Перейти к содержимому


Фото
- - - - -

Шифровальщик .vault


  • Закрыто Тема закрыта
536 ответов в этой теме

#241 Владимир Сегодин

Владимир Сегодин

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 08 Март 2015 - 18:40

 

Словили данное творение 03 марта. Зашифровал документы с 2002-2009 годов в общем старье. Выставили счет на 130 usd, написал что готов на 10%, сказали "До свидания", чат заблокировали. Это у них констуртивный диалог. Видима экономическая часть проекта трещит по швам. Надо же как то деньги затрясенное отбивать. Да подавитесь! Большая часть востанавливается или не представляет ценности!

У нас подобный опыт... Но вот только документы пострадали за 2014-15 год. И их много(

После 2 часов общения с вымогателями, сошлись на цене в 200 долларов за ключ (минус 20 процентов от начальной цены).

 

Пришлось платить... Хорошо хоть восстановили все успешно, хотя дешифрование заняло добрых 4 часа.

 

Поразил их сайт. Сложная система... Жаль, что работает во вред людям. И, очевидно, они сами русские. Могли бы уже своих не трогать...

 

а что с полицией? Вы же обращались?

 

хотя сайт действительно интересный...но какая разница - трогать своих или чужих? Преступление в любом случае.

 

Кстати, у меня дешифрование вообще заняло больше 5 часов))



#242 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 08 Март 2015 - 18:49

Поразил их сайт. Сложная система... Жаль, что работает во вред людям. И, очевидно, они сами русские. Могли бы уже своих не трогать...

А кого тогда?

"Западники" - неудобные клиенты:

  1. Побегут в полицию.
  2. Полиция работает несколько по другому.

Сообщение было изменено VVS: 08 Март 2015 - 18:49

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#243 username500

username500

    Newbie

  • Posters
  • 88 Сообщений:

Отправлено 08 Март 2015 - 19:43

а что с полицией? Вы же обращались?

Сохраните на всякий случай все данные об оплате, в том числе из личного кабинета - номер счёта и по ссылкам оттуда разные "Bitcoin Taint Analysis".

Отработают шитьём варежек, как Ходорковский :)



#244 Vadim2015

Vadim2015

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 09 Март 2015 - 12:33

А как вам такое:

Заходить с обычного браузера:

 

https://restoredz4xpmuqr.onion.cab/

 



#245 Vadim2015

Vadim2015

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 09 Март 2015 - 12:40

А как вам такое:

Заходить с обычного браузера:

 

https://restoredz4xpmuqr.onion.cab/

 

еще : https://onion.cab/ и внутрь restoredz4xpmuqr.onion

 



#246 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 09 Март 2015 - 13:59

да, эти ребаята попьют еще немало крови со смесью из btc из корпоративных юзеров.

 

особой сложности здесь конечно нет.
в VAULT.KEY помимо приватного ключа, который нужен для расшифровки документов,
добавлена инфо: о компьютере, пользователе, дате шифрования, количестве зашифрованных файлов.
своим ключом они это все расшифровывают и достают secring.gpg.

 

f787aa2b3dd7.jpg

теперь они могут показать свой фокус с гарантией расшифровки. загруженный файл будет автоматически расшифрован и показан.
после отправки CONFIRMATION.KEY, в котором зашифрован список всех документов будет автоматически создан декодер.
а после оплаты по счету, этот ключ (secring.gpg, без него декодер естественно работать не будет) и декодер будут доступны для скачивания.


Сообщение было изменено santy: 09 Март 2015 - 13:59


#247 username500

username500

    Newbie

  • Posters
  • 88 Сообщений:

Отправлено 09 Март 2015 - 14:40

У корпоративных юзеров бухгалтерия обычно в MS SQL, которые на лету не зашифруешь. И даже его бэкапы в списки шифруемых файлов не включены.

Впрочем потерять текущие не 1С документы тоже обидно и чревато убытками.

