифицировать:
svchost.exe - основной бинарник gnupg
iconv.dll - общая библиотека для работы gnupg
audiodg.exe - sDelete из комплекта Sysinternals Suite
Исполнение
В нашем случае при запуске компьютера запустился скрипт revault.js который запустил bat файл cryptlist.cmd. Здесь небольшая нить потерялась
Потом запустился secured.bat в нем и творится все самое темное.
Сначала программа генерирует сертификат для шифрования файлов на компьютере с именем gk.vlt (Cellar / RSA / 1024 bit)
Потом экспортирует из него закрытый ключ, необходимый для расшифровки файлов в файл vaultkey.vlt
Потом создает публичный ключ pk.vlt, он предопределен в самом bat файле. С помощью этого файла в дальнейшем будет зашифрован ключ, необходимый для расшифровки ваших данных.
Далее в vaultkey.vlt записываются
BDATE - текущая дата
UNAME - текущее имя пользователя
CNAME - имя компьютера
ULANG - язык системы (в данном случае он прописан RU)
И несколько случайных хэшей 01HSH 02HSH 03HSH 04HSH 05HSH FHASH
Шифрование
Далее начинается шифрование файлов.
Файлы шифруются ключом, который сгенерирован на Вашей машине, и пока еще есть возможность расшифровать данные.
Диски обходятся по алфавиту от A до Z
Шифрование файла с заменой выглядит так
1 - Шифрование файла
2 - Перемещение шифрованного файла на место ориганала
3 - Добавление расширения .vault к файлу
На 1 этапе шифруются *.xls и *.doc файлы.
На 2 этапе создается и запускается файлы win.vbs, sdwrase.js, sdwrase.cmd, которые отключает теневое копирование в системе, если система Vista и выше
И шифруются *.pdf *.rtf файлы.
На 3 этапе шифруются *.psd *.dwg *.cdr файлы.
На 4 этапе шифруются *.cd *.mdb *.1cd *.dbf *.sqlite файлы.
На 5 этапе шифруются *.jpg *.zip файлы.
Каждый файл считается, потом количество зашифрованных файлов каждого типа файлов записывается в vaultkey.vlt
(Видимо для общей оценки зашифрованных данных)
Далее ключом злоумышленника шифруется ваш приватный ключ и собранная информация о количестве данных.
После чего ваш ключ, необходимый для расшифровки данных удаляется с 16 (!) кратной перезаписью.
Далее на рабочий стол помещается ваш закрытый ключ, зашифрованный ключем злоумышленника.
Круг замкнулся.
Ваши файлы зашифрованы, вашим ключем, а ваш ключ зашифрован ключем злоумышленника.
Потом создаются файлики с оповещениями.
Сайт
Сайт злоумышленников хостится в анонимной сети TOR и отличается высокой технологичностью, для такого рода "проектов"
Здесь есть полноценный личный кабинет и "демо версия" на 3 файла, которая со стороны злоумышленника расшифровать загруженный вами файл и скачать его с их сервера. НО, перед открытием Вам доступак файлу, его в ручном режиме просмотрит злоумышленник и если посчитает файл важным, то доступа к тему вы не получите, об этом Вам сообщат.
Есть даже раздел помощи
Оплата только биткоинами.
Также можно поговорить с автором. Уговоры и угрозы бесполезны. Злоумышленник может закрыть вам возможность чата.
Надеюсь эта информация поможет другим перекрыть способы распросранения вируса.
(мы у себя зарубили на проксе адрес, с которого грузился аттач к письму)
На этом у меня Все.
Файлы мы так и не восстановили.