Как сисадмин перехитрил авторов трояна-шифровальщика
Для тех, кто не знает:
По интернетам бродит такой тип вымогателя как "шифровальщик", распространяется преимущественно через спам по почте, да не абы как, а методично и целенаправленно, с умным текстом. В основном по фирмам, под видом интересных коммерческих предложений, предупреждениях о жалобе в суд, налоговой и все в этом духе.
Чаще всего на вид - это простой экселевский или вордовский файл с измененным расширением, или же архив, просто при попытке открытия вылетает сообщение по типу "файл поврежден/невозможно прочитать". После этого, эта дрянь начинает убер-быстро, или аккуратно и размеренно - шифровать ваши файлы (архивы, документы, фото, 1с базы и т.д.). В один прекрасный момент, все файлы попадающие под его сферу влияния - меняют расширения и перестают открываться, или же открываются, но там какая-то билиберда из символов, а сам вирус самовыпиливается из системы. По завершению в корне диска или на рабочем столе (а может и в каждой папке) создается текстовый файл с инструкциями (бывают и баннеры и картинки и многое другое), по типу:
йохохо! мы захватили ваш корабль, стоимость расшифровки "X"кило-рублей, за дешифратором обращайтесь на почту "@blabla"
Эта дрянь обычно не ловится антивирусами/фильтрами.. права админа не нужны. Единственное радует, что сеть не шифруют (по крайней мере не встречались такие виды).
Сталкивался с такой штукой у клиентов около 5 раз, 1 раз платили сторговавшись, другие 3 раза просто поплакали и успокоились, а вот про один случай расскажу подробней.
Позвонила одна небольшая семейная фирма (очень приятные люди, пожалуй мои самые любимые клиенты), всегда понимают проблему, не давят, не торопят, деньгами не обижают. Говорят, мол документы не открываются. Приехал, посмотрел, оно самое.. бэкапов нет, копий тоже. С помощью наводящих вопросов удалось узнать, что пришло на почту что-то там из суда, документ не открылся, сообщение удалили и забыли.
Компьютер реквизировал в офис нашей фирмы и стал потеть, ибо проигравшим из этой битвы я выходить не хотел.
Сделал полный бэкап. С помощью гугла был внимательно изучен конкретно этот подвид, его повадки, тип шифрования, другие пострадавшие.
Попытался воспользоваться известными дешифраторами созданными специально для такого дела, к сожалению успеха не принесло.
После чего отправлены сообщения с проблемой в dr.web, comodo, nod32, kaspersky, со всеми анализами системы и примерами файлов, между делом выполнял их инструкции, но все пожали плечами, мол извините.
Попытки восстановить предыдущие версии файлов успеха не принесли. Восстановление системы разумеется тоже.
Всякими рековерами пытался восстановить как удаленные файлы, глухо. Были еще какие-то попытки и бредовые идеи по типу подбора ключей шифрования (интересно, сколько бы лет на это потребовалось?), но все оказалось тщетно.
Пришлось идти на контакт с вымогателями. Аккуратно, вежливо, мы пообщались на тему того, какие они засранцы и мол без денег, наслаждайся тем, что имеешь. Договорились, что если они расшифруют в качестве доказательства пару файлов разных форматов, то так и быть, поговорим об оплате (платить насколько помню никто не собирался, сумма была приличной).
Вот тут то и произошел забавный инцидент, в момент прикрепления файлов, оказалось, что не все они имеют одинаковое расширение (чуть позже у клиента узнал, что было 2 письма на разную тематику..), выяснилось, что работало 2 разных шифровальщика, но второй почти ничего не успел себе загрести, кроме какого-то хлама. Не знаю, что меня дернуло, но посчитав это шансом, отправил преимущественно хлам от второго. Ребята на том конце подумали и сообщили, что работали то и не они.. короче пришлось убедить их, что они были вторыми. Поговорили о бренности бытия, и попрощались. Я продумывал стратегию и потихоньку пытался настроить на домашнем сервере "по теории" подходящий дешифратор на метод перебора..
И тут пришло сообщение от тех ребят, им стало обидно, что ничем не могут помочь, мол извините нас за такой метод заработка, и держите наш дешифратор 0_о, авось пару файлов да спасете.
Знаете, расшифровалось все, кроме хлама от второго.
Потрачено на все про все было около 3 дней, мой начальник ржал и был доволен, спрашивал, каким богам я молился. Клиенты до этого очень расстроенные шансами на успех, были на 7-ом небе от счастья.
Если бы у меня ничего не получилось, то фирме скорее всего пришлось бы закрыться.
Вот как это назвать? Удача, магия, холодный расчет, я не знаю.. просто задумайтесь о шансе такого поворота событий.
Комментарии
Мне интересно , а как эти*шифровальщики* выходят на связь с потерпевшими?)
Я не открываю письма от незнакомцев, но всякое может случиться ...мышкой можно случайно кликнуть)
А шифровальщик, попал на комп, сделал своё дело и ни с кем пакетами не обменивается. Об адресе для связи с хакером или номере телефона\кошеля\карты, он напомнит в своём сообщении-баннере, который повиснет на рабочем столе. А можно и напакосить и без вывода сообщения - есть такая настройка в билдере троянца. Тогда, жертве не с кем будет связаться и перевести деньги, это уже делается не для наживы, а хулиганства ради.
У более крутых шифровальщиков, есть функция отсрочки запуска шифрования. Жертва запустит к примеру, картинку или документ с аттачем, посмотрит его и ничего не произойдёт. Файло пошифруется через некоторое время, указанное хакером или после перезагрузки\при следующем включении компа. И тогда, жертва вапще не поймёт, хде и кахда подцепила заразу.)))
Шифровальщиков подбрасывают, в основном с письмами. К письму прикрепляют какое нить файло, музыку, картинку, документ итд, а созданный билд трояна, маскируют от антивирусов и склеивают с этим файлом. Есть другие способы распространения, под видом кряков, кейгенов или другого софта. А как его впаривать, это уже вопрос социнжинерии, тупо закинуть на файлопомойку или подкатить к конкретному человеку и под любым предлогом ему его сунуть.
И смотрите мой камент ниже.