Но вариантов криминального дохода будет море после угона разных аккаунтов. Например продажа спама и адресных книг.

 

А про эту выдержку из википедии что скажете, может есть дырочки без затрат терафлопсов и гигаватт-часов электричества?: 

"Из-за низкой скорости шифрования (около 30 кбит/с при 512 битном ключе на процессоре 2 ГГц), сообщения обычно шифруют с помощью более производительных симметричных алгоритмов со случайным ключом (сеансовый ключ), а с помощью RSA шифруют лишь этот ключ, таким образом реализуется гибридная криптосистема. Такой механизм имеет потенциальные уязвимости ввиду необходимости использовать криптостойкий генератор случайных чисел для формирования случайного сеансового ключа симметричного шифрования и эффективно противостоящий атакам симметричный криптоалгоритм (в данное время широкое применение находят AES, IDEA, Serpent, Twofish)."

 

2010 год: "Причём от шифрования ключом длиной в 1024 бит стоит отказаться в ближайшие три-четыре года.[21]."

 

"С 31 декабря 2013 года браузеры Mozilla перестали поддерживать сертификаты удостоверяющих центров с ключами RSA меньше 2048 бит[22]"



#248 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 09 Март 2015 - 18:18

username500, гибридный механизм и используется, но с генератором там всё в порядке, с этой стороны не подкопаться

Отказ от 1024 обусловлен тем, что в ближайшие 5-10 лет может появиться возможность его ломать относительно быстро. На текущий момент если кто это и умеет, то держит своё умение в секрете. При правильной реализации RSA-1024 пока не вскрываем силами обычного физ/юр. лица.



#249 prog4food

prog4food

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 10 Март 2015 - 17:41

Да уж интересная софтина попалась, поймали сегодня на одной машине в сети.
В итоге имеем много зашиф
 
Попробую подвести итог:
 
Заражение

Сначала пользователь получает письмо с сообщением о выписке из налоговой / счетчика воды / счета за консультант плюч.
В письме была ссылка на вложенный файл с ресурса download-attach.com. (хостинг вроде оплачен биткоином) В архиве по этой ссылке самое интересное имеется обфусцированный js файл, с очень подробным именем.
При его запуске в %TEMP% пользователя появляется несколько файлов и в автозагрузку прописывается скрипт для запуска revault.js
 
Вот некоторые файлы, которые удалось идентифицировать:
svchost.exe - основной бинарник gnupg
iconv.dll - общая библиотека для работы gnupg
audiodg.exe -  sDelete из комплекта Sysinternals Suite

 
Исполнение

В нашем случае при запуске компьютера запустился скрипт revault.js который запустил bat файл cryptlist.cmd. Здесь небольшая нить потерялась
Потом запустился secured.bat в нем и творится все самое темное.
Сначала программа генерирует сертификат для шифрования файлов на компьютере с именем gk.vlt (Cellar / RSA / 1024 bit)
Потом экспортирует из него закрытый ключ, необходимый для расшифровки файлов в файл vaultkey.vlt
Потом создает публичный ключ pk.vlt, он предопределен в самом bat файле. С помощью этого файла в дальнейшем будет зашифрован ключ, необходимый для расшифровки ваших данных.

Далее в vaultkey.vlt записываются
BDATE - текущая дата
UNAME - текущее имя пользователя
CNAME - имя компьютера
ULANG - язык системы (в данном случае он прописан RU)
И несколько случайных хэшей 01HSH 02HSH 03HSH 04HSH 05HSH FHASH


Шифрование

Далее начинается шифрование файлов.
Файлы шифруются ключом, который сгенерирован на Вашей машине, и пока еще есть возможность расшифровать данные.
Диски обходятся по алфавиту от A до Z

Шифрование файла с заменой выглядит так
1 - Шифрование файла
2 - Перемещение шифрованного файла на место ориганала
3 - Добавление расширения .vault к файлу

На 1 этапе шифруются *.xls и *.doc файлы.
На 2 этапе создается и запускается файлы win.vbs, sdwrase.js, sdwrase.cmd, которые отключает теневое копирование в системе, если система Vista и выше
И шифруются *.pdf *.rtf файлы.
На 3 этапе шифруются *.psd *.dwg *.cdr файлы.
На 4 этапе шифруются *.cd *.mdb *.1cd *.dbf *.sqlite файлы.
На 5 этапе шифруются *.jpg *.zip файлы.

