Trojan encoder 858: Служба вирусного мониторинга Dr.Web

Содержание

зараженные письма идут от имени авиакомпаний, автодилеров и СМИ — Group-IB Медиа-центр

Group-IB зафиксировала новые масштабные атаки вируса-шифровальщика Troldesh (Shade) на российские компании. Злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. Только в июне Group-IB обнаружила более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000. На данный момент кампания по рассылке вируса-вымогателя активна.

Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome — это вирус, который шифрует файлы на зараженном устройстве пользователя и требует выкуп, чтобы восстановить доступ к информации. Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения. Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.

Согласно данным Threat Detection System (TDS), масштаб атак с использованием Troldesh во втором квартале 2019 почти в 2,5 раза больше, чем за весь 2018-й год. На июнь пришелся новый пик активности вируса-шифровальщика. Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online). В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть аттач — запароленный архивный файл, в котором якобы содержатся подробности «заказа». Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры.

В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки. Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиаотрасли, сферы рекрутинга и медиа. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров.

Ярослав Каргалев

заместитель руководителя CERT Group-IB

Впервые активность Troldesh эксперты Group-IB зафиксировали еще в 2015 году, они обратили внимание на то, что вирус успешно обходил антивирусные средства защиты. Злоумышленники регулярно меняли «пакер» — программу-упаковщик, которая уменьшает размер файла и создавала сложности в обнаружении и реверсе — из-за этого антивирусные программы часто пропускали его. К концу 2018 году Troldesh стал одним из самых популярных вирусов-шифровальщиков и уверенно вошел в топ-3, наряду с RTM и Pony. Эксперты PaloAlto Networks сообщали, что Troldesh работает не только по российским целям — среди стран, пострадавших от действий вымогателей — США, Япония, Индия, Таиланд и Канада.

Напомним, предыдущая масштабная кампания Troldesh была в марте этого года: тогда рассылка шифровальщика Troldesh была также нацелена на российские компании и шла от лица представителей известных брендов — ритейла, финансовых и строительных компаний.

Вылечим вирус шифратор

CryptoLocker представляет собой вирусный файл, который после проникновения в компьютер начинает шифровать личный данные «жертвы», найденные на компьютере. Хакеры используют умелые алгоритмы шифрования, обычно пользователь после инфицирования вируса не сразу догадывается что его подхватил, вирус выжидает два или более дней чтоб анализировать ваши файлы, обычно вирус затрагивает такие файлы как xlsx, doc, txt, фотографии (jpeg, png, gif), а также файловые базы данных «К примеру базы, 1С бухгалтерии» Затем Trojan.encoder выводит баннер с информацией по оплате программы дешифратор (обычно они пользуются способом оплаты через систему «Bitcoin») И грозятся удалить вашу информацию по прошествии определенного количества времени. НЕ СТОИТ ДОВЕРЯТЬ ХАКЕРАМ!

В настоящее время Trojan.Encoder — одна из самых опасных угроз для пользователей, имеющая несколько тысяч модификаций.

Каким образом вирус шифровальщик проникает на Ваш компьютер?

Вирус CryptoLocker распространяется через несколько средств:
— Вредоносные веб сайты, которые изначально заразились или были взломаны хакерами для атаки;
— Электронная почта. Хакеры рассылают спам письма, которые имеют заголовок определенного типа. Например, решение суда или письмо от сбербанка или друга, во вложении письма есть файл, вирус, который при открытии немедленно начинает анализировать ваш компьютер;
— Через торрент трекеры. К сожалению поиск бесплатных программ зачастую бывает плачевным для пользователя, при распаковке программ в приложении есть файл программа шифратор.

Как удалить вирус шифровальщик с моего компьютера?

Первый вариант вам пригодится если у вас есть бекапы вашей системы и файлов. Удалить баннер вы можете просто, установив антивирус, в крайнем случае помогает переустановка системы.
Во втором случае если вы не делали бекап вашей системы и вам нужны ваши данные.
1. Не в коем случае не устанавливайте антивирус. Наша команда способна расшифровать этот вирус, но процедура очень трудоемка. Нашим специалистам нужна информации о том как проник вирус, в какое время и т.п. При установке антивируса вся эта информация исчезнет что повлияет на время выполнения расшифровки вашей информации.
2. Не пользуйтесь компьютером. В вирусе встроен код (счётчик), который отсчитывает время пользования, по истечению которого вся информация может удалится.
3. Не планируйте контакта с хакерами! Хакеры зачастую бывают обычными студентами программистами которые знают, как шифровать файлы. Вымогая определенную сумму, они дают обещания что после оплаты на «bitcoin» кошелёк вышлют программу дешифратор чего не случается в 99% случаев. После оплаты они прекращают с вами общения из-за чего вы теряете драгоценное время, нервы и деньги.

Компьютеровичков сможет расшифровать ваши данные после вируса шифратора в 85% случаев!

Известно, что алгоритм шифрования «рандомный» то есть при зашифровки ваших файлов ключ к ним подбирается наугад. Из-за этого антивирусные компании не могут выпустить универсальную программу дешифратор, для каждой программы шифратор нужен индивидуальный подход. Ключ для шифровки файлов могут состоять из десятки сотен символов.
Поэтому наши специалисты совместно с ведущими компаниями в разработке антивирусов могут вам помочь! Мы знаем по каким алгоритмам работают хакеры. Зная алгоритмы шифрования можно за считанные часы подобрать ключ к вашим файлам. Доверив вашу информацию нам у вас есть гарантия что она будет в надёжных руках!

Как мы работаем?

1. Вы оставляете заявку на нашем сайте или по телефону
+7 (812) 409-36-66
2. Вы присылаете к нам на пробу несколько зашифрованных файлов по адресу Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. Или наш мастер через программу Team Viewer подключается к вам и сделает пробу за вас.
3. Мы анализируем ваши файлы. (От 1-го до 3-х суток)
4. Мы пишем дешифратор. Подписываем договор о дешифровке. Возможен приезд мастера (только Санкт – Петербург)

Оплата

Наличными мастеру
По безналичному переводу на счёт компании

Внимание пострадавшим от шифровальщика Shade / Troldesh / Encoder.858 | SafeZone

Мы — команда, стоявшая за созданием трояна-шифровальщика, наиболее известного как Shade, Troldesh и Encoder.858.
Фактически мы остановили свою деятельность по его распространению ещё в конце 2019 года, а сейчас, чтобы поставить последнюю точку,
нами было принято решение выложить все имеющиеся у нас ключи (более 750 тысяч), необходимые для расшифровки, в открытый доступ.
Свой софт для расшифровки мы также выкладываем; кроме того, рассчитываем, что антивирусные компании, получив ключи,
сделают собственные инструменты для расшифровки с более удобным интерфейсом.
Все остальные данные, имеющие отношение к нашей деятельности (включая исходные коды самого трояна), были безвозвратно уничтожены.
Мы приносим извинения всем пострадавшим и надеемся, что опубликованные нами ключи помогут им восстановить свои данные.

ЗЕРКАЛА ДЛЯ СКАЧИВАНИЯ:
shade_decryption (все ключи по отдельности; все ключи в архиве; софт)
Папка из Облака Mail.ru (все ключи по отдельности; все ключи в архиве; софт)
shade_decryption – Google Drive (все ключи в архиве; софт)
shade-team/keys (все ключи по отдельности)
shade-binary/bin (софт)

ИНСТРУКЦИЯ ПО РАСШИФРОВКЕ:

Примечание: часть выложенных программ детектируется некоторыми антивирусами, так как использует общие с шифровальщиком блоки кода.
Во избежание удаления все exe-файлы были заархивированы с одинаковым паролем: 123454321

Если ваши файлы после шифрования имеют одно или несколько расширений из этого списка, в папке keys вам будет необходима подпапка main:
* xtbl
* ytbl
* breaking_bad
* heisenberg
* better_call_saul
* los_pollos
* da_vinci_code
* magic_software_syndicate
* windows10
* windows8
* no_more_ransom
* tyson
* crypted000007
* crypted000078
* rsa3072
* decrypt_it
Если ваши файлы после шифрования имеют одно или несколько расширений из этого списка, в папке keys вам будет необходима подпапка alt:
* dexter
* miami_california
Далее необходимая вам подпапка будет обозначаться <dir>.
Подпапка master предназначена для некоторых производителей антивирусного ПО, им были направлены необходимые инструкции.

0. На время любых действий по восстановлению файлов рекомендуется закрыть все программы (в том числе антивирусное ПО) и не выполнять никаких других действий на компьютере.
Если у вас сохранился ID компьютера — перейдите к пункту 1. Если нет — к пункту 2.

Этот ID представляет собой строку из 20 букв и цифр вида AABBCCDDEEFF00112233 и сохранялся в файлах README.txt на рабочем столе и в корневых папках всех дисков.
Кроме того, в поздних версиях шифровальщика ID также добавлялся после имени зашифрованных файлов.

1. Если в коде из файла README.txt после вертикальной черты стоит ноль (например, AABBCCDDEEFF00112233|0), перейдите к пункту 1.1.
Если код из файла README.txt содержит три вертикальных черты (например, AABBCCDDEEFF00112233|765|8|1), перейдите к пункту 1.2.

1.1. Зайдите в папку /keys/<dir>/dynamic/<letter>/, где <letter> — первая буква или цифра вашего кода (в примере — A).
В папке /keys/alt/dynamic/ все файлы расположены вместе, без сортировки по первым буквам ID.
Найдите txt-файл, имя которого совпадает с вашим ID и скачайте его (если таких файлов несколько, скачайте все и повторите процедуру расшифровки с каждым из них).

Для быстрого поиска нужного файла можно воспользоваться поиском вашего ID на странице (сочетание Ctrl+F во всех браузерах).
Если файл(ы) найден(ы), перейдите к пункту 3.

1.2. Зайдите в папку /keys/<dir>/static/ и найдите файл с числом, стоящим после первой вертикальной черты (в примере — 765). Скачайте его и перейдите к пункту 3.

2. Скачайте и запустите программу /bin/getid.exe. Она отобразит ID, выполните с ним действия из пункта 1.
Если это не поможет, попробуйте выполнить пункт 2.1.

2.1. Создайте на своем компьютере папку с путём, содержащим только английские буквы и цифры (далее — c:\1\).
Скачайте в неё файл /bin/decrypt_bruteforce.exe и создайте рядом подпапку keys. После этого скачайте все файлы из /keys/<dir>/static/ (или саму эту папку) и поместите их в c:\1\keys\.
Возьмите любой из зашифрованных файлов и поместите в c:\1\.
Запустите decrypt_bruteforce.exe и дождитесь окончания работы. В случае успешного подбора ключа в окне отобразится имя файла, который его содержит.
Сохраните этот файл и перейдите к пункту 3.

3. Создайте на своем компьютере папку с путём, содержащим только английские буквы и цифры (далее — c:\decrypt\).
Скачайте и сохраните в неё файл /bin/decrypt.exe.
Можно воспользоваться вместо него программой /bin/decrypt_nolog.exe (отличие только в том, что она отображает менее детализированную информацию о ходе расшифровки).
Затем скопируйте в эту папку полученный на предыдущем этапе файл с ключом и переименуйте его в key.txt (key, если в вашей системе отключено отображение расширений файлов).
Если зашифрованные файлы расположены на вашем компьютере, просто запустите decrypt.exe.
Если зашифрованные файлы находятся на внешнем носителе, подключите его, затем нажмите Пуск->Выполнить->(введите) cmd.exe и нажмите Enter.
В открывшемся окне введите команду
cd c:\decrypt\ && decrypt.exe <path>
где <path> — имя подключенного внешнего носителя (например, S:\), и нажмите Enter.
Дождитесь окончания работы дешифровщика.
Если в папке с дешифровщиком появился файл RENAME.txt, скачайте и сохраните в эту папку программу /bin/rename.exe, запустите её и дождитесь окончания работы.

В случае возникновения каких-либо затруднений советуем дождаться появления более удобных инструментов расшифровки от антивирусных компаний,
и/или обратиться за бесплатной помощью на один из тематических форумов, например, Уничтожение вирусов

Вирус Шифровальщик -расшифровать

Вирус-шифровальщик – одна из новейших и опаснейших хакерских разработок. Под этим термином подразумевают совокупность вредоносных программ, влияние которых на зараженный компьютер заключается в шифровании пользовательских данных. Для этого используются разнообразные алгоритмы. Чаще всего блокируются текстовые документы, музыкальные и видеофайлы, фотографии, базы данных и пр. Обратите внимание: системные файлы такой вирус не затрагивает. Его опасность состоит в том, что методов борьбы с ним мало, восстановить данные не всегда возможно. Более того, после заражения на экране монитора всплывает сообщение с объяснением произошедшего и требованием заплатить определенную сумму за код-дешифратор, который восстановит заблокированные файлы. Однако, как показывает практика, поддавшийся такому шантажу человек теряет и деньги, и информацию.

Коротко о вирусе: троянцы семейства Trojan.Encoder представляют собой вредоносные программы (скрипты), шифрующие файлы на диске компьютера и требующие деньги за их расшифровку (дешифратор). Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar *.1CD и так далее. 
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи: 
1. жертва заражается через спам-письмо с вложением (маскируя: Повестка в суд, налоговые органы или счет)
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами, 
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Просто позвоните по бесплатному тел. 8 (812) 920-76-10, и мы поможем с пострадавшим компьютером.

Разновидности шифровальщиков (самые популярные): 

  • Вирус XTBL
  • VALUE 
  • ENIGMA  (энигма )
  • da_vinci_code
  • better_call_saul
  • _XO101″>Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра._XO101
  • BREAKING_BAD
  • NEITRINO
  • и другии

Подобный вирус может проникнуть в компьютер несколькими способами:

1. Первый и наиболее распространенный путь – электронная почта. Вложения в письмах могут содержать опасный вирус. Открыв их, пользователь запустит вредоносную программу, которая зашифрует данные на компьютере. Примечательно, что имя вложения может выглядеть совершенно безобидно (например, «Новые условия.doc»). Письмо будет отправлено якобы партнерами по работе, и ничего не подозревающий человек его откроет. На самом деле название вложения намного длиннее, а в конце содержится .exe, но этого получатель не видит.        

2. Программы, игры и пр. Предположим, вас интересует какое-либо ПО, которое распространяется на платной основе. Природное желание сэкономить заставляет искать взломанную версию. Запустив ее на компьютере, вы рискуете занести опасный вирус.       

3. Самораспаковывающийся архив. Даже если программное обеспечение, которое вам необходимо, предоставляется разработчиками бесплатно, есть шанс стать жертвой хакеров. Устанавливая приложения, утилиты и пр., скачанные с неизвестных ресурсов, вы также можете нанести вред компьютеру и потерять все данные.          

К сожалению, сегодня гарантированного метода исправления последствий шифровальщиков не существует. Даже если вы решили пойти на поводу у хакеров и отправить им запрошенную сумму, это не значит, что файлы вернуться в прежнее состояние. Как поступить в такой ситуации:

1. Этот способ подходит, если на компьютере установлено лицензионное антивирусное ПО. Отправьте запрос на официальный сайт компании, прикрепив зашифрованный документ и его «нормальную» копию, если она есть. Далее ожидайте, пока вам ответят.

2. Кардинальный, но действенный метод. Для этого вам придется распрощаться с информацией и полностью отформатировать жесткий диск, после чего заново установить операционную систему.     

Увы, но откат системы до какой-либо сохраненной точки не поможет. Уничтожить вирус, скорее всего, получится, но файлы останутся заблокированными.

 

  • Храните копии данных, которые имеют для вас ценность, на дисках.
  • Обращайте особое внимание на почтовые вложения.
  • Загружайте файлы только с проверенных сайтов.
  • Не доверяйте отзывам в интернете («Я перечислил им необходимую сумму, и мне все расшифровали!»). Они написаны самими разработчиками вируса. 

Что же делать, чтобы не поймать вирус-шифровальщик?

Ответ весьма прост — включать свою голову и не открывать подряд все файлы. Еще может помочь установка антивируса. Но нужно учесть обязательный факт, что антивирус должен постоянно обновляться. Это очень важный момент, так как любой антивирус, который не обновляется — теряет свою актуальность.

Разновидностью вируса-шифровальщика можно представить на примере наиболее популярного его вида — сомалийские пираты. У разработчика вируса-шифровальщика есть чувство юмора, когда вирус шифрует все данные, на рабочем столе появляется фото, на котором изображены современные пираты на лодке и сообщение, которое гласит о том, что сомалийские пираты захватили вашу яхту — компьютер. И не отдадут вам файлы, пока вы не оплатите им выкуп. Выкуп оплачивается при помощи популярных платежных систем.

Сразу скажу — платить не нужно. Большая вероятность, что имеется возможность расшифровать файлы. Расшифровка может произойти в том случае, если вирус-шифровальщик старой версии. Это значит, что антивирусные компании уже нашли способ расшифровать файлы, которые были зашифрованы этим вирусом.

 

Что нужно делать, если файлы зашифрованы вирусом

Первым делом, заходим на сайт антивирусной компании Doctor Web. Данная компания часто выкладывает в открытый доступ специальные утилиты, которые позволяют расшифровать файлы. Но есть одно но. Нужно обязательно иметь лицензию на антивирус Doctor Web, тогда сотрудники данной компании вышлют вам данную утилиту. Но, как я уже говорил, часто эти утилиты находятся в открытом доступе на сайте антивирусной компании Doctor Web, где вы можете их скачать и попытаться расшифровать свои файлы.

Почему именно «попытаться расшифровать»?

Потому что новые версии вирусов-шифровальщиков, шифруют файлы по особому алгоритму, который часто не поддаются расшифровке. Что делать в этом случае? В этом случае необходимо скопировать все зашифрованные файлы на отдельный носитель: флешку, жесткий диск, DVD, CD диск. И ждать, пока антивирусные компании не разработают утилиту по расшифровке файлов, которые были зашифрованы этим вирусом.

 

НАШИ УСЛУГИ и ПОМОЩЬ В РАСШИФРОВКЕ ФАЙЛОВ

У нас есть уникальный алгоритм расшифровки самых последних вирусов-шифровальщиков и дешифратор-программа созданная нашим программистом для лечения поврежденных файлов. Звоните 8 (812) — 920-76-10 / Но вы можете попробовать стандартные способы:

  • Trojan-Ransom.Win32.Rector — бесплатная утилита RectorDecryptor для расшифровки и руководство по использованию доступно здесь: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist — аналогичный троян, выводящий окно с требованием отправить платную смс или связаться по электронной почте для получения инструкции по расшифровке. Инструкция по восстановлению зашифрованных файлов и утилита XoristDecryptor для этого есть на странице http://support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury — утилита RannohDecryptor http://support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 и другие с таким же именем (при поиске через антивирус Dr.Web или утилиту Cure It) и разными номерами — попробуйте поиск в интернете по имени трояна. Для части из них есть утилиты дешифровки от Dr.Web, так же, если вам не удалось найти утилиту, но есть лицензия Dr.Web, вы можете использовать официальную страницу http://support.drweb.com/new/free_unlocker/
  • CryptoLocker — для расшифровки файлов после работы CryptoLocker, вы можете использовать сайт http://decryptcryptolocker.com — после отправки примера файла, вы получите ключ и утилиту для восстановления ваших файлов.
  • На сайте https://bitbucket.org/jadacyrus/ransomwareremovalkit/downloads доступе Ransomware Removal Kit — большой архив с информацией по разным типам шифровальщиков и утилитами для расшифровки (на английском)

Ну и из последних новостей — Лаборатория Касперского, совместно с правоохранителями из Нидерландов, разработали Ransomware Decryptor (http://noransom.kaspersky.com) для расшифровки файлов после CoinVault, однако в наших широтах этот вымогатель пока не встречается

 

 

создатели шифровальщика Troldesh опубликовали ключи для дешифровки / Блог компании Ростелеком-Солар / Хабр

26 апреля неизвестные выложили на Github обращение от команды создателей Ransomware, известного как Troldesh/Shade, в котором объявили о прекращении своей работы с конца 2019 года. Вместе с этим были опубликованы закрытые ключи, необходимые для дешифрования систем, пострадавших от данного вредоносного ПО. «Мы приносим извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные», — говорится в сообщении группировки.



Шифровальщик Troldesh/Shade известен специалистам в области информационной безопасности с 2015 года, при этом пик его активности пришелся на 2019 год. Ранее мы уже писали об этом:

Стоит отметить, что мы в JSOC CERT действительно не фиксировали рассылок шифровальщика Troldesh/Shade с ноября 2019 года. Достоверность выложенных ключей шифрования была нами проверена на нескольких образцах, рассылавшихся в течение 2019 года. Ключи рабочие.

Мы — команда, которая создала троян-шифровальщик, в основном известный как Shade, Troldesh или Encoder.858. Фактически мы прекратили его распространение в конце 2019 года. Теперь мы приняли решение поставить последнюю точку в этой истории и опубликовать все имеющиеся у нас ключи дешифрования (всего более 750 тысяч). Мы также публикуем нашу программу для расшифровки. Надеемся, что, имея ключи, антивирусные компании выпустят свои собственные более удобные инструменты дешифрования. Все остальные данные, связанные с нашей деятельностью (включая исходные коды трояна) были безвозвратно уничтожены. Мы приносим извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные.

Зеркала для скачивания:
yadi.sk/d/36uVFJ6bUBrdpQ (все ключи отдельно; все ключи в zip; ПО для расшифровки)
cloud.mail.ru/public/5gy6/4UMfYqAp4 (все ключи отдельно; все ключи в zip; ПО для расшифровки)
drive.google.com/open?id=1iA2KquslytIE83mwzlXPcL3u8Z0yoqat (все ключи в zip; ПО для расшифровки)
github.com/shade-team/keys (все ключи отдельно)
github.com/shade-binary/bin (ПО для расшифровки)

Инструкция по расшифровке

Примечание. Некоторые из опубликованных программ обнаруживаются некоторыми антивирусами, поскольку они используют общие блоки кода с шифратором. Чтобы избежать их удаления, все исполняемые файлы были заархивированы с одинаковым паролем: 123454321

Если ваши зашифрованные файлы имеют одно из следующих расширений, вам понадобится подпапка «main» из папки «keys» во время следующих действий:

  • xtbl
  • ytbl
  • breaking_bad
  • heisenberg
  • better_call_saul
  • los_pollos
  • da_vinci_code
  • magic_software_syndicate
  • windows10
  • windows8
  • no_more_ransom
  • tyson
  • crypted000007
  • crypted000078
  • rsa3072
  • decrypt_it

Если ваши зашифрованные файлы имеют одно из следующих расширений, вам понадобится подпапка «alt» из папки «keys» во время следующих действий:
Подпапка, которая вам нужна, обозначается далее как . Подпапка «master» предназначена для некоторых антивирусных компаний, они уже проинструктированы об этом.

0. Настоятельно рекомендуется закрыть все программы (включая антивирусные) на вашем компьютере и избегать выполнения каких-либо других действий в процессе расшифровки. Если у вас есть идентификатор вашего компьютера, перейдите к пункту 1. В противном случае перейдите к пункту 2. Этот идентификатор представляет собой строку из 20 символов, содержащую буквы и цифры в верхнем регистре (например, AABBCCDDEEFF00112233), и был сохранен в файлах README.txt на рабочем столе и в корневые папки всех дисков. Идентификатор был также добавлен после имени файла в последних версиях программного обеспечения для шифрования.

1. Если код из файла README.txt содержит ноль после вертикальной черты (например, AABBCCDDEEFF00112233 | 0), перейдите к пункту 1.1. Если код из файла README.txt содержит три вертикальные полосы (например, AABBCCDDEEFF00112233 | 765 | 8 | 1), перейдите к пункту 1.2.

1.1 Введите / keys / / dynamic / / folder, где является первым символом вашего кода (в нашем примере это A). Папка / keys / alt / dynamic / содержит все файлы без разделения по первым буквам кодов. Найдите файл .txt, имя которого содержит ваш идентификатор, и загрузите его (если существует более одного такого файла, загрузите их все и повторите процедуру расшифровки для каждого из них). Вы можете использовать поиск на веб-странице (комбинация Ctrl + F в вашем браузере), чтобы ускорить процесс поиска. Если файл (ы) был найден, перейдите к пункту 3.

1.2 Введите / keys / / static / folder и найдите файл, именем которого является номер после первой вертикальной черты вашего кода (765 в нашем примере). Загрузите его и перейдите к пункту 3.

2. Скачайте и запустите программу /bin/getid.exe. Она покажет вам идентификатор, затем вы должны перейти к пункту 1. Если это не поможет, попробуйте выполнить инструкции из пункта 2.1.

2.1 Создайте на своем компьютере папку, путь которой содержит только английские буквы или цифры (c: \ 1 \ в дальнейших инструкциях). Загрузите файл /bin/decrypt_bruteforce.exe, сохраните его в этой папке и создайте там папку «keys». Затем загрузите все файлы из папки / keys / / static / и поместите их в папку «keys». Возьмите любой из ваших зашифрованных файлов и поместите его в папку c: \ 1 \. Запустите decrypt_bruteforce.exe и дождитесь окончания его работы. Если ключ найден, его имя файла будет показано в окне. Возьмите файл ключей и перейдите к пункту 3.

3. Создайте на своем компьютере папку, путь к которой содержит только английские буквы или цифры (c: \ decrypt \ в дальнейших инструкциях). Загрузите файл /bin/decrypt.exe и сохраните его в этой папке. Вместо этого вы также можете использовать программу /bin/decrypt_nolog.exe (единственное отличие состоит в том, что она показывает менее подробную информацию о процессе расшифровки). Затем возьмите файл с ключом, который вы получили на предыдущих этапах, и поместите его в этот каталог с именем «key.txt» (или просто «ключ», если ваша система не отображает расширения файлов). Если зашифрованные файлы находятся на вашем компьютере, просто запустите decrypt.exe. Если зашифрованные файлы находятся на внешнем диске, подключите его, нажмите Пуск-> Выполнить -> (вход) cmd.exe и нажмите Enter. Введите в открывшемся окне следующую команду и нажмите Enter: cd c: \ decrypt \ && decrypt.exe <путь>, где <путь> — корневой каталог подключенного устройства (например, S :). Дождитесь окончания процесса расшифровки. Если вы найдете файл с именем RENAME.txt в папке с расшифровщиком, скачайте /bin/rename.exe, поместите его в эту папку, запустите и дождитесь окончания его работы.

Если у вас возникнут какие-либо трудности, советуем подождать, пока антивирусные компании выпустят более удобные утилиты для расшифровки. Или попросите бесплатную помощь на одном из тематических форумов.

обзор вирусной активности в мае 2019 года

В мае статистика серверов Dr.Web зарегистрировала повышение числа уникальных угроз на 1.49% по сравнению с прошлым месяцем, а общее количество обнаруженных угроз повысилось на 14.51%. Статистика по вредоносному и нежелательному ПО показывает преобладание рекламных программ и установщиков. В почтовом трафике по-прежнему доминирует вредоносное ПО, использующее уязвимости документов Microsoft Office, но в мае также усилилось распространение опасного троянца Trojan.Fbng.8 (FormBook).

Главные тенденции мая

  • Повышение активности распространения вредоносного ПО
  • Рассылка стилеров через почту

Угроза месяца

В мае специалисты «Доктор Веб» сообщили о новой угрозе для операционной системы macOS – Mac.BackDoor.Siggen.20. Это ПО позволяет загружать и исполнять на устройстве пользователя любой код на языке Python. Сайты, распространяющие это вредоносное ПО, также заражают компьютеры под управлением ОС Windows шпионским троянцем BackDoor.Wirenet.517 (NetWire). Последний является давно известным RAT-троянцем, с помощью которого хакеры могут удаленно управлять компьютером жертвы, включая использование камеры и микрофона на устройстве. Кроме того, распространяемый RAT-троянец имеет действительную цифровую подпись.

По данным серверов статистики «Доктор Веб»

Угрозы этого месяца:

  • Adware.Softobase.12 Программа-установщик, распространяющая устаревшее программное обеспечение. Меняет настройки браузера.
  • Adware.Ubar.13 Торрент-клиент, устанавливающий нежелательное ПО на устройство.
  • Trojan.InstallCore.3553 Еще один известный установщик рекламного ПО. Показывает рекламу и устанавливает дополнительные программы без согласия пользователя.
  • Trojan.Winlock.14244 Блокирует или ограничивает доступ пользователя к операционной системе и её основным функциям. Для разблокировки системы требует перечислить деньги на счет своих разработчиков.
  • Trojan.Starter.7394 Троянец, предназначенный для запуска другого вредоносного ПО на устройстве.

Статистика вредоносных программ в почтовом трафике

Угрозы этого месяца:

  • W97M.DownLoader.2938 Семейство троянцев-загрузчиков, использующих в работе уязвимости документов Microsoft Office. Предназначены для загрузки на атакуемый компьютер других вредоносных программ.
  • Exploit.ShellCode.69 Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.
  • Exploit.Rtf.CVE2012-0158 Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.
  • Exploit.Rtf.435 Вредоносный документ Microsoft Office, использующий уязвимость CVE-2017-11882 для загрузки Trojan.Fbng.8 (FormBook) на устройство пользователя.
  • Trojan.PWS.Stealer.19347 Семейство троянцев, предназначенных для хищения с инфицированного компьютера паролей и другой конфиденциальной информации.

Возросла активность:

  • Trojan.Inject3.15480 Троянец, также известный как Trojan.Fbng.8 (FormBook). Предназначен для кражи персональных данных с зараженного устройства. Может получать команды с сервера разработчика.

Шифровальщики

В мае в службу технической поддержки компании «Доктор Веб» чаще всего обращались пользователи, пострадавшие от следующих троянцев-шифровальщиков:

  • Trojan.Encoder.18000 — 15.38%
  • Trojan.Encoder.858 — 9.89%
  • Trojan.Encoder.11464 — 5.49%
  • Trojan.Encoder.25574 — 5.49%
  • Trojan.Encoder.11539 — 5.27%
  • Trojan.Archivelock — 5.05%
  • Trojan.Encoder.567 — 1.98%

Опасные сайты

В течение мая 2019 года в базу нерекомендуемых и вредоносных сайтов было добавлено 223 952 интернет-адреса.

Апрель 2019 Май 2019 Динамика
+ 345 999 + 223 952 — 35.27%

Вредоносное и нежелательное ПО для мобильных устройств

В последнем весеннем месяце этого года злоумышленники вновь распространяли различные вредоносные программы через каталог Google Play. В начале мая специалисты компании «Доктор Веб» выявили троянца Android.HiddenAds.1396, который постоянно показывал рекламные баннеры и перекрывал ими интерфейс других приложений и операционной системы. Позднее были обнаружены троянцы-шпионы Android.SmsSpy.10206 и Android.SmsSpy.10263 — они крали входящие СМС и передавали их злоумышленникам.

Наиболее заметное событие, связанное с «мобильной» безопасностью в мае:

  • появление новых вредоносных программ в Google Play.

Бесплатная расшифровка Trojan-Ransom.Win32.Shade от 06.2020 (шифровальщик Код да Винчи).

О Trojan-Ransom.Win32.Shade, раннее, уже писал. Шифровальщик в основном распространяется посредством электронной почты, с содержанием документа или архива, при загрузке которых, происходит заражение системы. Данный вид шифровальщика, в народе получил известное название:

Код да Винчи
вирус да винчи
да Винчи

Основное название, он получил из-за того, что присваивал зашифрованным файлам, расширение:

*.da_vinci_code

При этом, данный тип шифровальщика, присваивал и другие известные расширения файлам. Самые популярные: *.xtbl, *.crypted000078, *.crypted000007 и *.da_vinci_code.

В июне 2020 года, появился новый бесплатный дешифратор от антивирусной Лаборатории Касперского, позволяющий восстановить файлы после атаки вируса-шифровальщика Trojan-Ransom.Win32.Shade (по классификации ЛК). 

Сама возможность расшифровать файлы, стала возможна благодаря тому, что представители группы стоявшей за распространением трояна-шифровальщика Shade/Troldesh/Encoder.858 опубликовали все имеющиеся у них ключи, необходимые для расшифровки (более 750 тыс), в открытый доступ. А так же программное обеспечение необходимое для дешифровки файлов.

Лаборатория Касперского, обновила утилиту ShadeDecryptor на основе этих данных.

С помощью ShadeDecryptor вы можете бесплатно попробовать расшифровать файлы. Дешифратор подходит для всех файлов, которые имеют следующее расширение:

  • xtbl;
  • breaking_bad;
  • ytbl;
  • heisenberg;
  • better_call_saul;
  • los_pollos;
  • da_vinci_code;
  • magic_software_syndicate;
  • windows10;
  • windows8;
  • no_more_ransom;
  • tyson;
  • crypted000007;
  • crypted000078;
  • dexter;
  • miami_california;
  • rsa3072;
  • decrypt_it

Если ваши файлы были повреждены шифровальщиком старых версий (до мая 2020 года), вы можете попробовать воспользоваться бесплатным готовым дешифратором от антивирусной Лаборатории Касперского: https://support.kaspersky.ru/13059

 

Утилита работает предельно просто, ища ключ расшифровки в собственной базе. Если ключ есть в базе — файлы расшифруются. Если ключа нет — утилита отправит запрос на сервер для проверки наличия дополнительных ключей. Для этого потребуется доступ в Интернет. 

Лично сам проверял, все файлы, которые были зашифрованы у восьми разных пользователей, полностью расшифровывались. Да, есть небольшие глюки в работе утилиты, однако, файлы расшифровывает.

Как и указал выше, при работе, иногда выдает ошибку о том, что не найден ключ расшифровки.

Не пугайтесь, просто, выберите другой файл для расшифровки (читайте заметку от 12.08.2020 ниже). Утилита проанализирует файл и расшифрует все файлы (лучше указывать для расшифровки файлы word и/или exсel).

Таким образом, на данный момент, можно попробовать расшифровать файлы, которые были зашифрованы шифровальщиком Trojan-Ransom.Win32.Shade. По идее, все кто пострадал от атаки данного шифратора до мая 2020 года, должны успешно восстановить свои файлы.

Если вы, пострадали от шифровальщика Trojan-Ransom.Win32.Shade после мая 2020 года, вы всегда можете следить за новой информацией на сайте и проверять дату последнего обновления дешифратора.

Пожалуйста, перед началам расшифровки файлов, сделайте резервные копии зашифрованных данных. На случай, если что-то пойдет не так.

Из своего опыта, советую не ставите галочку напротив пункта «Удалять расшифрованные файлы после успешной расшифровки» (смотрим скрин ниже). Это позволит вам избежать проблем, если файлы будут повреждены после расшифровки. 

В настройках утилиты, вы можете задать папки или диски в которых нужно искать зашифрованные данные. Для увеличения скорости работы утилиты, советую указать ту папку, где находятся ваши зашифрованные файлы. Расшифрованные файлы, будут находится в той же папке, что и зашифрованные. Прежде, чем приступать к расшифровке, позаботьтесь о достаточном свободном пространстве на диске (например: если у вас 30 ГБ зашифрованных файлов, вам нужно не менее 30 ГБ свободного пространства для расшифрованных файлов).

Ссылка на официальную инструкцию пользования утилитой ShadeDecryptor:

https://support.kaspersky.ru/13059#block2

Если у вас не открывается ссылка и/или не скачивается файл, используйте VPN (или браузер Opera с включенным VPN).

ВНИМАНИЕ!!! (добавлено 12.08.2020).

Возникло уже несколько одинаковых ситуаций, когда у пострадавших, утилита не могла найти ключ для расшифровки. Сообщение было таким, как ниже на скрине. 

У меня самого возникала подобная ситуация. Как писал выше, достаточно было указать другой файл и с третьей/четвертой попытки, утилита находила ключ и расшифровывала файлы. В данных ситуациях, такой способ не срабатывал. Примечательно, что файлы пострадавших, спокойно расшифровывались с другого компьютера, а с компьютеров пострадавших – не расшифровывались (утилита выдавала сообщение о невозможности найти ключ, как на скрине выше). Сразу была мысль о проблемах с Интернет подключением (люди были с Украины). Примечательно, что техническая поддержка, еще как только началась блокировка российских сайтов на Украине, советовала менять DNS записи на Google или указать другой DNS (только не стандартные от провайдера). И это работало. Благодаря смене DNS антивирусы Касперского продолжали обновляться. Однако, смена DNS, не изменило ситуацию. Уже только последнему человеку, решил поставить VPN и утилита сразу расшифровала файлы. 

Это будет  полезно для всех с тех областей, где блокируются российские сервисы, и утилита не находит ключ для расшифровки. Как и указанно на сайте, для работы утилиты, нужен Интернет. Если в вашей местности, блокируются российские сервисы, используйте VPN.

Например:

ProtonVPN Free – рекомендую использовать данный VPN. Он бесплатный, надежный. Есть русский язык (для ПК версии). Требуется простая регистрация. 

Альтернатива:

Zaborona VPN (для Украины)

ПростоVPN.АнтиЗапрет (для России)

Нужно понимать, что нужен VPN, который будет ПОЛНОСТЬЮ пропускать ВЕСЬ ваш трафик через себя. Таким образом, вам не подойдут VPN/прокси плагины в самих браузерах. 

Дополнительная информация, по защите от шифровальщиков на домашних компьютерах.

Простой, эффективный и бесплатный способ защиты от вирусов-шифровальщиков.

Как защититься от всевозможных вирусов-шифровальщиков?

Бизнес-предложение для фирм, предприятий, частных лиц и организаций.

Резервное копирование данных, защита данных от потерь, организация удаленного офиса для сотрудников, настройка бухгалтерии в облаке, VDS/VPS, опытная и отзывчивая поддержка, обслуживание и сопровождение. Данное предложение актуально для коммерческих и государственных структур. Узнать больше…

При возникновении вопросов, смело задавайте их в комментариях.

Злоумышленники выпускают ключи дешифрования Troldesh — Malwarebytes Labs

На GitHub пользователь по имени shade-team опубликовал сотни тысяч ключей дешифрования Troldesh. Могут ли жертвы вымогателей безопасно использовать их для расшифровки своих файлов?

[Обновление: Kaspersky обновил свой инструмент ShadeDecryptor, включив в него расшифровку ключей, выпущенных «командой шейдеров». Вы можете скачать инструмент и найти инструкции здесь.]

Пользователь GitHub, утверждающий, что представляет авторов Troldesh Ransomware, называющий себя «команда Shade», опубликовал это заявление в прошлое воскресенье:

«Мы — команда, которая создала троян-шифровальщик, в основном известный как Shade, Troldesh или Encoder.858. Фактически мы прекратили его распространение в конце 2019 года. Теперь мы приняли решение поставить последнюю точку в этой истории и опубликовать все ключи дешифрования, которые у нас есть (всего более 750 тысяч). Мы также публикуем наше программное обеспечение для дешифрования; мы также надеемся, что, имея ключи, антивирусные компании выпустят свои собственные, более удобные инструменты дешифрования. Все остальные данные, связанные с нашей деятельностью (включая исходные коды трояна), были безвозвратно уничтожены. Мы приносим свои извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные.”

Это настоящие ключи расшифровки Troldesh?

Да. Поскольку заявление и ключи были опубликованы, ключи были проверены, поскольку наши друзья в Kaspersky подтвердили действительность ключей и работают над инструментом дешифрования. Этот инструмент будет добавлен в проект No More Ransom. Веб-сайт «No More Ransom» — это инициатива Национального отдела преступности в сфере высоких технологий голландской полиции, Европейского центра киберпреступности Европола, Kaspersky и McAfee с целью помочь жертвам программ-вымогателей получить свои зашифрованные данные без необходимости платить преступникам.

В прошлом на веб-сайте «No More Ransom» уже публиковалось несколько инструментов дешифрования некоторых вариантов Troldesh. Мы обновим этот пост, когда выйдет дешифратор Касперского, и хотели бы предостеречь от выполнения инструкций на GitHub, если вы не очень опытный пользователь. Несколько дополнительных дней ожидания не должны сильно повредить, а неудачная попытка может сделать файлы совершенно бесполезными.

Когда полезно использовать инструмент расшифровки Troldesh?

Перед тем, как запустить этот ожидаемый инструмент на своем зараженном компьютере, как только он появится, проверьте, есть ли у ваших зашифрованных файлов одно из следующих расширений:

  • xtbl
  • ytbl
  • break_bad
  • heisenberg
  • decall_saul
  • los_pollos
  • da_vinci_code
  • magic_software_syndicate
  • windows10
  • windows8
  • no_more_ransompted dexter
  • miami_california

Если расширения файлов из затронутой системы (систем) не совпадают с одним из приведенных выше списков, то ваши файлы не входят в сферу действия этого инструмента дешифрования.Если вы все же найдете совпадение, вам следует дождаться публикации инструмента дешифрования.

Зачем этой банде публиковать ключи дешифрования Тролдеша?

Причина всего этого неизвестна и предмет спекуляций. Мы можем представить несколько разных причин. С не очень скорее всего заслуживает доверия.

  • Может, их совесть настигла. В конце концов, они приносят извинения жертвам. Но это только жертвы, которые не заплатили или не смогли восстановить свои файлы, несмотря на уплату выкупа.
  • Команда Shade может подозревать, что кто-то взломал их хранилище ключей, и по этой причине они были вынуждены или решили самостоятельно опубликовать ключи. Но мы не видели никаких заявлений, подтверждающих эту возможность.
  • Прибыльность программы-вымогателя достигла предела. Ransom.Troldesh существует с 2014 года, и мы увидели резкий всплеск обнаружения после того, как злоумышленники отважились выйти за пределы российских целей в феврале 2019 года. Но после этого первоначального всплеска количество обнаружений постепенно исчезло.Тем не менее, он все еще был активен и приносил деньги.
Количество обнаружений Malwarebytes Ransom.Troldesh с июля 2018 года по апрель 2020 года
  • Развитие этого вымогателя достиг своего технического предела, и команда сосредоточится на новом программном обеспечении проект. Команда заявила, что прекратила распространение в конце 2019 года, но не смогли показать то, над чем они сейчас работают.

Что мы знаем

Все, что мы знаем наверняка, это то, что на ключах есть был проверен, и инструмент для дешифрования находится в разработке.Все остальное предположения, основанные на заявлении, сделанном на GitHub аккаунтом под названием «shade-team» который присоединился к GitHub 25 апреля -го , незадолго до этого заявления.

Жертвы могут не отрывать глаз от выпуск средства дешифрования. Мы будем держать вас в курсе.

Оставайтесь в безопасности!

Программа-вымогатель

Shade (Troldesh) завершает работу и освобождает ключи дешифрования

Изображение: ZDNet

Операторы вымогателя Shade (Troldesh) закрылись на выходных и в знак доброй воли выпустили более 750 000 ключей дешифрования, которые прошлые жертвы теперь могут использовать для расшифровки своих файлов.

Исследователи безопасности из «Лаборатории Касперского» подтвердили достоверность утечек ключей и выпустили бесплатный инструмент для дешифрования.

В коротком сообщении, опубликованном в репозитории GitHub, команда Shade объяснила, что привело к их решению.

Мы — команда, которая создала троян-шифровальщик, известный как Shade, Troldesh или Encoder.858. Фактически мы прекратили его распространение в конце 2019 года. Теперь мы приняли решение поставить последнюю точку в этой истории и опубликовать все ключи дешифрования, которые у нас есть (всего более 750 тысяч).Мы также публикуем наше программное обеспечение для дешифрования; мы также надеемся, что, имея ключи, антивирусные компании выпустят свои собственные, более удобные инструменты дешифрования. Все остальные данные, связанные с нашей деятельностью (включая исходные коды трояна), были безвозвратно уничтожены. Мы приносим свои извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные.

Хотя банда Shade объяснила, почему они выпустили ключи дешифрования, они не объяснили, почему они закрылись.Среди экспертов по программам-вымогателям начали формироваться несколько теорий, но ни одна из них не основана на реальных реальных данных об угрозах.

До завершения работы в конце 2019 года программа-вымогатель Shade была одной из старейших разновидностей программ-вымогателей, впервые обнаруженная в 2014 году и работающая практически без остановки, пока не была закрыта в прошлом году.

Это также была одна из самых активных операций с программами-вымогателями [1, 2], которая распространялась через комбинацию кампаний по рассылке спама по электронной почте и наборов эксплойтов.

Однако программа-вымогатель не была идеальной, и за время ее существования исследователи безопасности из Kaspersky и Intel Security (теперь McAfee) выпустили несколько приложений для дешифрования, которые могли помочь жертвам восстанавливать файлы.Однако дешифраторы работали только с небольшим количеством версий Shade, и последний из этих инструментов был выпущен в 2017 году.

Ключи дешифрования, выпущенные сегодня, помогут всем пользователям, у которых были файлы, зашифрованные вымогателем Shade. Считается, что ключи используются для всех версий программы-вымогателя и всех пользователей, которые когда-либо заразились.

Единственное условие — у пользователей все еще есть зашифрованные файлы, чтобы их можно было расшифровать.

Хотя эксперты по безопасности часто рекомендуют сохранять файлы, зашифрованные с помощью программ-вымогателей, на автономном жестком диске, большинство жертв просто переустанавливают свой компьютер с нуля, удаляя зашифрованные данные.Те, кто сохранил свои зашифрованные файлы, теперь могут восстановить данные, которые когда-то считались утерянными.

Обновлено 1 мая со ссылкой на бесплатную утилиту расшифровки Kaspersky.

Авторы программ-вымогателей

выпускают ключи дешифрования

Разработчики вымогателя Shade в понедельник объявили о прекращении операций и публично выпустили ключи дешифрования, чтобы их жертвы могли бесплатно восстанавливать файлы.

Также называется Troldesh and Encoder.858, Shade присутствует в среде вредоносных программ с 2014 года. В 2016 году троянец, получивший бэкдор, стал одной из самых распространенных угроз в прошлом году, когда было обнаружено, что он нацелен на более 340 расширений файлов для шифрования (с использованием AES 256).

Shade распространялся в основном через фишинговые электронные письма с вредоносными ZIP-архивами. В прошлом году исследователи безопасности обнаружили, что это наиболее распространенная вредоносная программа, которая хранится в скрытых «хорошо известных» каталогах HTTPS-сайтов.

Авторы программы-вымогателя заявляют, что фактически прекратили распространение вредоносного ПО в конце прошлого года, и теперь они решили полностью закрыть магазин и выпустить более 750 000 ключей дешифрования вместе со своей утилитой дешифрования.

«Теперь мы приняли решение поставить последнюю точку в этой истории и опубликовать все ключи дешифрования, которые у нас есть (всего более 750 тысяч). Мы также публикуем наше программное обеспечение для дешифрования; Мы также надеемся, что, имея ключи, антивирусные компании выпустят свои собственные, более удобные для пользователя инструменты дешифрования », — отметили на GitHub авторы программ-вымогателей.

Разработчики также заявляют, что другие данные, связанные с операцией, в том числе исходный код троянца, были уничтожены.

«Мы приносим свои извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные», — говорят они.

Кроме того, авторы вымогателей опубликовали инструкции о том, как жертвы могут восстановить свои файлы даже без помощи специальных инструментов для дешифрования.

Жертвам рекомендуется подождать, пока компании, занимающиеся защитой от вредоносных программ, выпустят официальные инструменты дешифрования файлов, зашифрованных Shade, но пока нет информации о том, когда такие утилиты станут доступны.

По теме: Программы-вымогатели, управляемые человеком, представляют собой растущую угрозу для бизнеса: Microsoft

Связано: Авторы программы-вымогателя GandCrab объявляют о завершении работы

Связано: злоумышленники хранят вредоносное ПО в скрытых каталогах взломанных сайтов HTTPS

Ионут Аргире — международный корреспондент SecurityWeek. Предыдущие колонки Ионут Аргире: Теги:

Происходит массовая рассылка вируса шифрования Тролдеш от имени российских компаний

Эксперты Group-IB предупреждают пользователей о повышенной активности вируса шифрования Тролдеш (Shade).Цель злоумышленников — запустить программу в локальной сети компании, зашифровать файлы и запросить выкуп.

Во время предыдущих атак операторы ботнетов отправляли письма от имени банков и розничных компаний. Сейчас идет массовая рассылка от имени сотрудников крупных авиакомпаний (например, Polar Airlines), автосалонов (Рольф) и из СМИ (РБК, Новосибирск-онлайн).

Во втором квартале 2019 года Group-IB обнаружила более 6000 фишинговых писем, содержащих Troldesh.На данный момент активна кампания по рассылке вируса-вымогателя (в июне было зарегистрировано около 1100 фишинговых писем).

Образец первой версии криптографа Troldesh (Shade), 2015.

В тексте фишинговых писем злоумышленники представляются сотрудниками компаний и просят открыть прикрепленный файл. Это архив, который якобы содержит детали «заказа». Все обратные адреса поддельные. Распространение осуществляется через арендованный ботнет, в который входят не только обычные серверы, но и зараженные IoT-устройства, например маршрутизаторы.

Злоумышленники значительно изменили список обратных адресов. Их все чаще представляют сотрудники компаний из различных отраслей — ритейла, нефтегазовой, строительной, авиационной, кадровой и медиа. Также используется рассылка от имени банков, но в виде личных писем топ-менеджеров.

Тролдеш — старый криптограф, впервые замеченный в 2015 году. Он также известен как Shade, XTBL, Trojan.Encoder.858, Da Vinci и No_more_ransome. Злоумышленники регулярно меняют упаковщик и успешно обходят антивирусную защиту.К концу 2018 года Troldesh вошел в тройку самых популярных шифровальных вирусов вместе с RTM и Pony.

Центр управления Тролдеш находится в сети Tor и постоянно меняет адрес домена, что затрудняет его блокировку.

Troldesh продается и сдается в аренду на специализированных сайтах в даркнете, в связи с чем вирус постоянно приобретает новые функциональные возможности и меняет способ распространения. Недавние кампании с Troldesh показали, что теперь он не только шифрует файлы, но также добывает криптовалюту и генерирует трафик на веб-сайты для увеличения трафика и доходов от онлайн-рекламы.

На форумах, где общаются пострадавшие, говорят, что нет возможности сохранить зашифрованные файлы, то есть программа написана вполне грамотно с криптографической точки зрения.

«Лаборатория Касперского» бесплатно распространяет декодер Shade Decryptor, но помогает только против первой и второй версий криптографа.

Стандарт профилактики заражения:

  • Скачивайте программы только из проверенных источников;
  • не открывать подозрительные вложения электронной почты;
  • не переходите по сомнительным ссылкам;
  • Сделайте резервные копии важных файлов, которые хранятся отдельно.

«Shade — это не только криптограф, существуют версии, которые также сканируют зараженное устройство, и если будет исправлено, что у него есть доступ к учетным системам, для удаленного доступа будет установлено дополнительное вредоносное ПО», — говорит руководитель исследования и обнаружение сложных угроз «Лаборатория Касперского» Антон Иванов.

С помощью этой программы злоумышленники предпринимают попытки снять деньги со счета. Эксперт подтвердил, что для последней версии Shade декодера нет.

источник: хабр.ccom

Shade Ransomware Gang прекращает свою деятельность

Недавно банда Shade объявила, что прекращает все операции. На этом завершается один из самых продолжительных штаммов вирусов-вымогателей. С 2014 года банда ведет активную деятельность, проводя кампании с довольно постоянной скоростью, поскольку исследователи безопасности обнаружили вариант шифрования данных жертвы. В конце 2019 года активность Shade по существу упала, но недавние объявления, сделанные бандой, можно рассматривать как последний гвоздь в гробу вариантов.

Банда отправилась на GitHub, чтобы сделать объявление, которое гласило:

«Мы — команда, которая создала троян-шифровальщик, в основном известный как Shade, Troldesh или Encoder.858. Фактически мы прекратили его распространение в конце 2019 года. Теперь мы приняли решение поставить последнюю точку в этой истории и опубликовать все ключи дешифрования, которые у нас есть (всего более 750 тысяч). Мы также публикуем наше программное обеспечение для дешифрования; мы также надеемся, что, имея ключи, антивирусные компании выпустят свои собственные, более удобные инструменты дешифрования.Все остальные данные, связанные с нашей деятельностью (включая исходные коды трояна), были безвозвратно уничтожены. Мы приносим свои извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные ».

Как указано выше, банда выпустила около 750 000 ключей дешифрования в знак доброй воли, чтобы помочь жертвам восстановить зашифрованные данные. Позже подлинность ключей дешифрования была проверена исследователем Лаборатории Касперского Сергеем Головановым. Фирма по безопасности сейчас работает над инструментом дешифрования, который значительно упростит процесс дешифрования.

Что касается даты выпуска этого инструмента, то пока ничего не объявлено, но ее можно ожидать в ближайшем будущем. Исследователи из «Лаборатории Касперского» имеют определенный опыт работы с Shade, поскольку они выпустили несколько инструментов дешифрования, последний из которых был в 2017 году, но получил обновление в октябре 2019 года. теории ходят вокруг, но не обнаружено никаких веских доказательств, чтобы исследователи могли сказать наверняка.

Хотя выпуск ключей дешифрования можно рассматривать как акт добросовестности, он все же имеет ряд предостережений. Это правда, что выпуск ключей поможет определенным жертвам, жертвы все еще должны иметь доступ к данным, зашифрованным программой-вымогателем. Когда жертвы стремятся оправиться от атаки вымогателя, они обычно предпочитают выполнить полную переустановку системы чаще, чем это не приводит к удалению зашифрованных файлов. Выпуск дешифрования поможет исследователям «Лаборатории Касперского» создать дешифратор, которому так и полагается.

Извлеченные уроки

С прекращением операций банды подошла к концу еще одна глава в саге о программах-вымогателях. Точно так же, когда GandCrab прекратил свою деятельность в середине 2019 года, можно извлечь много уроков о том, как действуют эти банды, и мы надеемся немного приподнять завесу над операциями, которые все еще остаются в неведении. Как упоминалось выше, история Shade началась в 2014 году и постоянно действовала на протяжении всего своего жизненного цикла. Он распространялся как через рассылку спама, так и через наборы эксплойтов.Хотя он был постоянно активен, это ни в коем случае нельзя было назвать идеальным штаммом вымогателей, что можно увидеть по многочисленным программам дешифрования, разработанным «Лабораторией Касперского» и другими компаниями по обеспечению безопасности. Важно отметить, что дешифраторы будут работать только в небольшом количестве случаев, доказывая, что код, используемый бандой, был достаточно хорош, чтобы приносить прибыль.

Особого упоминания заслуживают две последние кампании Shade. Первый, обнаруженный Avast, произошел в июне 2019 года. Фирма безопасности смогла заблокировать запуск 100 000 экземпляров программы-вымогателя, которые охранная фирма отслеживала как Troldesh.Можно предположить, что было выполнено гораздо больше попыток шифрования данных, чем только те, что были обнаружены Avast. Кампания была нацелена на людей в США, Великобритании и Германии, но, безусловно, большинство обнаружений произошло в России и Мексике. Avast отметил, что программа-вымогатель распространялась преимущественно через спам-сообщения, а экземпляры вредоносного ПО распространялись через социальные сети и другие платформы обмена сообщениями. Исследователи также отметили, что

«Мы видим всплеск количества атак, который, вероятно, больше связан с операторами Troldesh, которые пытаются подтолкнуть эту нагрузку сильнее и эффективнее, чем какое-либо существенное обновление кода.Тролдеш распространяется в дикой природе в течение многих лет с тысячами жертв с выкупленными файлами, и, вероятно, в течение некоторого времени он, вероятно, останется распространенным ».

Учитывая глобальный размах вышеупомянутой кампании, исследователям было почти невозможно предсказать, что активность резко снизится всего через шесть месяцев. Вторая кампания была проанализирована MalwareBytes и подробно описал всплеск обнаружений, который начался в конце 2018 года и продолжался до половины первого квартала 2019 года.Всплеск активности произошел, когда многие банды вымогателей, казалось, замедляли распространение в пользу распространения других вредоносных программ, таких как майнеры монет.

И снова программа-вымогатель распространялась через вредоносные спам-сообщения, содержащие прикрепленный файл. Файл часто представлял собой заархивированный файл с содержанием электронной почты, часто побуждающим получателя быстро открыть файл. После открытия и извлечения ZIP-файла запускается файл JavaScript, содержащий полезные данные программы-вымогателя. После выполнения шифрование начнется с последующим удалением файла.txt с инструкциями о том, как заплатить выкуп, чтобы файлы были расшифрованы. Исследователи заявили, что

«Жертвам Тролдеша предоставляется уникальный код, адрес электронной почты и URL-адрес лукового адреса. Их просят связаться с адресом электронной почты, указав свой код, или перейти на сайт onion для получения дальнейших инструкций. Не рекомендуется платить авторам выкуп, так как вы будете финансировать их следующую волну атак. Что отличает Troldesh от других вариантов программ-вымогателей, так это огромное количество файлов readme #.txt с запиской о выкупе, сброшенной в уязвимую систему, и контакт по электронной почте с злоумышленником. В противном случае он использует классический вектор атаки, который в значительной степени зависит от обмана неосведомленных жертв. Тем не менее, он был довольно успешным в прошлом и в нынешней волне атак. Доступные бесплатные дешифраторы работают только с некоторыми из старых вариантов, поэтому жертвам, вероятно, придется полагаться на функции резервного копирования или отката ».

Не подведи охрану

Хотя одна банда решила прекратить все операции, сейчас не время ослаблять бдительность.Для многих операторов программ-вымогателей это обычное дело. Для некоторых они все чаще нацелены на больницы, несмотря на призывы департаментов здравоохранения, правоохранительных органов и охранных фирм не нацеливаться на основные службы, уже испытывающие трудности из-за пандемии COVID-19. Ранее в этом году некоторые банды начали угрожать украденным данным и раскрывать их, если выкуп не будет своевременно выплачен. Эта тенденция, похоже, сейчас стала излюбленной тактикой, поскольку она открывает новые источники дохода для злоумышленников, поскольку украденные данные могут быть проданы другим киберпреступникам.

Команда Microsoft Threat Protection Intelligence выпустила еще одно предупреждение, на этот раз предупредив жертв, что даже если злоумышленники не угрожали опубликовать данные, это не означает, что они не украли их. Далее было указано, что

«Несколько групп программ-вымогателей, которые накапливали доступ и поддерживали постоянство в целевых сетях в течение нескольких месяцев, активировали десятки развертываний программ-вымогателей в первые две недели апреля 2020 года. Пока что атаки затронули гуманитарные организации, медицинские биллинговые компании, производство, транспорт, правительственные учреждения и поставщики образовательного программного обеспечения, демонстрируя, что эти группы программ-вымогателей мало уделяют внимания критически важным службам, на которые они влияют, несмотря на глобальный кризис.Однако эти атаки не ограничиваются критически важными службами, поэтому организациям следует внимательно следить за признаками компрометации ».

Чтобы защититься от банд вымогателей, в частности банд вымогателей, управляемых людьми, Microsoft советует сетевым администраторам проверять сети на наличие вредоносных PowerShell, Cobalt Strike и других инструментов для тестирования на проникновение, которые могут выглядеть как действия красной команды. Им также следует искать подозрительный доступ к службе подсистемы Local Security Authority (LSASS) и подозрительные изменения реестра, а также свидетельства вмешательства в журналы событий безопасности.Этот совет прозвучал, поскольку было замечено, что многие банды нацелены на следующие уязвимости:

  • Конечные точки RDP или виртуального рабочего стола без многофакторной аутентификации
  • Системы Citrix ADC, затронутые CVE-2019-19781
  • Системы Pulse Secure VPN, затронутые CVE-2019-11510
  • серверов Microsoft SharePoint, затронутых CVE-2019-0604
  • серверов Microsoft Exchange, затронутых CVE-2020-0688
  • Системы Zoho ManageEngine, затронутые CVE-2020-10189
Ключи расшифровки

Shade Ransomware опубликованы

Операторы вымогателя Shade выпустили ключи дешифрования, чтобы позволить жертвам расшифровать свои файлы, а также заявили, что прекратили всю разработку и распространение вредоносного ПО.

Shade находится в обращении по крайней мере с 2014 года и в какой-то момент был одним из наиболее активных вариантов вымогателей. Он связан с русскоязычными субъектами и, как и большинство штаммов вымогателей, в основном распространяется через спам-фишинговые электронные письма с вредоносными вложениями. Эти вложения обычно представляют собой zip-файлы и имеют некоторую приманку, чтобы побудить жертву открыть их. Shade также известен как Troldesh, и хотя для некоторых его версий уже давно существуют инструменты для дешифрования, выпуск ключей дешифрования для всех жертв — это совсем другая история.

На выходных операторы Shade разместили ключи на GitHub и отправили извинения жертвам, чего бы это ни стоило. Они также утверждают, что уничтожили весь исходный код программы-вымогателя.

«Мы — команда, которая создала троян-шифровальщик, в основном известный как Shade, Troldesh или Encoder.858. Фактически мы прекратили его распространение в конце 2019 года. Теперь мы приняли решение поставить последнюю точку в этой истории и опубликовать все ключи дешифрования, которые у нас есть (всего более 750 тысяч) », — говорится в сообщении.

«Мы также публикуем нашу программу дешифрования; мы также надеемся, что, имея ключи, антивирусные компании выпустят свои собственные, более удобные инструменты дешифрования. Все остальные данные, связанные с нашей деятельностью (включая исходные коды трояна), были безвозвратно уничтожены. Мы приносим свои извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные ».

Исследователи безопасности быстро подтвердили, что ключи действительно расшифровывают компьютеры, зашифрованные Shade.В прошлом был ряд других примеров, когда создатели или операторы программ-вымогателей выпускали инструменты дешифрования или ключи для своих собственных программ-вымогателей. Наиболее ярким примером является группа TeslaCrypt, которая выпустила инструмент дешифрования в 2016 году, и некоторые другие последовали ее примеру, в том числе группа HildaCrypt.

Исследователи безопасности также добились определенных успехов в создании сторонних инструментов дешифрования для некоторых вариантов программ-вымогателей, включая CoinVault, Wildfire и другие. Помимо ключей дешифрования, сообщение группы Shade также включает подробные инструкции о том, как расшифровать затронутые файлы.

Как и многие другие штаммы программ-вымогателей, Shade используется не одной группой, а часто продается или предоставляется в качестве услуги различным преступным группировкам. В прошлом году Shade-инфекции были довольно распространены, но группа, стоящая за вымогателем, заявляет, что к концу 2019 года она прекратила большую часть своей деятельности.

Shade (Troldesh) Операторы программ-вымогателей отключили угрозу, выпустили 750 тыс. Ключей дешифрования

Группа, стоящая за вымогателем Shade (Troldesh), официально прекратила его распространение и в знак доброй воли выпустила 750 тысяч ключей дешифрования, извиняясь за проблемы, которые они причинили своим жертвам.

Программа-вымогатель Shade разгулялась в течение некоторого времени, и ее операции начались еще в 2014 году. В отличие от многих других проектов программ-вымогателей, которые избегают шифрования целей в России и других странах СНГ, Shade в основном нацелена на жертв в Украине и России.

Исследователи безопасности впервые отметили снижение распространения Shade в конце 2019 года, а недавняя публикация операторов программы-вымогателя на GitHub показала, почему это так.

« Мы — команда, которая создала троян-шифровальщик, известный как Shade, Troldesh или Encoder.858. Фактически мы прекратили его распространение в конце 2019 года. Теперь мы приняли решение поставить последнюю точку в этой истории и опубликовать все ключи дешифрования, которые у нас есть (всего более 750 тысяч). Мы также публикуем наше программное обеспечение для дешифрования; мы также надеемся, что, имея ключи, антивирусные компании выпустят свои собственные, более удобные инструменты дешифрования. Все остальные данные, связанные с нашей деятельностью (включая исходные коды трояна), были безвозвратно уничтожены. Мы приносим свои извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные. «прочтите сообщение на GitHub.

Операторы теней приносят извинения за свои прошлые действия

Помимо 750 тысяч ключей, опубликованный репозиторий содержит пять главных ключей дешифрования, ссылку на программу дешифрования злоумышленников и инструкции по их использованию. Однако дешифратор не так прост в использовании, и люди могут захотеть подождать, пока проект No More Ransom выпустит свою удобную для пользователя версию.

И хотя операторы Shade извинились перед своими жертвами, мы до сих пор не знаем, почему они решили закрыть программу-вымогатель.Одна из теорий заключается в том, что их совесть настигла, обдумывая извинения. Однако их ход выгоден только тем, кто вообще не заплатил выкуп.

Другая причина может заключаться в том, что кому-то удалось взломать хранилище ключей Shade, и злоумышленники были вынуждены публиковать ключи самостоятельно, но нет конкретной информации об угрозах, которая могла бы это подтвердить.

Наиболее вероятная теория состоит в том, что прибыльность Shade просто достигла пика, а программа-вымогатель не сработала так, как ожидалось, когда ее операторы решили использовать ее для целей за пределами России в феврале 2019 года.После первоначального всплеска заражений количество отправок Shade постепенно исчезло и вернулось к нормальному уровню.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *