Вирус Вини-пух или Trojan.Encoder.102

Вот , что мне принес знакомый с одной единственной картинкой которая открывалось на ноутбуке.

Как все было?

Позвонил, сказал, что подцепил вирус, сможешь помочь? На что я ему ответил привози посмотрим. Вот он наш родной вирус:

vinni_pux

 

В поисках интернета ничего интересного не нашел, кроме одной программы jpegrip122, которая мне помогла с картинками, а вот со всем остальным нет, так как файлы Office, тоже были заблокированы и не открывались.

Вот как мне помог мне Dr.Web:

Здравствуйте!

Судя по полученным файлам, в системе была запущена вредоносная программа Trojan.Encoder.102. Данный троян рассылается электронной почтой в виде электронного письма, имитирующего уведомление из банка или из судебных органов, с прикреплённым к письму файлом собственно трояна, а пользователь компьютера сам вручную запускает этот файл. Этот троян применяет сильное шифрование на основе алгоритма с открытым ключом (шифр типа RSA). Это практически невзламываемый на современном этапе развития математики и техники стойкий шифр, и без имеющейся только у разработчика данного трояна закрытой половины шифроключа расшифровка невозможна. Единственный способ восстановить данные, не заплатив вымогателю — обратиться в полицию, чтобы следствие могло найти и задержать злоумышленника.
Для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод — ваше заявление о преступлении. Против вас совершено противоправное действие — могут присутствовать признаки преступлений, предусмотренных статьями 159.6, 163, 165, 272, 273 УК РФ.
Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте: http://legal.drweb.com/templates
Если у вас откажутся принять заявление — получите письменный отказ и обратитесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).
Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.

Есть также возможность частичного восстановления файлов. Этот троян шифрует относительно небольшое число байт, так что исходя из знания формата файла появляется возможность часть зашифрованных байт восстановить однозначно, а остальное попытаться заменить предположительно, не нарушая правил данного формата. Такой метод практически никогда не может восстановить файл точно в оригинальное состояние, предшествовавшее зашифровке, но результат может получиться удовлетворительным в том смысле, что после применения такой восстанавливающей процедуры файл иногда может быть открыт программой работы с файлами данного формата и будет выглядеть если не точно так же, как до действия Trojan.Encoder.102, то близко к нему.
Утилиту, которая реализует алгоритм восстановления, Вы можете скачать по адресуhttp://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe
Сохраните этот файл в корень диска C: поражённой машины и запустите следующей командной строкой:

C:\te102decrypt.exe -k h25

Рядом с каждым файлом, который утилита определит как зашифрованный, и с форматом которого возможна осмысленная попытка восстановления, будут созданы файлы вида исходное_имя.XX.rebuildYYY.исходное_расширение.
На один зашифрованный вариант может быть создано несколько возможных вариантов восстановления, теоретически имеющих смысл. Попытки восстановления возможны для файлов формата jpg, doc и xls.

К сожалению, это всё, что мы на данный момент можем сделать.

————
С уважением, Илья Яковец
служба технической поддержки компании «Доктор Веб».

————

Спасибо, Доктору Вебу! Помог однозначно, пришлось правда помучиться и ждать очень долго пока работает программа, потому что файлов было очень много, так как ноутбук был рабочий!

З.Ы. Почему я использовал Доктора Веба, потому Томская служба компьютерной помощи Мигом является партнером. Можешь поискать нас здесь.

Новое поколение вымогателей Elliptic curve cryptography + Tor + Bitcoin

На сегодняшний день зловреды-вымогатели (Ransomware) – один из наиболее активно развивающихся классов вредоносного ПО. За последние годы программы-вымогатели эволюционировали и от простой блокировки экрана с требованием выкупа перешли к более опасным действиям.

Теперь основу класса Ransomware составляют так называемые шифровальщики. Это троянцы, которые без ведома пользователя шифруют его данные, в том числе личные фотографии, архивы, документы, базы данных (например, базы часто используемого в России программного продукта «1C:Предприятие», предназначенного для автоматизации деятельности на предприятии), чертежи – словом, все, что представляет ценность для жертвы. За расшифровку этих файлов злоумышленники требуют заплатить – и иногда немалые деньги. Наиболее нашумевшими примерами подобных зловредов являются CryptoLocker, CryptoDefence (и его преемник CryptoWall), ACCDFISA, GpCode. Помимо них есть и множество менее известных семейств, распространяющихся на территории России и СНГ.

В конце июня 2014 года «Лабораторией Касперского» был обнаружен новый шифровальщик. Анализ показал, что троянец действительно не относится ни к одному из известных ранее семейств и имеет ряд черт, позволяющих назвать его оригинальной разработкой. Авторское название зловреда – CTB-Locker.

Это новое семейство в классификации «Лаборатории Касперского» получило вердикт Trojan-Ransom.Win32.Onion.

Этот шифровальщик – представитель нового поколения троянцев-вымогателей. Создатели этого зловреда применили как известные техники, «обкатанные» его предшественниками (например, требование выкупа в Bitcoin), так и абсолютно новые для данного класса вредоносного ПО решения. В частности, сокрытие командного сервера в анонимной сети Tor затрудняет поиск злоумышленников, а использованная необычная криптографическая схема делает расшифровку файлов невозможной даже при перехвате трафика между троянцем и сервером. Все это делает Trojan-Ransom.Win32.Onion опасной угрозой и одним из самых технологичных шифровальщиков на сегодняшний день.

Описание

Высокоуровневая схема работы данного шифровальщика абсолютно типична и состоит в следующем:

  • после старта зловред копирует свое тело в <CommonAppdata> (CSIDL_COMMON_APPDATA) и добавляет запуск этого файла в «Планировщик задач» (Task Scheduler);
  • производит поиск на всех несъемных, съемных и сетевых дисках файлов по списку расширений (рис. 1);


Рис. 1. Фрагмент данных, содержащий список расширений для шифрования

  • шифрует найденные файлы;
  • показывает пользователю окно с требованием выкупа и списком зашифрованных файлов. В качестве оплаты злоумышленники требуют Bitcoin (рис. 2, 3);
  • устанавливает в качестве обоев рабочего стола картинку с названием AllFilesAreLocked.bmp  с сообщением о том, что данные на компьютере зашифрованы (рис. 4).

Рис. 2. Окно, извещающее жертву о том, что файлы на компьютере зашифрованы

Рис. 3. Требования злоумышленников

Рис. 4. Картинка, устанавливаемая на рабочий столЧто же отличает этого троянца от десятков аналогичных?

Командный сервер расположен в анонимной сети Tor

В рассмотренном образце содержится статический (единственный) адрес командного сервера, он располагается в доменной зоне .onion.

Отметим, что само по себе это не является «инновацией». Среди других типов вредоносного ПО подобные случаи уже встречались (мы рассказывали об этом, например, здесь и здесь).

Однако среди зловредов-вымогателей это в новинку. Хотя некоторые ранее обнаруженные семейства вымогателей и требовали, чтобы жертва сама посетила некий сайт в Tor, однако рассматриваемый нами зловред поддерживает полноценное взаимодействие с сетью Tor без участия жертвы, что отличает его от остальных.

Здесь мы логично подходим к следующей особенности, которая не имеет аналогов среди известных зловредов.

Необычная техническая организация доступа к сети Tor

Все ранее встречавшееся вредоносное ПО если и общалось с сетью Tor, то делало это незатейливо: запускало (пусть иногда с помощью внедрения в другие процессы) легальный файл tor.exe, распространяющийся с официального веб-сайта сети.

Trojan-Ransom.Win32.Onion не использует готового файла tor.exe. Вместо этого весь код, необходимый для реализации общения с анонимной сетью, статически слинкован с исполняемым файлом зловреда (т.е. совмещен с вредоносным кодом) и запускается в отдельном потоке (thread).


Рис. 5. Псевдокод, показывающий реализацию запуска потока tor proxy

Код, содержащийся процедуры thread_tor_proxy, практически целиком взят из открытых источников (Tor является open-source проектом).

Когда связь с Tor установлена и поднят локальный tor proxy сервер по адресу 127.0.0.1 (номер порта различается на разных зараженных машинах и зависит от параметра MachineGuid), выставляется глобальный флаг can_complete_circuit, который проверяется в потоке thread_post_unlock_data.

Как только это произошло, зловред осуществляет сетевую коммуникацию именно с этим локальным адресом, как показано на рис. 6.

Рис. 6. Псевдокод, показывающий реализацию сетевого соединения с tor proxyЗапрос, посылаемый зловредом на сервер, содержит данные, необходимые для расшифровки файлов жертвы.


Рис. 7. Данные, отправляемые на командный сервер

В ответ сервер возвращает данные о стоимости разблокировки в биткойнах и долларах США, а также адрес кошелька для оплаты.


Рис. 8. Данные, возвращаемые командным сервером

Сжатие файлов перед шифрованием

Ни один из ранее известных шифровальщиков не использовал технологии сжатия (за исключениемACCDFISA, просто помещающего файлы в запароленный rar-sfx архив, но здесь и шифрование, и сжатие – это не функциональность, реализованная в зловреде, а просто использование готового продукта Rar).

Trojan-Ransom.Win32.Onion и здесь отличился. Он действует так:

  • файл жертвы перемещается во временный файл с помощью API-функции MoveFileEx;
  • временный файл считывается с диска поблочно;
  • каждый блок сжимается при помощи свободно распространяемой библиотеки Zlib (процедура deflate());
  • после сжатия блок шифруется и записывается на диск;
  • в начало готового файла помещается служебная информация, которая понадобится для расшифровки;
  • зашифрованный файл получает расширение .ctbl.

Нетипичная криптографическая схема

Наиболее распространенной среди шифровальщиков схемой является связка алгоритмов AES+RSA. При такой схеме сервер генерирует пару ключей rsa-public + rsa-private для асимметричного алгоритма RSA. Секретный ключ rsa-private не покидает сервера, а rsa-public отправляется зловреду. Затем вредоносная программа генерирует на каждый файл жертвы новый ключ aes-key для симметричного блочного алгоритма AES, шифрует файл с помощью AES, затем шифрует aes-key с помощью RSA (ключом rsa-public) и сохраняет его в файл.

При этой схеме, в соответствии со свойствами асимметричной криптографии, никто не в силах расшифровать файл без знания rsa-private, который не покидал сервера злоумышленников.

Но Trojan-Ransom.Win32.Onion использовал нестандартный подход и здесь!

В данном образце используется асимметричный криптографический протокол ECDH – Elliptic curve Diffie–Hellman («протокол Диффи-Хеллмана на эллиптической кривой»).

Протокол Диффи-Хеллмана на эллиптической кривой

Первоначальный алгоритм Диффи-Хеллмана (так называемый протокол разделения секрета) был придуман достаточно давно  и опубликован в 1976 г. знаменитыми криптографами Уитфилдом Диффи (Whitfield Diffie) и Мартином Хеллманом (Martin Hellman). Модификация этого алгоритма, использующая эллиптические кривые, была предложена позже, в 2000 г., в статье Certicom Research, Standards for efficient cryptography, SEC 1: Elliptic Curve Cryptography.

Подробное описание работы протокола выходит за рамки данной публикации, поэтому абстрагируемся от подробностей и сформулируем основные тезисы, которые помогут в понимании работы зловреда.

  • Существует возможность сгенерировать пару ключей — секретный (private) и открытый (public).
  • Из своего секретного и чужого открытого ключа можно сгенерировать так называемыйразделяемый (общий) секрет (shared secret).
  • Если 2 абонента обменялись открытыми ключами (секретные ключи не передаются!) и каждыйнезависимо от другого вычислил разделяемый секрет из чужого открытого и своего секретного ключа, у обоих получится одно и то же значение.
  • Полученный разделяемый секрет можно использовать как ключ для любого симметричного алгоритма шифрования.

Авторы Trojan-Ransom.Win32.Onion использовали готовую реализацию этого криптографического алгоритма, описание которой доступно в Сети.

Высокоуровневая криптографическая схема Trojan-Ransom.Win32.Onion выглядит следующим образом.

Генерация ключей:

  • зловред генерирует пару master-public (открытый ключ) + master-private (секретный ключ);
  • master-private вместе с другими данными в защищенном виде отправляется на сервер, а на клиенте не сохраняется (факт I);
  • на каждый шифруемый файл генерируется новая пара session-public + session-private;
  • вычисляется разделяемый секрет session-shared = ECDH(master-public, session-private).

Шифрование файла жертвы

  • файл сжимается при помощи библиотеки Zlib;
  • после сжатия Zlib каждый файл шифруется алгоритмом AES, в качестве ключа используется хэш SHA256(session-shared);
  • после шифрования ключ session-public сохраняется в файл (факт II), а session-private не сохраняется (факт III);
  • вычисленный разделяемый секрет session-shared также не сохраняется (факт IV).

Расшифровка файла жертвы

По свойствам протокола Диффи-Хеллмана, верно следующее равенство:

ECDH(master-public, session-private) = session-shared = ECDH(master-private, session-public) (факт V).

Именно это равенство является принципом, лежащим в основе работы Trojan-Ransom.Win32.Onion.

При условии, что троянец не сохранил session-private (см. факт III) и session-shared (см. факт IV), остается всего 1 способ расшифровки – нужно вычислить ECDH(master-private, session-public). Чтобы это сделать, необходим ключ master-private (отправлен на сервер злоумышленников, см. факт I) и session-public (сохранен в начале зашифрованного файла, см. факт II). Других вариантов не существует, то есть без знания master-private не обойтись.

Защита соединения с командным сервером

Передаваемый на сервер ключ можно было бы перехватить, но, к сожалению, это не даст возможности расшифровать файлы жертвы. Дело в том, что авторы зловреда использовали для защиты своего трафика тот же самый асимметричный протокол ECDH, только с отдельным специальным набором ключей.

  • в теле зловреда содержится открытый ключ network-server-public;
  • при установке соединения зловред генерирует новую пару network-client-public + network-client-private;
  • вырабатывает разделяемый секрет network-shared = ECDH(network-client-private, network-server-public);
  • шифрует отправляемые данные алгоритмом AES с ключом SHA256(network-shared);
  • открытый ключ network-client-public отправляется на сервер в незащищенном виде (факт VI);
  • оба клиентских ключа network-client-public + network-client-private, равно как и общий секрет network-shared, не сохраняются (факт VII).

Злоумышленники имеют ключ network-server-private и получают от клиента network-client-public (см. факт VI). В результате они могут расшифровать полученные данные, самостоятельно вычисливnetwork-shared = ECDH(network-client-public, network-server-private).

Без знания network-server-private вычислить это значение уже невозможно (см. факт VII). Поэтому, к сожалению, перехват трафика не даст возможности достать master-private, а без него расшифровать файлы жертвы не удастся.

Распространение

Авторы первых версий Trojan-Ransom.Win32.Onion нацеливали свое творение на англоязычных жертв, и единственным поддерживаемым языком графического интерфейса зловреда был английский.

Однако самые свежие образцы получили не только косметические обновления (в частности, появился обратный отсчет времени, устрашающий жертву), но и поддержку как английского, так и русского языка в графическом интерфейсе троянца. Этот факт, а также некоторые строки внутри тела зловреда позволяют утверждать, что создатели данного вредоносного ПО являются русскоязычными.

Исследование схемы попадания Trojan-Ransom.Win32.Onion на компьютеры жертв показало, что и тут данный троянец отличается от большинства действующих сегодня шифровальщиков. Для многих известных представителей Ransomware основные векторы распространения ‑ спам-рассылка со зловредом в аттаче либо  подбор слабых паролей и запуск файла через системы удаленного управления (remote administration).

Способ распространения

Нами было обнаружено, что бот Andromeda (по классификации «Лаборатории Касперского»Backdoor.Win32.Androm) получает команду загрузить и запустить на зараженной машине другой зловред из семейства Email-Worm.Win32.Joleee. Тот, помимо своего основного функционала по рассылке почтового спама, поддерживает и выполнение ряда команд от злоумышленников, в том числе загрузку и запуск исполняемого файла. Как раз Joleee и скачивает на зараженную машину шифровальщика.

Таким образом, механизм распространения Trojan-Ransom.Win32.Onion можно изобразить в виде следующей схемы.

Рис. 9. Схема распространения Trojan-Ransom.Win32.Onion

География заражений

Статистика заражений по состоянию на 20.07.2014 представлена ниже. Большинство попыток заражений зарегистрировано на территории СНГ, также обнаружены единичные случаи на территории Германии, Болгарии, Израиля, ОАЭ и Ливии.

География детектов Trojan-Ransom.Win32.Onion:

Страна Число атакованных пользователей
Россия 24
Украина 19
Казахстан 7
Белоруссия 9
Грузия 1
Германия 1
Болгария 1
Турция 1
ОАЕ 1
Ливия 1

Отметим, что выше приведены данные только по вердикту Trojan-Ransom.Win32.Onion. На самом деле число пользователей, атакованных шифровальщиком, больше, поскольку при распространении этого зловреда используются вредоносные упаковщики, и детектирование этих упаковщиков происходит с другими вердиктами. Кроме того, неизвестные образцы шифровальщика детектируются продуктами «Лаборатории Касперского» проактивно как PDM:Trojan.Win32.Generic. Эти данные в приведенную выше статистику не входят.

Рекомендации по противодействию

Резервное копирование важных файлов

Резервное копирование должно быть регулярным. Более того, оно обязательно должно осуществляться на носитель, недоступный в обычное время для записи с данной машины (например, на съемный носитель, который отключается сразу после бэкапа). Если пренебречь этим требованием, сохраненные резервные копии будут точно так же зашифрованы зловредом, как и основная версия файла.

Резервные копии необходимы в любой системе, в которой имеются файлы хоть какой-то важности. Даже если бы не было угрозы со стороны вредоносного ПО, не стоит забывать, что всегда возможен банальный отказ оборудования.

Защитные решения

Защитный продукт должен быть постоянно включен, никакие его компоненты не должны быть приостановлены, продукт должен иметь свежие базы.

Продукты «Лаборатории Касперского» детектируют данную угрозу сигнатурно с вердиктами Trojan-Ransom.Win32.Onion.*, а неизвестные модификации – эвристически с вердиктом HEUR:Trojan.Win32.Generic и проактивно с вердиктом PDM:Trojan.Win32.Generic.

Кроме того, в продуктах «Лаборатории Касперского» применяется технология противодействия шифрующему вредоносному ПО, способная защитить пользовательские данные даже от пока неизвестных шифровальщиков, которых нет в сигнатурных и облачных базах. Принцип ее работы заключается в создании защищенных резервных копий персональных файлов в тот момент, когда к ним пытается получить доступ подозрительная программа. Таким образом, даже если файл будет зашифрован, решение автоматически восстановит его. Для функционирования данной технологии в продукте должен быть активен компонент «Мониторинг системы» (“System Watcher”).

Лук дорожает: новая версия шифровальщика-вымогателя Onion теперь требует 1500 евро за «спасение» данных пользователя

«Лаборатория Касперского» предупреждает российских пользователей о распространении серьезной угрозы — новой модификации шифровальщика-вымогателя Onion, способной обходить защитные механизмы многих антивирусных продуктов. В случае заражения троянец шифрует документы пользователя и требует за их разблокировку серьезную сумму — около 1500 евро. Несмотря на то что случаи заражения обнаружены по всему миру, больше всего угроза коснулась пользователей России и других стран СНГ.

Антивирусные аналитики «Лаборатории Касперского» уже сообщали о новом поколении шифровальщиков-вымогателей летом прошлого года, представленного в первую очередь троянцем Onion. Попав на компьютер пользователя и получив доступ к его документам, вредоносная программа применяет к ним алгоритмы ассиметричного шифрования, делая данные недоступными для их владельца. Получить их обратно пользователи могут только при наличии специального ключа, который находится у злоумышленников и становится доступен после перевода денег в качестве выкупа. Однако новая модификация Onion заслуживает не меньшего внимания — киберпреступники повысили не только технический уровень зловреда, который теперь может обходить эмуляционную среду защитных продуктов, но и свои аппетиты — «ценник» за дешифрование пользовательских данных возрос с сотни долларов до полутора тысяч евро.

ekran-s-trebovan25-259609

Экран с требованием оплаты выкупа в размере 1520 евро

Многие защитные решения полагаются на технику эмуляции, чтобы без риска заражения определить, является ли программа вредоносной. Для этого подозрительный код выполняется в изолированной виртуальной среде, которая моделирует работу аппаратного обеспечения и операционной системы. В таком режиме защитное средство анализирует поведение программы с целью детектирования вредоносных действий. Тот факт, что модифицированная версия Onion умеет обходить среду эмуляции, существенно повышает шансы троянца на проникновение в систему.

«Такие инциденты наглядно демонстрируют ложность убеждения в том, что для обеспечения безопасности достаточно и обычного антивируса. Защита должна быть комплексной: если зловред сможет обойти один из механизмов, его перехватит другой. Но применительно к шифровальщикам главное средство защиты — это резервные копии. В случае с новой версией Onion продукты из нашей актуальной линейки смогли нейтрализовать угрозу благодаря технологии проактивного обнаружения вредоносных программ, реализованной в модуле «Мониторинг активности». Этот модуль не только сканирует системные процессы и выявляет вредоносные действия, но также автоматически создает резервные копии пользовательских файлов в том случае, если к ним пытается получить доступ какая-либо подозрительная программа. При обнаружении шифровальщика эти данные будут автоматически восстановлены», — отметил Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

Специалисты компании напоминают, что пользователи, деактивировавшие модуль «Мониторинг активности» или использующие устаревшие версии защитных решений без указанного модуля, должны быть особенно осторожны: не следует открывать неизвестные вложения и предоставлять доступ к системе другим лицам. Также стоит обеспечить регулярное резервное копирование всех важных данных.