Каждый файл считается, потом количество зашифрованных файлов каждого типа файлов записывается в vaultkey.vlt
(Видимо для общей оценки зашифрованных данных)

Далее ключом злоумышленника шифруется ваш приватный ключ и собранная информация о количестве данных.
После чего ваш ключ, необходимый для расшифровки данных удаляется с 16 (!) кратной перезаписью.

Далее на рабочий стол помещается ваш закрытый ключ, зашифрованный ключем злоумышленника.
Круг замкнулся.

Ваши файлы зашифрованы, вашим ключем, а ваш ключ зашифрован ключем злоумышленника.


Потом создаются файлики с оповещениями.

Сайт


Сайт злоумышленников хостится в анонимной сети TOR и отличается высокой технологичностью, для такого рода "проектов"
Здесь есть полноценный личный кабинет и "демо версия" на 3 файла, которая со стороны злоумышленника расшифровать загруженный вами файл и скачать его с их сервера. НО, перед открытием Вам доступак файлу, его в ручном режиме просмотрит злоумышленник и если посчитает файл важным, то доступа к тему вы не получите, об этом Вам сообщат.

Есть даже раздел помощи :)

Оплата только биткоинами.
Также можно поговорить с автором. Уговоры и угрозы бесполезны. Злоумышленник может закрыть вам возможность чата.


Надеюсь эта информация поможет другим перекрыть способы распросранения вируса.

(мы у себя зарубили на проксе адрес, с которого грузился аттач к письму)

 

На этом у меня Все.
Файлы мы так и не восстановили. <_<



#250 username500

username500

    Newbie

  • Posters
  • 88 Сообщений:

Отправлено 10 Март 2015 - 20:03

download-attach.com.

ещё были сайты: 

attached-email.com

letter-attachment.com

по 4 доллара таких зеркал можно массу пооткрывать.

 

Уговоры и угрозы бесполезны.
Терпение и труд даже злых хакеров перетрут :)

Залезьте в недра JS и посмотрите, куда и как сливаются пароли из браузеров.

Заспамьте им чат и серверы.



#251 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 10 Март 2015 - 21:16

Флейм удалён.

Contact получает заслуженное предупреждение за флейм.

Модератор.


Сообщение было изменено VVS: 10 Март 2015 - 21:41

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#252 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 11 Март 2015 - 00:15

Если не можешь нападать-защищайся!

Продумайте стратегию защиты(антивирусы,политики,бекапы,обучение персонала).


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#253 username500

username500

    Newbie

  • Posters
  • 88 Сообщений:

Отправлено 11 Март 2015 - 00:46

1 что надо блокируйте данный js во всех его проявлениях

2 написали заявление, что дальше сеть анонимная ip адреса не просвечиваются только море ретрансляторов и посредников

1. а это кажется VBS переименованный. И его легко отредактировать, чтобы опять не обнаруживался.

Прибейте 2 файла подсистемы WSH. Можно и централизованно занести их в вирусные базы и выдавать особо нуждающимся сисадминам по талонам.

Перейдите на яндекс-ДНС (чтоб вирусо-хранящие сайты не открывались).

 

Запретите запуск любых .exe, которые не перечислены в политиках безопасности.

Свежие российские антивирусы тоже сильно уменьшают последствия данного вируса.

KAV не ловит его тырилку паролей (официальную хакерскую утилиту для вспоминания своих "забытых" паролей из браузеров), но зато подозрительное поведение эвристически пресекает (вроде бы).

 

 

2. В сотрудничестве с интерполом наверное можно все сервера тора с биткоинами изъять и прошерстить.

http://www.securitylab.ru/news/461664.php

Но пока данные высших и средних специальных органов власти не пострадают, "Рука Москвы" вряд ли дойдёт до такой массированной операции :)


Сообщение было изменено username500: 11 Март 2015 - 00:50


#254 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 11 Март 2015 - 08:12

Vadim2015, Вам устное предупреждение за флейм.

Модератор.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#255 prog4food

prog4food

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 11 Март 2015 - 09:17

Терпение и труд даже злых хакеров перетрут :)

Залезьте в недра JS и посмотрите, куда и как сливаются пароли из браузеров.

Заспамьте им чат и серверы.

 

Да. Совсем забыл написать про пароли с браузеров.

Пароли с браузеров

После создания файликов с обовещениями идет "бонус"

Создаются скрипты ultra.js и up.vbs.

Первый скачивает файл с шлюза tor2web по ссылке hxxp_//tj2es2lrxelpknfp.onion.city/p.vlt  и переименовывается в ssl.exe

Это дампер паролей Browser Password Dump v2.6 by SecurityXploded

Он сохраняет все ваши пароли с браузеров в файл cookie.vlt

Далее, второй файл запускает выгрузку ваших паролей на тот же сервер (POST скрипту /x.php)

Этот сервер обезличен так же, как и сервер для восстановления и оплаты (ничего лишнего в заголовках, строка Server: Anon)

 

Но антивирусы (DrWeb в их числе) вполне нормально идентифицируют этот файл и не дают ему запуститься, или же даже скачаться (если включен контроль http траффика)



#256 username500

username500

    Newbie

  • Posters
  • 88 Сообщений:

Отправлено 11 Март 2015 - 10:55

Далее, второй файл запускает выгрузку ваших паролей на тот же сервер (POST скрипту /x.php)
Этот сервер обезличен так же

Место-то у него небезгранично, заливайте туда фильмы переименованные.

 

Вообще пора "drweb security network" сплести, которая с согласия хозяев компьютеров сможет 10-20% скорости и трафика использовать как добрый ботнет.

Перебирать ключи, засылать гиги мусора на хакерские сайты и т.д.

 

По аналогии с "Your Torrent Client Might Be Mining Bitcoin" :)


Сообщение было изменено username500: 11 Март 2015 - 10:57


#257 HHH

HHH

    Massive Poster

  • Posters
  • 2 714 Сообщений:

Отправлено 11 Март 2015 - 13:47

username500, увы - это незаконно.



#258 Taradast

Taradast

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 11 Март 2015 - 15:06

Многие пишут что получилось вытащить свой приватный ключ еще до зашифровки его "ключом злыхнегодяев" и расшифровать полученным ключом свои файлы, расскажите пожалуйста подробнее (во всех красках) каким образом это удалось может вы спасете множество людей от вымогательства.
1. Как был добыт свой еще не зашифрованный и не удаленный приват кей?  (где лежал какое имя расширение)
2. Как он использовался? запускался exe злыхнегодяев (svhost.exe) или ставился какой то софт gpg (откуда брался)? с какими параметрами это все запускалось (например: gpg.exe /parametr1 "зашифрованный файл" /parametr2 "ключ" /parametr3 "куда ложить расшифрованный")
 



#259 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Март 2015 - 15:09

"gpg (откуда брался)" - проверьте настройки гугла, у вас явно с ними проблема, если не гуглится эта информация.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#260 Викторуни

Викторуни

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 11 Март 2015 - 16:11

Нужно заблокировать в настрйках роутера или прокси сервера обращение к адресу 162.255.119.254 (bitcoin хостинг этого трояна)




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых