[CuxpecT]

Тема не совсем вебмастерская, однако здесь очень много как людей в бизнесе, так и сисадминов\программистов, поэтому решил отписать на общее обсуждение.

Итак. Часть 1. Приходит письмо якобы от поставщика\контрагента, но с другой почты.

Здравствуйте!

Нашей бухгалтерией была проведена сверка, по итогам которой за Вашим предприятием выявлен долг.

Просим ознакомиться с Актом сверки (см. вложение) и ответить по срокам погашения.

Напоминаю, что несвоевременная оплата является основание для начисления пени.


С уважением, "Инновент МТД"
тел.8(499) 730-76-07 8 (499)730-76-08
Внимание! Прямой телефон без кода (495) 647-14-78

Реквизиты в конце письма верные, но вот письмо отправлено с ящика innovent-mtd@mail.ru, который не является официальной почтой данных товарищей.
В письме содержится архив с именем Сверка 27.06.2014.zip, после запуска которого что-то происходит. Я пока виртуалку ещё не накатывал - не могу сказать - эффект идёт сразу или внутри этого архива ещё есть файлы.

Часть 2.Далее происходит само "заражение". Описание любезно предоставляет сам Виктор Евгеньевич

Описание вируса

Здравствуйте. Все файлы были ВРЕМЕННО ЗАБЛОКИРОВАНЫ с помощью алгоритма RSA-1024

1) Это инструкция, которая поможет понять и решить Вашу проблему.

2) Для решения данной проблемы нужно объединить наши общие ресурсы:

Наши ресурсы:
- Только мы можем разблокировать файлы
- У нас есть гарантии того, что после оплаты будет передан Ваш уникальный (!) ключ для разблокировки
- Мы можем минимизировать Ваши риски до оплаты и после
- Мы можем предоставить те консультации, которые минимизируют подобные случаи в будущем.

Ваши ресурсы:
- электронная валюта
- e-mail
- немного доверия

3) Мы не из тех, кто шифруют данные, получают средства и затем пропадают.
В данном случае Вы и вправду имеете возможность разблокировать файлы. Почитайте отзывы в интернете.
Только есть небольшое временное ограничение (срок годности ключа не вечный)

4) У Вас есть два варианта:
а) Форматировать диски и вернуть 0% файлов - неразумно
б) Скоммуницировать с нами, договориться за разблокировку и вернуть все файлы обратно - вполне правильно

== Почта paycrypt@gmail.com ==

Тех. справка для системных администраторов:

1) Одной из гарантий того, что файлы могут быть дешифрованы, есть наличие дешифратора у Вас.
Поищите на компьютере архив DECODE.zip. Внутри дешифратор с открытым исходным кодом. Попробуйте запустите его.
Вам напишет, что ключ не найден. Вот он Вам и нужен - Приватный ключ (длина 1024 бита).

2) Ваш случай - ассиметричное шифрование RSA-1024, используется в военной сфере. Подобрать/взломать его невозможно.
При шифровании, в разные места компьютера был скопирован специальный ID-файл 'KEY.PRIVATE'. Не потеряйте его!
Для каждого компьютера ID-файл создается новый. Он уникальный и в нём содержится код на дешифровку. Он Вам и нужен.
"Временно заблокированы" означает, что файлы побайтово модифицированы публичным 1024 битным RSA ключем.

3) Итак, наши с Вами следующие действия:

7.1. С нами связь держать можно только по электронной почте paycrypt@gmail.com
7.2. В начале Вам необходимо получить гаранти того, что мы можем расшифровать файлы
7.2. Контактируете с нами. Структура Вашего e-mail письма:
- вложение Вашего ID-файла 'KEY.PRIVATE' (!!) - поищите его на компьютере, без него восстановление невозможно
- 1-2 зашифрованных файла для проверки возможности расшифровки
- приблизительное колл-во зашифрованных файлов / компьютеров
7.3. В течение 1-го часа Вы получите гарантию и стоимость на Ваш ключ
7.4. Далее производится оплата, минимальная стоимость от 150 евро.
7.5. Мы отправляем Вам ключ, Вы его кладете в одну папку с дешифратором (DECODE.exe)
7.6. При запуске дешифратора производится скрытая дешифровка данных. Процесс запускать более 1-го раза нельзя.
7.7. Процесс дешифрования может занимать до 12-ти часов в скрытом режиме. По окончании процесса компьютер перезагрузится.

Советы:

9.1. После приобретения ключа, сделайте копию всех важных зашифрованных файлов на внешние носители.
9.2. В процессе дешифрования желательно не трогать компьютер, (!) ДВА раза запускать с ключем дешифратор не нужно.
9.3. Если думаете, что вместо дешифратора Вы получите очередной вирус, тогда поставьте вирт.систему и там проведите дешифровку.
9.4. Если какие-то файлы не будут окончательно расшифрованы, мы дорасшифруем вручную (в архиве по почте)
9.5. Мы также, осознаем то, что Ваши файлы могут быть очень ценны для Вас, поэтому мы понимаем важность их восстановления.
9.6. В особых случаях, мы пойдем с Вами на компромисс.
9.7. Как защититься от этого? - Еженедельное резервное копирование. Не открывайте подозрительные файлы. Используйте Unix системы.
BLOCK DATE: 01.07.2014 / 08:38

[свернуть]

Как видим, довольно наглые товарищи, однако, как уверяют пользователи в интернетах - вежливые.

Далее идёт переписка:
Часть 3.

Мы готовы Вам помочь.

Введем Вас в курс. В случае если количество файлов не превышает 4000 шт. -
140 евро (6620 рублей + 100 рублей комиссия)
Ключ можете получить уже сегодня. Тестовую расшифровку можем провести
сразу, после Вашего подтверждения.

Часть 4. Оплата

оплата

## ОПЛАТА КЛЮЧА И ДЕШИФРОВКА ДАННЫХ ##

1. Перейти на сайт-обменник BitCoin - http://wmglobus.com

2. Заполняем справа в поле:
- Вы отдаёте: [Ваш метод оплаты]
- Вы получаете: BITCOIN
- Вы отдаёте: [оговоренная сумма] + 100руб комиссия
- Вы получаете: по курсу автоматически

4. Нажимаем обменять...
5. Появятся поля для заполнения. Все поля заполните по реквизитам.
6. Последняя строка "Номер кошелька" это куда уйдет сумма. Скопируйте
туда этот счет:

1HYoKWewE2sAqiibXbuQxdjuUJuNfan6ZT


7. После перехода к оплате, появится НАПРИМЕР следующее сообщение:

Для совершения обмена по заявке № 14018967122391 Вам следует
совершить действия:
Нажать на кнопку "Перейти на сайт Альфа банк" и сделать перевод по
реквизитам:
н-р Виктор Евгенъевич, и н-р счёт № 478362762348287
На сумму **** RUR Альфа-банк
В примечании - строго "Частный перевод"
Ввести правильно проверочные цифры безопасности в синее поле.
ОБЯЗАТЕЛЬНО!!!! После оплаты нажать кнопку "Я оплатил"


8. По сути, Вас запросят сделать перевод. Вы проводите платеж через
онлайн банкинг (и др) по данным реквизитам и нажимаете кнопку "Я
оплатил".
9. Нам пишите № заявки и точную сумму получения BITCOIN
10. Структура ответа нам примерно следющая:
- Номер заявки № 8402515836697
- Отправлено 0,39598831* BTC
- файл **KEY.PRIVATE

11. В ответ мы отправляем Вам ключ UNCRYPT.KEY
Это Ваш уникальный приватный ключ для дешифрования.
- Вы копируете в одну папку файл UNCRYPT.KEY и DECODE.exe (из архива**)
- Запускаете DECODE.exe - должно написать Key FOUND (ключ найден)
- Закрываете все открытые программы кроме дешифратора и нажимаете ОК.
- Далее просто ожидаете перезапуска. Дешифровка это длительный
процесс. Иногда больше 3-х часов.


Советы: Если все файлы критически важны, сделайте напровсяк их копии
перед дешифровкой. Или проведите дешифровку на другом чистом
компьютере.
Если вдруг Вы подумаете, что всё стоит на месте и запустите 2 раза
дешифратор, этим самым Вы можете испортить его работу.
Процесс дешифрования следующий: производится поиск всех файлов с
расширением @gmail_com, переименовывание в .gpg
Далее, когда список файлов собран начинается дешифрование используя
купленный приватный ключ. 1 ключ = 1 компьютер
Дешифратор без вирусов. Открытый исходный код.

** Где найти KEY.PRIVATE. При начале работы ПО, KEY.PRIVATE копируется
в несколько мест, дабы Вы его не удалили где-то.
Без файла KEY.PRIVATE дешифровка невозможна. Он может находится по
след. путям:
- Рабочий стол
- Корни дисков
- Папка %TEMP%/KEYPRIVATE/ (скопировать и перейти в путь "Мой Компьютер")
- Папка %APPDATA%/

Архив с дешифратором Вы можете найти также поискав файл DECODE.zip.
В случае потери, дешифратор переотправим.

[свернуть]

Часть 5. Добив

уточним, что дешифратор с ограничениями. Если нужны без ограничений -
стоимость 260 евро.

Честно, мне очень понравилось то, как организована данная схема. Но, пострадал мой отдел маркетинга и канцелярия. Нужно что-то делать с этим и предотвращать в дальнейшем.

Вопросы:
1) Откуда вирус знает, что инновент наш контрагент?
2) Как можно предотвратить запуск файлов в архиве или самого архива у пользователей? Как вирус данная хрень естественно распознана быть не может (см. описание).
3) Была идея отключить службу криптования, либо написать что-то типа прогины, которая сканировала бы содержимое архивов.
4) Как правильно подать заявление в суд на данных товарищей?


Кто чем может помочь? Помимо стандартных советов, которые нам уже дали сами шифровальщики.

P.S. Кому интересно поковырять - держите архивчик _http://dropmefiles.com/urvIX
Внутри пример 1 зараженного файла + сам опасный архив + все инструкции и дешифратор

[intern]

Откуда вирус знает, что инновент наш контрагент?

Видимо адресно работают

[meilleur]

Обращаешься в органы, это уголовное дело, мошенничество и вымогательство. Как правильно подать заявление? Думаю в прокуратуре помогут.

Как знает? Скорее всего работает в связке, сначало какой нить троян отсылает информацию, а потом уже на анализе данных (человеком) Выбирается нужный Email. Троян может быть не у Вас а у вашего контрагента. Думаю от Вас тоже могла пойти рассылка к вашим клиентам.
Запретить запуск файлов можно по маске, через политики безопасности Виндовс, (можно запретить все файлы и разрешить только определенные, либо разрешить запуск только из указанного места а все остальное будет блокировать).

ПС Лучше всего хранить важные файлы на сервере хранения данных(тупо на отдельном компе) И бекапить его регулярно... По деньгам выходит дешевле... Чем в такой ситуации платить мошенникам... И терять заказы из за простоев...

[CuxpecT]

meilleur, спасибо за советы, но по маске блокировать файлы архивов не вариант, т.к. очень часто приходят нормальные архивы "сверху", а подобная хрень скорее как исключение

если может у кого из присутствующих была такая хрень - можем скооперироваться, написать заявление совместно

[meilleur]

Какой антивирус стоял на машине с письмом?

[CuxpecT]

meilleur, KIS 6.0 лицензия

[meilleur]

Общался с сотрудником ИБ

по сути - шифрует только файлы, саму файловую систему не трогает
поэтому он может и не сразу рубануть все файлы
а типа постепенно
но бывали и фейковые вирусни
табличку покажет - а на самом деле переправлял файлы

всегда по разному..

[lipshets]

На хабре была статья про эти шифровальщики. С прошлыми версиями справлялся только доктор веб высылая дешифратор. А сейчас насколько я знаю пока никто не смог расшифровать данный метод кодировки. Был ещё совет просканить файловую систему на измененные (удаленные файлы, копии файлов), но не знаю поможет ли восстановить.

[Brovik]

мда....вот поэтому распаковывать архивы с почты, даже со знакомых мыл не рекомендуется.
Мне когда кто-то с друзей высылал архив, то я ему звонил и спрашивал он ли выслал)))

ПыСы раньше админом работал )))

ПыСы2 А вообще это шифрование походу еще никто не сломал, короче говоря бэкапы+мозг спасают от любой вирусни.

[CuxpecT]

асинхронное шифрование с ключом длинной в 24 бита не поддаётся дешифровке, т.к. отсутствует вторая половина ключа, а на подбор уйдут годы.

как бы "заражённые" файлы восстановлению уже точно не подлежат, вся надежда на внимательность и бэкапы, но и тут недочеты есть. к примеру, у нас овер 100 машин и всего 1 сервер под бэкапы. С каждого если инфу сливать каждый день - никакого хдд не хватит + сеть загружена будет. а письма идут сотнями каждый день - каждого поставщика обзванивать уточнять тоже нереально.