Вирусы шифровальщики исходные коды

Содержание
  1. Вирус-шифровальщик: что такое и как защититься
  2. Современные шифровальщики
  3. Компьютер заражен вирусом. Что делать?
  4. Как защититься от вируса-шифровальщика. Превентивные меры
  5. Все про вирусы-шифровальщики типа WannaCry и как от них защититься
  6. Каналы заражения
  7. Феномен WannaCry
  8. Как создан WannaCry и другие шифровальщики?
  9. Как WannaCry выбирает компьютеры?
  10. WannaCry source code
  11. Как лечить WannaCry — патч
  12. Продолжение на сайте
  13. Что такое вирус-шифровальщик и другие вымогатели
  14. Что такое Ransomware?
  15. Почему о вымогателях стоит знать и что в них страшного
  16. Как расшифровать файлы?
  17. Как защититься от вымогателей?
  18. Как вылечить и расшифровать файлы после вируса-шифровальщика
  19. Вирус шифровальщик – что это такое
  20. Как вылечить вирус-шифровальщик
  21. Как расшифровать файлы после вируса
  22. Что делать? Платить или не платить
  23. Как защититься от вируса-шифровальщика
  24. Исходный Код Вируса Whale (Virus.DOS.Whale | Кит)
  25. Virus.DOS.Whale
  26. Исходный код вируса Whale
  27. Образцы вирусов с исходным кодом
  28. Образцы вирусов
  29. Исходники вирусов: Проект theZoo
  30. Образцы вирусов: Проект Malware

Вирус-шифровальщик: что такое и как защититься

Вирусы шифровальщики исходные коды

Под шифровальщиками (криптолокерами) подразумевается семейство вредоносных программ, которые с помощью различных алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере (известны, например, сbf, chipdale, just, foxmail inbox com, watnik91 aol com и др.).

Обычно вирус шифрует популярные типы пользовательских файлов: документы, электронные таблицы, базы данных 1С, любые массивы данных, фотографии и т. д.

Расшифровка файлов предлагается за деньги — создатели требуют перечислить определенную сумму, обычно в биткоинах.

И в случае, если в организации не принимались должные меры по обеспечению сохранности важной информации, перечисление требуемой суммы злоумышленникам может стать единственным способом восстановить работоспособность компании.

В большинстве случаев вирус распространяется через электронную почту, маскируясь под вполне обычные письма: уведомление из налоговой, акты и договоры, информацию о покупках и т. д.

Скачивая и открывая такой файл, пользователь, сам того не понимая, запускает вредоносный код.

Вирус последовательно шифрует нужные файлы, а также удаляет исходные экземпляры методами гарантированного уничтожения (чтобы пользователь не смог восстановить недавно удаленные файлы с помощью специальных средств).

Современные шифровальщики

Шифровальщики и прочие вирусы, которые блокируют доступ пользователей к данным, — не новая проблема в информационной безопасности.

Первые версии появились еще в 90-х годах, однако они в основном использовали либо «слабое» (нестойкие алгоритмы, малый размер ключа), либо симметричное шифрование (одним ключом шифровались файлы у большого числа жертв, также была возможность восстановить ключ, изучив код вируса), либо вообще придумывали собственные алгоритмы.

Современные экземпляры лишены таких недостатков, злоумышленники используют гибридное шифрование: с помощью симметричных алгоритмов содержимое файлов шифруется с очень высокой скоростью, а ключ шифрования шифруется асимметричным алгоритмом.

Это значит, что для расшифровки файлов нужен ключ, которым владеет только злоумышленник, в исходном коде программы его не найти. Для примера, CryptoLocker использует алгоритм RSA с длиной ключа в 2048 бит в сочетании с симметричным алгоритмом AES с длиной ключа 256 бит. Данные алгоритмы в настоящее время признаны криптостойкими.

Компьютер заражен вирусом. Что делать?

Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере.

Шифрование идет последовательно, скорость зависит от размера шифруемых файлов.

Поэтому если вы обнаружили в процессе работы, что привычные файлы и программы перестали корректно открываться, то следует немедленно прекратить работу на компьютере и выключить его. Тем самым вы можете защитить часть файлов от шифрования.

После того, как вы столкнулись с проблемой, первым делом нужно избавиться от самого вируса. Останавливаться подробно на этом не будем, достаточно попытаться вылечить компьютер с помощью антивирусных программ или удалить вирус вручную.

Стоит только отметить, что зачастую вирус после завершения алгоритма шифрования самоуничтожается, тем самым затрудняя возможность расшифровки файлов без обращения за помощью к злоумышленникам.

В таком случае антивирусная программа может ничего и не обнаружить.

Главный вопрос — как восстановить зашифрованные данные? К сожалению, восстановление файлов после вируса-шифровальщика практически невозможно. По крайней мере, гарантировать полное восстановление данных в случае успешного заражения никто не будет.

Многие производители антивирусных средств предлагают свою помощь по дешифровке файлов. Для этого нужно отправить зашифрованный файл и дополнительную информацию (файл с контактами злоумышленников, открытый ключ) через специальные формы, размещенные на сайтах производителей.

Есть небольшой шанс, что с конкретным вирусом нашли способ бороться и ваши файлы успешно расшифруют.

Попробуйте воспользоваться утилитами восстановления удаленных файлов.

Возможно, вирус не использовал методы гарантированного уничтожения и некоторые файлы удастся восстановить (особенно это может сработать с файлами большого размера, например с файлами в несколько десятков гигабайт).

Также есть шанс восстановить файлы из теневых копий. При использовании функций восстановления системы Windows создает снимки («снапшоты»), в которых могут содержаться данные файлов на время создания точки восстановления.

Защита информации от уничтожения

Узнать больше

Если были зашифрованы ваши данные в облачных сервисах, обратитесь в техподдержку или изучите возможности сервиса, которым пользуетесь: в большинстве случаев сервисы предоставляют функцию «отката» на предыдущие версии файлов, таким образом, их можно восстановить.

Чего мы настоятельно не рекомендуем делать — идти на поводу у вымогателей и платить за расшифровку. Были случаи, когда люди отдавали деньги, а ключи не получали. Никто не гарантирует, что злоумышленники, получив деньги, действительно вышлют ключ шифрования и вы сможете восстановить файлы.

Как защититься от вируса-шифровальщика. Превентивные меры

Предотвратить опасные последствия легче, чем их исправить:

  • Используйте надежные антивирусные средства и регулярно обновляйте антивирусные базы. Звучит банально, но это значительно снизит вероятность успешного внедрения вируса на ваш компьютер.
  • Сохраняйте резервные копии ваших данных.

Лучше всего это делать с помощью специализированных средств резервного копирования. Большинство криптолокеров умеют шифровать в том числе и резервные копии, поэтому имеет смысл хранить резервные копии на других компьютерах (например, на серверах) или на отчуждаемых носителях.

Ограничьте права на изменения файлов в папках с резервными копиями, разрешив только дозапись. Помимо последствий шифровальщика, системы резервного копирования нейтрализуют множество других угроз, связанных с потерей данных. Распространение вируса в очередной раз демонстрирует актуальность и важность использования таких систем. Восстановить данные гораздо легче, чем расшифровать!

  • Ограничьте программную среду в домене.

Еще одним эффективным способом борьбы является ограничение на запуск некоторых потенциально опасных типов файлов, к примеру, с расширениями.js,.cmd,.bat,.vba,.ps1 и т. д.

Это можно сделать при помощи средства AppLocker (в Enterprise-редакциях) или политик SRP централизованно в домене. В сети есть довольно подробные руководства, как это сделать.

В большинстве случаев пользователю нет необходимости использовать файлы сценариев, указанные выше, и у шифровальщика будет меньше шансов на успешное внедрение.

Внимательность — один из самых эффективных методов предотвращения угрозы. Относитесь подозрительно к каждому письму, полученному от неизвестных лиц. Не торопитесь открывать все вложения, при возникновении сомнений лучше обратитесь с вопросом к администратору.

Предотвратим потерю информации

Узнать больше

Александр Власов, старший инженер отдела внедрения систем защиты информации компании «СКБ Контур» 

Источник: https://kontur.ru/articles/1957

Все про вирусы-шифровальщики типа WannaCry и как от них защититься

Вирусы шифровальщики исходные коды

О вирусах-вымогателях в криптосообщества активно заговорили в мае 2017 года. В это время вирус WannaCry быстро распространился по компьютерным сетям. Он заражали компьютеры на Windows, шифровал файлы на жестком диске ПК, а затем требовал выкуп в биткоинах за засшифровку.

Это краткий принцип действия шифровальщиков. В этой статье разберемся, что такое WannaCry, как лечить зашифрованные компьютеры и что рассказывает source code вируса. 

Каналы заражения

Есть два термина: «вымогатель» и «шифровальщик». Это описывает функцию вредоносного ПО, которая заключается в вымогательстве денег за расшифровку файлов. Вирус должен получить доступ к файлам или системе. Это происходит посредством заражения или векторов атаки.

Технически, вектор атаки или заражения — это средство, с помощью которого вымогатели получают доступ. Самые популярные:

  • прикрепленный файл на бизнес-почту (резюме, инвойсы, приглашения),
  • сообщения в соцсетях с вложениями,
  • всплывающие окна с различными «подсказками», которые в итоге ведут к заражению.

Феномен WannaCry

Несколько факторов привлекли внимание к WannaCry. В первую очередь из-за того, что он заразил крупнейшие компании. В их числе Британская национальная служба здравоохранения.

Вирус-шифровальщик эксплуатировал уязвимость Windows, которая была впервые обнаружена Агентством национальной безопасности США.

Symantec и другие исследователи безопасности связывали его с Lazarus Group — организацией, которая занимается киберпреступностью и может быть связана с правительством Северной Кореи.

Как создан WannaCry и другие шифровальщики?

WannaCry Ransomware состоит из нескольких компонентов. Он попадает на зараженный компьютер в форме дроппера. Это отдельная программа, которая извлекает встроенные в нее компоненты приложения. Эти компоненты включают в себя:

  • приложение, которое шифрует и дешифрует данные,
  • файлы, содержащие ключи шифрования,
  • копию Tor.

Исходный код несильно запутан, так что его смогли проанализировать специалисты по безопасности. После запуска шифровальщик WannaCry пытается получить доступ к жестко запрограммированному URL (так называемая «Кнопка уничтожения»).

Если ему не удается, он продолжает поиск и шифрование файлов. Он шифрует множество форматов, от файлов Microsoft Office до MP3 и MKV. Файлы становятся недоступны для пользователя. Когда процесс завершен, вирус уведомляет о выкупе.

WannaCry требовал 300 долларов в BTC за расшифровку файлов.

Как WannaCry выбирает компьютеры?

Вектор атаки для WannaCry более интересен, чем сам шифровальщик. Уязвимость, которую использует WannaCry, заключается в реализации Windows протокола SMB. Он помогает различным узлам сети взаимодействовать, а реализацию Microsoft можно обмануть специально созданными пакетами для выполнения любого кода.

Считается, что Агентство национальной безопасности США обнаружило эту уязвимость уже давно. Вместо того, чтобы сообщить общественности, оно разработало код под названием EternalBlue. Этот эксплойт, в свою очередь, был похищен группой хакеров.

Shadow Brokers, название этой группы, создали пост 8 апреля 2017 на Medium (это сообщение полно политики, в нем заявлена позиция этой группы.

Мы не будем переводить текст, там есть и отрывок про отношение к России, так как опасаемся, что это будет звучать экстремистски).

В Microsoft обнаружили уязвимость за месяц до этого и выпустили патч. Тем не менее это не помешало WannaCry, который опирался на EternalBlue, быстро распространиться по устройствам. После этого Microsoft обвинила правительство США, что оно не поделилось информацией об этой уязвимости раньше.

Даже если компьютер уже заражен, WannaCry не обязательно начнет шифрование файлов. Он сначала пытается получить доступ к очень длинному, бессмысленному URL, прежде чем приступить к работе. Если он получает доступ к этому домену, WannaCry отключается. Не совсем понятно, какова цель этой функции.

Некоторые исследователи полагали, что создатели вредоносного ПО должны были остановить эту атаку. Тем не менее, Маркус Хатчинс, британский исследователь безопасности, который обнаружил этот URL, считает, что это должно затруднить анализ кода.

Многие исследователи запускают вредоносное ПО в среде «песочницы», из которой любой URL или IP-адрес будет казаться доступным.

Хатчинс не только обнаружил жестко запрограммированный URL-адрес, но и заплатил 10,96 долларов и открыл там сайт. Это помогло замедлить распространение вредоносного ПО. Вскоре после того, как его признали героем, Хатчинс был арестован за то, что предположительно разрабатывал вирусы в 2014 году.

Symantec считают, что код вируса может иметь северокорейское происхождение. WannaCry бродил по сети в течение нескольких месяцев, прежде чем началась эпидемия. Это более ранняя версия вредоносного ПО, получившая название Ransom.Wannacry. Она использовала украденные учетные данные для запуска целевых атак. Использованные методы похожи на Lazarus Group.

Lazarus Group является хакерской группировкой, которая связана с Северной Кореей. В 2009 году они проводили DDoS-атаки на правительственные компьютеры Южной Кореи, затем атаковали Sony и банки.

Но так как исходный код вируса был открыт, нельзя точно приписать атаку кому-либо.

WannaCry source code

Немного технических деталей.

Имя вируса: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY

Вектор: Все версии Windows до Windows 10 уязвимы, если не исправлены для MS-17-010.

Выкуп: от 300 до 600 долларов. В вирусе есть код для удаления файлов.

Backdooring: червь проходит через каждый сеанс RDP в системе, чтобы запустить вымогателя от имени этого пользователя. Он также устанавливает бэкдор DOUBLEPULSAR. Это делает восстановление труднее.

Kill switch: если сайт www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com доступен, вирус выходит вместо заражения хоста. Не будет работать, если есть прокси.

Каждое заражение генерирует новую пару ключей RSA-2048:

  • Открытый ключ экспортируется как BLOB-объект и сохраняется в 00000000.pky.
  • Закрытый ключ шифруется с помощью открытого ключа вымогателя и сохраняется как 00000000.eky

Каждый файл зашифрован с AES-128-CBC, с уникальным ключом AES на файл. Каждый ключ AES генерируется CryptGenRandom.

Ключ AES зашифрован с использованием пары ключей RSA, уникальной для каждого. Открытый ключ RSA, используемый для шифрования приватного ключа, встроен в DLL и принадлежит авторам вируса.

  • https://haxx.in/key1.bin (pubkey, используемый для шифрования закрытого ключа пользователя)
  • https://haxx.in/key2.bin (priey для дешифрования dll)
  • https://pastebin.com/aaW2R6 и https://pastebin.com/xZKU7Ph1 — дадут больше информации о вымогателе.

Три адреса для выкупа жестко запрограммированы в программе:

  • https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  • https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
  • https://blockchain.info/address/115p7UMMngoj1pMpHijcRdfJNXj6LrLn

Как лечить WannaCry — патч

По иронии судьбы, патч, который защищает от WannaCry, был уже доступен до начала атаки. Microsoft в обновлении MS17-010, что вышло 14 марта 2017 года, исправил реализацию протокола SMB для Windows.

Несмотря на критическое обновление, многие системы все еще не обновились до мая 2017 года. Больше повезло Windows 10, так как функция автоматического обновления сработала.

То есть решение, как защититься от вируса-шифровальщика, уже было, но халатность на местах заставила компании поплатиться.

Для тех систем не было дешифровщика и выхода, кроме восстановления файлов из безопасной резервной копии. Хотя те, кто следит за кошельками биткоина, что указаны в сообщении от вируса, говорят, что некоторые платят выкуп. При этом мало доказательств того, что они вновь получили доступ к файлам.

Эта атака заставила Microsoft выпустить патч даже для XP, что поддержка прекращена. Большинство заражений было на Windows 7.

Отчет по безопасности: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Патч для защиты, в том числе для XP с 2014: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Killswitch: https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/ https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

Детали эксплойта: https://zerosum0x0.blogspot.com/2017/04/doublepulsar-initial-smb-backdoor-ring.html

Продолжение на сайте

Источник: https://zen.yandex.ru/media/crypto_fox/vse-pro-virusyshifrovalsciki-tipa-wannacry-i-kak-ot-nih-zascititsia-5d88e2805d636200adfc03cb

Что такое вирус-шифровальщик и другие вымогатели

Вирусы шифровальщики исходные коды

Этот текст предназначен для тех людей, которые либо вообще не слышали ничего о троянах-вымогателях, либо слышали, но особо не вникали. Здесь мы постараемся максимально просто и наглядно объяснить, что за звери такие трояны-вымогатели, почему их стоит опасаться и как от них защититься.

Что такое Ransomware?

Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, которая за последнее время из просто распространенной стала очень-очень распространенной.

По тому, как они портят жизнь людям, их можно разделить на два основных типа — шифровальщики (крипторы, cryptoransomware) и блокировщики (blockers, блокеры).

Шифровальщики, попадая на ваш компьютер, шифруют ценные файлы: документы, фотографии, сохранения к играм, базы данных и так далее — таким образом, что их нельзя открыть. То есть вы не сможете ими воспользоваться. А за расшифровку создатели шифровальщиков требуют выкуп — в среднем около $300, то есть совсем уж дешево от них не отделаться.

Блокировщики получили свое имя за то, что они просто блокируют доступ к устройству. То есть воспользоваться не получится не просто файлами, а всем компьютером целиком. Они тоже требуют выкуп, но обычно не такой большой, как шифровальщики.

Почему о вымогателях стоит знать и что в них страшного

Начнем с того, что вымогателей стало уж очень много и встречаются они уж очень часто. Они есть для всех операционных систем: для Windows, для Mac OS X, для Linux и для Android. То есть трояны-вымогатели встречаются не только для компьютеров, но и для смартфонов и планшетов. Больше всего их для Windows и Android.

К тому же заразиться довольно просто: трояны-вымогатели чаще всего попадают в компьютер, когда пользователи открывают нехорошие почтовые вложения, переходят по сомнительным ссылкам или устанавливают приложения из неофициальных источников. Но могут проникать и с абсолютно добропорядочных сайтов — например, злоумышленники навострились подсовывать их в рекламу.

Также преступники научились убеждать людей, что им предлагается скачать или открыть что-то полезное — письмо из банка, счет, какую-нибудь ценную программу и так далее. При этом на самом деле на компьютер попадает блокировщик или шифровальщик.

Пожалуй, главная проблема шифровальщиков состоит в том, что просто вылечить их вы не сможете. То есть если вы попытаетесь вылечить шифровальщика антивирусом или специальной утилитой, то у вас это, скорее всего, получится — вот только файлы это не вернет: они так и останутся зашифрованными.

Более того, заплатить выкуп — тоже не универсальное лекарство. Во-первых, это дорого. Во-вторых, это поощряет преступников делать новых и новых шифровальщиков.

А в-третьих, это еще и не всегда помогает. Согласно нашей статистике, 20% тех, кто все-таки заплатил мошенникам выкуп, так и не получили обратно свои файлы.

Просто потому, что преступники — это преступники. Не стоит ждать от них честности.

Как расшифровать файлы?

Если шифровальщик проник в систему и успел натворить дел, то просто так сами вы файлы не расшифруете. Вариантов, по сути, два. Можно, конечно, заплатить выкуп злоумышленникам, но мы бы этого делать не советовали по вышеуказанным причинам.

Второй вариант — зайти на сайт noransom.kaspersky.com и посмотреть, нет ли там декриптора, который помог бы вам расшифровать файлы. Все наши декрипторы абсолютно бесплатны, но, к сожалению, далеко не от всех шифровальщиков получается создать такое лекарство. Так что лучше не доводить до крайностей и защищаться от них заранее.

Как защититься от вымогателей?

Не открывайте подозрительные вложения в почте, не ходите по сомнительным сайтам и не скачивайте программы с каких-либо сайтов, кроме официальных магазинов и сайтов самих разработчиков.

Регулярно делайте резервные копии важных файлов. Если все ваши файлы есть не только на компьютере, но и на отдельном жестком диске или в облаке, то можно просто вылечить шифровальщика и скопировать файлы обратно на компьютер.

Установите хороший антивирус. Например, Kaspersky Internet Security, в котором есть специальный модуль «Мониторинг активности», отлично защищающий от шифровальщиков. Кстати, по данным одного из недавних независимых тестирований, Kaspersky Internet Security справляется со 100% троянов-вымогателей.

На нашем блоге есть более подробный текст, из которого вы можете узнать больше о различных видах вымогателей и о том, откуда они берутся, а также почерпнуть еще несколько полезных советов по борьбе с ними. Ну а чтобы какой-нибудь новый шифровальщик не застал вас врасплох, советуем следить за новостями.

Источник: https://www.kaspersky.ru/blog/ransomware-for-dummies/13579/

Как вылечить и расшифровать файлы после вируса-шифровальщика

Вирусы шифровальщики исходные коды

Вирус-шифровальщик: платить мошенникам или нет

Вот и настал этот черный день. На одной из важных рабочих машин активно поработал вирус-шифровальщик, после чего все офисные, графические и многие другие файлы приняли разрешение crypted000007, которые на момент написания статьи расшифровать невозможно.

Также на рабочем столе появились обои с надписью типа “Ваши файлы зашифрованы”, а в корне локальных дисков текстовые документы readme с контактной информацией мошенника. Естественно, он хочет выкуп за расшифровку.

Лично я не связывался с этим козлом(ами), чтобы не поощрять подобную деятельность, но знаю, что ценник в среднем начинается от 300 долларов и выше. Вот и думайте сами, как поступать. Но если у вас зашифровались очень значимые файлы, например, базы 1С, а резервной копии нет, то это крах вашей карьеры.

Забегаю наперед скажу, что если вы питаете надежду на расшифровку, то ни в коем случае не удаляйте файл с требованием денег и ничего не делайте с зашифрованными файлами (не изменяйте название, расширение и т.д.). Но давайте обо всем по порядку.

Вирус шифровальщик – что это такое

Это вредоносное (ransomware) программное обеспечение, которое шифрует данные на компьютере по очень стойкому алгоритму. Дальше приведу грубую аналогию. Представьте, что вы на вход в Windows установили пароль длиной несколько тысяч символов и забыли его. Согласитесь, вспомнить невозможно. А сколько жизней займет у вас ручной перебор?

Так и в случае с шифровальщиком, который использует легальные криптографические методы в противоправных целях. Подобные вирусы, как правило, используют асинхронное шифрование. Это значит, что используется пара ключей.

Шифруются файлы с помощью открытого ключа, а расшифровать их можно имея закрытый ключ, который есть только у мошенника. Все ключи уникальны, поскольку генерируются для каждого компьютера отдельно.

Именно поэтому я говорил в начале статьи о том, что нельзя удалять файл readme.txt в корне диска с требованием выкупа. Именно в нем и указан открытый ключ.

Электронный адрес вымогателя в моем случае pilotpilot088@gmail.com. Если вбить его в поиск, то становится понятен истинный масштаб трагедии. Пострадало очень много людей.

Поэтому еще раз говорю: ни в коем случае никак не изменяйте поврежденные файлы. Иначе вы потеряйте даже малейший шанс на их восстановление в дальнейшем.

Также не рекомендуется переустанавливать операционную систему и чистить временные и системные каталоги. Короче, до выяснения всех обстоятельств ничего не трогаем, дабы не усложнить себе жизнь. Хотя, казалось бы, куда уже хуже.

Попадает данная зараза на компьютер чаще всего по электронной почте с горящей темой наподобие “Срочно, руководителю. Письмо из банка” и тому подобное. Во вложении, которое может выглядеть безобидным pdf или jpg файлом и кроется враг.

Запустив его, ничего страшного, на первый взгляд, не происходит. На слабом офисном ПК пользователь может заметить некую “тормознутость”. Это вирус, маскируясь под системный процесс, уже делает свое грязное дело.

На Windows 7 и выше при запуске вредителя будет постоянно появляться окно Контроля учетных записей с запросом разрешения изменений. Конечно же, неопытный пользователь со всем согласиться, тем самым подписав себе приговор.

Да, по факту вирус уже блокирует доступ к файлам и когда закончит, на рабочем столе появится надпись с предупреждением “Ваши файлы зашифрованы”. В общем, это попа. Дальше начинается жесть.

Как вылечить вирус-шифровальщик

Исходя из вышенаписанного можно сделать вывод, что если страшная надпись на рабочем столе еще не появилась, а вы уже увидели первые файлы с непонятными длинными названиями из хаотичного набора различных символов, немедленно достаньте компьютер из розетки.

Именно так, грубо и бескомпромиссно. Тем самым вы остановите алгоритм работы зловреда и сможете хоть что-то спасти. К сожалению, в моем случае сотрудник этого не знал и потерял все. Твою мать…

Вишенкой на торте для меня был тот факт, что, оказывается, данный вирус без проблем шифрует все подключенные к ПК съемные носители и сетевые диски с правами доступа на запись. Именно там и были резервные копии.

Теперь о лечении. Первое, что нужно понимать: вирус лечится, но файлы так и останутся зашифрованными. Возможно, навсегда. Сам процесс лечения ничего сложного из себя не представляет.

Для этого необходимо подключить винчестер к другому компьютеру и просканировать утилитами вроде Dr.Web CureIt или Kaspersky Virus Removal Tool. Можно для надежности двумя поочередно. Если нести зараженный винт на другой комп сцыкотно, загрузитесь с Live CD.

Как правило, подобные антивирусные решения без проблем находят и удаляют шифровальщик. Но иногда они ничего не обнаруживают, поскольку вирус, сделав свою работу, может сам удалиться из системы. Такой вот сучий потрох, которые заметает все следы и затрудняет его изучение.

Предвижу вопрос, почему антивирус сразу не предотвратил проникновения нежелательно ПО на компьютер? Тогда бы и проблем не было. На мой взгляд, на данный момент антивирусы проигрывают битву с шифровальщиками и это очень печально.

К тому же, как я уже говорил, подобные вредоносные программы работают на основе легальных криптографических методов. То есть получается, что их работа как бы и не является противоправной с технической точки зрения. В этом и заключается трудность их выявления.

Постоянно выходят новые модификации, которые попадают в антивирусные базы только после заражения. Так что, увы, в этом случае 100% защиты быть не может. Только бдительное поведение при работе на ПК, но об этом чуть позже.

Как расшифровать файлы после вируса

Все зависит от конкретного случая. Выше писалось, что модификации вируса-шифровальщика могут быть какие угодно. В зависимости от этого, зашифрованные файлы имеют разные расширения.

Хорошая новость заключается в том, что для многих версий заразы антивирусные компании уже придумали дешифраторы (декрипторы). На русскоязычном рынке лидером является “Лаборатория Касперского”. Для этих целей был создан следующий ресурс:

noransom.kaspersky.com

На нем в строке поиска вбиваем информацию по расширению либо электронную почту из записки о выкупе, жмем “Поиск” и смотрим, есть ли спасительная утилита для нас.

Если повезло, скачиваем программу из списка и запускаем. В описании к некоторым дешифраторам говорится, что при работе на компьютере должен быть интернет для возможности расширенного поиска ключей в онлайн-базе.

В остальном же все просто. Выбираем конкретный файл или диск полностью и запускаем сканирование. Если активировать пункт “Delete crypted files”, то после дешифровки все исходные файлы удалятся. Ой, я бы так не спешил, сразу нужно взглянуть на результат.

Для некоторых видов вируса программа может попросить две версии файла: исходную и зашифрованную. Если первой нет, значит, пиши пропало.

Также у пользователей лицензионных продуктов “Лаборатории Касперского” есть возможность обратиться на официальный форум за помощью с расшифровкой. Но пошерстив его со своим расширением (crypted000007) я понял, что ничем там не помогут. То же самое можно сказать и про Dr.Web.

Есть еще один подобный проект, но уже международный. По информации из интернетов его поддержку осуществляют лидирующие производители антивирусов. Вот его адрес:

nomoreransom.org

Конечно, может оно и так, но сайт работает некорректно. На главной странице предлагается загрузить два зашифрованных файла, а также файл с выкупом, после чего система даст ответ, есть дешифровщик в наличии или нет.

Но вместо этого происходит переброс на раздел с выбором языка и на этом все. Поэтому можно самостоятельно зайти в раздел “Декриптор-утититы” и попробовать найти нужную программу.

Делать это не очень удобно, поскольку в кратком описании имеющегося ПО нет четкого указания на поддерживаемые расширения зашифрованных файлов. Для этого нужно читать расширенную инструкцию для каждого типа декриптора.

В процессе написания публикации был найден аналогичный сервис, который исправно работает по такому же принципу. Он поможет определить название угрозы и предложит “волшебную таблетку”, если таковая имеется. В верхнем правом углу сайта имеется кнопка переводчика для удобства пользователей.

id-ransomware.malwarehunterteam.com

Что делать? Платить или не платить

Если вы дочитали до этого заголовка, значит, файлы у вас по-прежнему стабильно зашифрованы. И тут вопрос: как поступить дальше? Ведь в случае шифровки крайне значимых файлов может быть парализована работа даже крупных предприятий, не говоря уже о малом бизнесе.

Первое, можно выполнить инструкцию мошенника и заплатить выкуп. Но статистика “Лаборатории Касперского” говорит о том, что каждое пятое предприятие так и не получило ключ с дешифратором после оплаты.

Это может происходить по разным причинам. Например, вирусом могли воспользоваться не сами создатели, у которых есть закрытый ключ, а мошенники-посредники.

Они просто модифицировали код зловреда, указав в файле выкупа свои данные, а второго ключа-то у них нет. Деньги получили и свалили. А вы кукуйте дальше.

В общем, не будут врать, всех технических нюансов я и сам не знаю. Но в любом случае заплатив вымогателям, вы мотивируете их на продолжение подобной деятельности. Ведь раз это работает и приносит деньги, почему нет.

Но в интернете я нашел как минимум две конторы, которые обещают помочь в этой беде и расшифровать даже файлы с расширением crypted000007. В одну из них я с большой боязнью обратился.

Скажу честно, ребята мне не помогли, поскольку сразу сказали, что дешифровщика у них нет, но могут попробовать восстановить около 30% оригинальных файлов, которые удалил вирус, с помощью низкоуровневого сканирования.

Я подумал и отказался. Но спасибо им, что лапши на уши не вешали, уделили время и все трезво пояснили. Ну и раз у них нет ключа, значит, они не должны взаимодействовать с мошенниками.

Но есть другая, более “интересная” контора, которая дает 100% гарантию на успех операции. Ее сайт находится вот по этому адресу:

dr-shifro.ru

Я попробовал пошерстить по профильным форумам, но так и не смог найти отзывов реальных клиентов. То есть все о ней знают, но мало кто пользовался. Замкнутый круг.

Эти ребята работают по факту полученного результата, никаких предоплат нет. Опять же повторюсь, дают гарантию на расшифровку даже crypted000007. Значит, у них есть ключ и декриптор. Отсюда вопрос: а откуда у них это добро? Или я чего-то не понимаю?

Не хочу говорить что-плохое, возможно, они добрые и пушистые, работают честно и помогают людям. Хотя технически без мастер-ключа это просто невозможно. В любом случае против них все же нашлась компрометирующая информация.

Хотя если вас вдруг приперло к стенке дальше некуда, попробуйте обратиться. Но все на собственных страх и риск. И деньги, много денег не забудьте.

Как защититься от вируса-шифровальщика

Приведу несколько основных постулатов, которые помогут обезопаситься, а в случае проникновения подобного зловреда свести потери к минимуму. Как-никак я все это прочувствовал на собственной шкуре.

Делать регулярные бэкапы на съемных (изолированных от сети) носителях. Без преувеличения могу сказать, это самое главное.

Не работать под учетной записью с правами администратора, чтобы в случае заражения минимизировать потери.

Внимательно следить за адресатами входящих писем и сбрасываемых ссылок в соц. сетях. Тут без комментариев.

Поддерживать в актуальном состоянии антивирусную программу. Может и спасет, но это неточно.

Обязательно включить теневое копирование файлов в Windows 7/10. Об этом подробно поговорим в ближайших выпусках.

Не выключать систему Контроля учетных записей в Windows 7 и выше.

Я же, в свою очередь, остаюсь с полностью зашифрованными вирусом офисными файлами. Буду периодически заглядывать на все ресурсы, указанные в статье, в надежде когда-нибудь увидеть там декриптор. Возможно, удача улыбнется в этой жизни, кто знает.

Так что, друзья, настоятельно рекомендую не попадать в подобные ситуации. На самом деле в таких моментах присутствует огромный стресс и нервозность. Моя репутация как администратора также пострадала, ведь я не справился с проблемой.

Одно дело, когда шифруются файлы пользователя на домашнем компьютере такие как фильмы, музыка и так далее. Совсем другие, когда теряется доступ ко всему делопроизводству предприятия минимум за 5-7 лет. Это больно, я уже знаю.

Источник: https://pronetblog.by/virus-shifrovalshhik.html

Исходный Код Вируса Whale (Virus.DOS.Whale | Кит)

Вирусы шифровальщики исходные коды
Дисклеймер! Далее представлен текст исключительно в образовательных целях. Мы не ставим цели иные, кроме как образовательные и информационные. Код программы, которая детектируется как Virus.DOS.Whale представлен как пример программистского решения.

Virus.DOS.Whale

Обнаружен в 1990 году, 1 июля в городе Гамбург, Германия. Отличительная черта — использование многочисленных средств защиты (шифрование, динамическое шифрование, вложенное шифрование, пустышки и т.д.).

Использует стелс технологии — скрывает свое присутствие в ОС MS DOS. Для этого программа перехватывает 16 DOS функций операционной системы.

Заражает файлы с расширением exe, com, ovl. Для этого записывает свой код с конец атакуемого файла.

В определенный момент (с 19 февраля по 20 марта) выводит на экран текст:

THE WHALE IN SEARCH OF THE 8 FISH I AM ‘~knzyvo}’ IN HAMBURG

Буквальный перевод:

КИТ В ПОИСКАХ 8 РЫБОВ Я ЕСТЬ ‘~ knzyvo}’ В ГАМБУРГЕ

Записывает в файл C:FISH-#9.TBL, который создает сам, текст:

FISH VIRUS #9 A Whale is no Fish! Mind her Mutant Fish and the hidden Fish Eggs for they are damaging. The sixth Fish mutates only if Whale is in her Cave

Буквальный перевод:

FISH VIRUS # 9 Кит — это не рыба! Следите за ее Мутантной рыбой и скрытой рыбой
Яйца для них вредны. Шестая Рыба видоизменяется, только если в ней есть Кит
пещера

(Гугл перевод)

Является резидентным (после запуска остается в памяти). Обладает размером 9 килобайт.

Исходный код вируса Whale

;===================================================================== ;===================================================================== ; The WHALE ; ; ; ; Listing erstellt 1991 , R. H”rner , Karlsruhe , FRGDR ; ; ; ;===================================================================== ;===================================================================== code SEGMENT ASSUME CS:code,DS:code,ES:CODE .RADIX 16 ORG 100h ;——————————————————————— ;—————-( Struktur der Entscheidungs-Tabelle fЃr INT 21h )— ;——————————————————————— IF_THEN STRUC WENN DB ? DANN DW ? ENDS ;==========================================( Der Decoder-Aufruf )=== MDECODE MACRO Adr CALL DECODE DW @L&adr-L&Adr L&Adr: ENDM ;==========================================( der Coder-Aufruf )=== MCODE MACRO Adr CALL CODEIT DB @L&Adr-L&Adr+1 @L&Adr: ENDM ;——————————————————————— ;————————————————–( fЃr Mutanten )— L04BB5 EQU OFFSET D4BB5 J00000 EQU L04BB5 – Offset Entry J11111 EQU L04BB5 – Offset @INT21 ZweiByte EQU J00000 / 2 DreiByte EQU J00000 / 3 M_Size EQU OFFSET J03AD0-OFFSET J03A84 ;——————————————————————— ;——————————————-( “Mutierende” Makros )— ;——————————————————————— CALL_INT21 MACRO Adr,adr1 ; Selbst-Relozierend DB 0E8H DW – (LL&ADR + J11111 + 1) LL&ADR EQU $-OFFSET ADR1 ENDM ;——————————————————————— CALL_ENTRY MACRO Adr,adr1 ; Selbst-Relozierend DB 0E8H DW – (CE&ADR + J00000 ) CE&ADR EQU $-OFFSET ADR1 ENDM ;——————————————————————— JMP_ENTRY MACRO Adr,adr1 ; Selbst-Relozierend DB 0E9H DW – (JM&ADR + J00000 ) JM&ADR EQU $-OFFSET ADR1 ENDM ;===================================================================== ;===============================================( zur relozierung )=== ;===================================================================== FirstByte EQU OFFSET @FirstByte-OFFSET VirStart ; 20h CODE_LEN EQU OFFSET LASTCODE-OFFSET @FirstByte ; 2385H CODE_START EQU OFFSET J04BCF – OFFSET @FirstByte ; 239FH ;===================================================================== ;============================================( ver„nderlicher Code)=== ;===================================================================== SwapCode_1 EQU Offset Decode – Offset VirStart ; 0A33h Swapcode_2 EQU OFFSET J03A20 – Offset VirStart ; 1210h Swapcode_3 EQU OFFSET J0491A – Offset J03047 ; 18D3h SwapCode_4 EQU OFFSET J03047 – Offset VirStart ; 0837H SwapCode_5 EQU OFFSET J03259 – Offset VirStart ; 0A49h SwapCode_6 EQU OFFSET J02CFF – Offset VirStart ; 04EFh SwapCode_7 EQU Offset SwitchByte-Offset VirStart; SwapCode_8 EQU Offset Int_02 – Offset VirStart ; 3181h ;===================================================================== ;========================================( einfacher zu schreiben )=== ;===================================================================== XorByte__1 EQU OFFSET D_4A5E – Offset VirStart ; 224Eh XorByte__2 EQU OFFSET D_4A79 – Offset VirStart ; 2269h ;===================================================================== Part_____1 EQU OFFSET D4BAC – OFFSET VirStart ; 239Ch Len_Part_1 EQU OFFSET Lastbyte – Offset D4BAC ; 0054h ;===================================================================== SchwimmZiel EQU OFFSET J029C1 – Offset VirStart ; 01B1h WischeWeg EQU OFFSET D4B7C – Offset VirStart ; 236Ch ;===================================================================== SS_INIT EQU Offset EXE_SS_INIT-Offset VirStart SP_INIT EQU Offset EXE_SP_INIT-Offset VirStart CODE_INIT EQU Offset EXE_CODE_INIT-Offset VirStart ;===================================================================== ;=============================( Sprungtabelle fЃr Int 21h-Handler )=== ;===================================================================== L0699 EQU Offset J02ea9 – Offset VirStart L04f4 EQU Offset J02D04 – Offset VirStart L06E0 EQU Offset J02EF0 – Offset VirStart L06CA EQU Offset J02EDA – Offset VirStart L08CF EQU Offset J030DF – Offset VirStart L06C8 EQU Offset J02ED8 – Offset VirStart L0996 EQU Offset J031A6 – Offset VirStart L09E4 EQU Offset J031F4 – Offset VirStart L1E5E EQU Offset J0466E – Offset VirStart L1DA2 EQU Offset J045B2 – Offset VirStart L0AD4 EQU Offset J0325D – Offset VirStart L1F70 EQU Offset J04780 – Offset VirStart L1D0F EQU Offset J0451F – Offset VirStart ;===================================================================== ;==============================( wenn ein Debugger erkannt wird…)=== ;===================================================================== IfDebugWal EQU (Offset J04B6A-Offset CreateTempCode+1) / 2 StartDebug EQU Offset CreateTempCode-Offset VirStart ;===================================================================== ;==========================================( Erkl„rung fehlt noch )=== ;===================================================================== @0478 EQU 0478H @88 EQU 10000h-@0478 ;===================================================================== ;=================================================( COM-Einsprung )=== ;===================================================================== start: JMP ENTRY ; JMP Decode_Whale DB 00h Whale_ID DW 020CCh ; kennung, daб File infiziert ;===================================================================== DB 2300h-6 DUP (0) ;——————————————————————— ; ; DIESE DATEN WERDEN ZWAR **VOR** DEN CODE ; ASSEMBLIERT, ABER ***HINTER*** DEM CODE ABGELEGT !! ; ; DAS IST DER ***EINZIGE GRUND*** WARUM DIE VIELEN ; NULL-BYTES VOR DEM WAL STEHEN !!! ; ; DER CODE IST Code_len BYTE LANG. ; ; AB OFFSET Code_len DљRFEN ALSO DATEN STEHEN. ; DESHALB GIBT ES AUCH KEINE DATEN, DIE ***VOR*** DIESEM ; OFFSET ABGELEGT WERDEN ! ;==================================================================== ;===========================================( Speichereinteilung )=== ;==================================================================== ; Assemblierungszeit : Zur Laufzeit (resident): ; ; +-CS:0100=DS:0100-+ +–CS:0000-DS:2810-+

Источник: https://sciencestory.ru/whale-virus/

Образцы вирусов с исходным кодом

Вирусы шифровальщики исходные коды

Где скачать образцы вирусов с исходным кодом и подробным описанием?

Найти сборник актуальных вирусов, а уж тем более с описанием и исходниками — это задача не легкая. Мы уже рассказывали где скачать вирусы для анализа и изучения.

Сегодня я вам поведаю еще про один источник на котором можно найти и скачать образцы вирусов, но на этот раз не просто малварь найденная в сети, а исполнительные файлы и исходники вирусов с подробной информацией.

В этой статье вы узнаете о парочке интересных проектов, которые предлагают окунуться в мир исходного кода всевозможных троянов, ботнетов, кейлоггеров, стиллеров, червей и т.д.

Образцы вирусов

  • Предисловие
  • Исходники вирусов
  • Проект theZoo
  • Проект Malware

Зачем и кому могут понадобиться образцы вирусов?

Исполняемые файлы и исходники вирусов могут понадобиться для анализа технологий используемых вредоносным ПО, для изучения поведения вирусов в системе (мониторинг файловой системы, процессов, изменения реестра) и тестирования антивирусов. Сотрудники антивирусных компаний готовы платить деньги для получения исходников нового вируса.

Законно ли скачивать вирусы?

Скачивать образцы вирусов для изучения и анализа на своем компьютере вы можете, а вот распространять и заражать ими других — нельзя. Подробнее об этом в статье 273 УК РФ.

Цель этих проектов — дать специалистам антивирусных компаний и людям интересующихся анализом вирусов, разобраться в устройстве вредоносного кода малвари.

Внимание! Имейте ввиду, что скаченные файлы являются рабочими вирусами. Часть из них будут пытаться заразить ваш компьютер. Ни в коем случае не запускайте скачанные файлы на основном компьютере. Я также не рекомендую скачивать образцы вирусов без особых знаний анализа вредоносных программ.

В любом случае сайт www.spy-soft.net не несет никакой ответственности за любой вред нанесенный вами своим и чужим компьютерам.

Я настоятельно рекомендую использовать виртуальную машину для анализа вирусов. Не забудьте про вредоносные черви которые будут пытаться распространиться и выбежать из виртуальной машины. Для избежания этого я советую отключать все гостевые дополнения виртуальных машин, доступ в сеть и т.д. Как это сделать вы можете узнать из ссылки выше.

Исходники вирусов: Проект theZoo

Начнем обзор с проекта theZoo, что переводится как зоопарк (с юмором у авторов все нормально). Находиться он в репозитории Githab.

Цель проекта сделать доступным изучение вирусов. Авторы собирают и обновляют базу вирусов. С помощью theZoo вы сможете получить доступ к популярным образцам вредоносного ПО.

Образцы вирусов: Проект theZoo

Для скачивания и изучения предлагается как исполняемый файл так и исходники.

Как пользоваться theZoo?

Использовать проект theZoo можно по разному: прямо с сайта или с помощью фреймворка. Мы рассмотрим оба способа. Начнем с первого.

Итак, переходим на сайт и видим несколько директорий и файлов.

Исполняемые файлы вирусов находятся в каталоге:

theZoo / malwares / Binaries /

В нем вы найдете исполняемый файл вирусов. Для каждого отдельного вредоноса — отдельная директория, в которой находятся 4 файла: само вредоносное ПО в зашифрованном виде в ZIP архиве, SHA256 и MD5 — контрольные суммы архива для сравнения и пароль для зашифрованного архива.

Исполняемые файлы вирусов: Троян Androrat

Исходный код вирусов находятся в каталоге:

theZoo / malwares / Source / Original /

В каждом каталоге четыре аналогичных файла. Все также как и с исполняемыми файлами.

Исходники вирусов: Троян Dendroid

Для каждого отдельного образца есть справка, но чтобы воспользоваться справкой необходимо установить фреймворк.

Для установки фреймворка theZoo используем команду:

git clone https://github.com/ytisf/theZoo

Требования: urllib2, python3

Команды: search, use, get, info, list all, report-mal, update-db, exit. Подробнее о командах с помощью команды help.

Итак, с этим проектом разобрались, теперь рассмотрим еще один.

Образцы вирусов: Проект Malware

Проект Malware тоже расположен на Githab. Выбор вирусов не такой большой как в зоопарке, но обновляется чаще. Среди небольшого количества вредосноных программ можно найти исходники троянов, ботнетов, вымогателей, стиллеров паролей и прочего «добра».

Вот список на сегодняшний день:

  • Alina Spark (Троян)
  • Bleeding Life 2 (Эксполит пак)
  • Carberp (Ботнет)
  • Carberp (Банковский троян)
  • Crimepack 3.1.3 (Эксплоит пак)
  • Dendroid (Троян для Андроид)
  • Dexter v2 (Троян)
  • Eda2, Stolich, Win32.Stolich (Вымогатель)
  • FlexiSpy (Шпионское ПО)
  • Fuzzbunch (Фреймворк)
  • GMBot (Android троян)
  • Gozi-IS — (Банковский троян)
  • Grum (Спам бот)
  • Hacking Team RCS (RAT)
  • Hidden Tear (Вымогатель)
  • KINS (Банковский троян)
  • Mirai (Ботнет интернета вещей)
  • Pony 2.0 (Стилер паролей)
  • PowerLoader (Ботнет)
  • RIG Front-end (Эксплоит пак)
  • Rovnix (Буткит)
  • Tinba (Банковский троян)
  • TinyNuke (Банковский троян)
  • Trochilus, RedLeaves (RAT)
  • Zeus (Банковский троян)

Исходный код вирусов: проект Malware

Давайте к примеру зайдем в папку трояна Alina. Здесь нам предлагается несколько директорий, среди которых есть и исходники. Кроме того в нижней части авторами добавлены ссылки на информацию касающуюся вредоноса.

Исходники вирусов: Троян Alina

Кстати, часть образцов требуют ключ активации, это говорит о том, что когда-то они сдавались в аренду или продавались вирусописателями.

Источник: https://spy-soft.net/obrazcy-virusov/

Советы доктора
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: