• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Информация Смерть бухгалтерам. Криптолокер Spora


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 064
Репутация
8 166
upload_2017-3-3_19-43-17.png


Понравился подход:

На сайте данного вируса можно пообщаться с ТП, оплатить расшифровку и даже купить антидот...смех-смех!!!i'm crazy

Что это такое ?

Эпидемия, а точнее атаки на бухгалтеров, пример атаки:

Рассылка по личным ящикам пользователей, замаскировано под письмо от сбербанка, налоговой или какой-то еще популярной в народе службы.

Главная задача такого письма — заставить пользователя запустить вложение. В случае с spora, во вложении будет zip архив, внутри которого файл с расширением .hta. После запуска этого файла, во временной директории пользователя создается новый файл с расширением .js, в который записывается зашифрованный JScript и выполняется. Сам скрипт с вирусом зашифрован стандартными системными алгоритмами, чтобы его не обнаружили антивирусы.

После выполнения скрипта, во временной директории пользователя C:\Users\user\AppData\Local\Temp появятся два файла:

  • 4a0f17b9936.exe
  • doc_113fce.docx
Имена файлов скорее всего в каждом конкретном случае будут разными, но по типу будут такие же. Первое это исполняемый файл, который и является шифровальщиком. Сразу после создания, он запускается и начинает свою черную работу по шифрованию файлов.

spora-ransomware-01.png


Если у вас включен UAC, то вы увидите запрос на выполнение файла. Вирус пытается удалить все теневые копии, а для этого нужно подтверждение. Если не подтвердите запуск файла, то считайте, что вам повезло, и ваши теневые копии останутся. А если подтвердите выполнение, или если у вас вообще отключен UAC, то ваши теневые копии будут удалены командой:

vssadmin.exe delete shadows /all /quiet

Второй файл является пустышкой, который замаскирован под файл формата word, но при этом открывается с ошибкой.

spora-ransomware-02.png


Он сделан, скорее всего, для того, чтобы запутать пользователя. Человек может подумать, что просто файл повредился. Это может побудить его еще раз открыть вложение из письма, чтобы убедиться, что письмо не открывается.Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!! Особо сообразительные люди отправляют письмо коллегам с просьбой проверить, открывается ли у них этот файл. Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!Dmeh-Smeh-Smeh!!!cool coolСам лично наблюдал такое поведение. В итоге шансы у вируса-вымогателя выполнить свою работу увеличиваются.

После того, как вирус запустился и зашифровал все файлы, которые смог найти, он создает 2 файла на рабочем столе пользователя:

  • RU15C-ACXRT-RTZTZ-TOGTO.HTML
  • RU15C-ACXRT-RTZTZ-TOGTO.KEY
Первый файл — html страничка, которая автоматически запускается. Она содержит в себе краткую информацию о том, что произошло на компьютере:

Все ваши рабочие и личные файлы были зашифрованы.
Для восстановления информации, получения гарантий и поддержки, следуйте инструкции в личном кабинете.

1. Только мы можем восстановить Ваши файлы.
Ваши файлы были модифицированы при помощи алгоритма RSA-1024. Обратный процесс восстановления называется дешифрование. Для этого необходим Ваш уникальный ключ. Подобрать или "взломать" его невозможно.

2. Не обращайтесь к посредникам!
Все ключи восстановления хранятся только у нас, соответственно, если Вам кто-либо предложит восстановить информацию, в лучшем случае, он сперва купит ключ у нас, затем Вам продаст его с наценкой.



На странице есть форма ввода, куда уже введен ваш идентификатор, с помощью которого вы можете авторизоваться на сайте .

Второй файл необходим для того, чтобы вы смогли получить дешифратор от злоумышленников. Его нужно сохранить, если вы рассчитываете расшифровать файлы.

Особенностью работы данного вируса шифровальщика является то, что ему для своей работы не требуется доступ в интернет. После того, как вы его запустите из почты, он начнет свою работу, даже если у вас антивирус или firewall контролирует подозрительный сетевой трафик.


Если вы увидели в своем браузере описанную выше страничку, значит все ваши файлы уже зашифрованы, хотя внешне кажется, что все в порядке. Но при попытке открыть файл, вы получите ошибку. Дальше нужно действовать аккуратно и внимательно, если хотите получить свои данные обратно. Шансы сделать это бесплатно хоть и небольшие, но есть.

Можно зайти в личный кабинет указанного выше сайта и посмотреть, как там все устроено.

spora-ransomware-11.png


После заражения у вас есть 5 дней, чтобы оплатить расшифровку. После этого, она станет дороже в 2 раза. Имейте это ввиду, если решитесь платить деньги. Я знаю, что многие платят, так как нет выхода, поэтому сразу предупреждаю. Цена через 5 дней реально будет в 2 раза выше.

Поражает набор услуг, которые вы можете приобрести в «магазине». Тут и иммунитет от шифровальщика, и очистка компьютера. У вас есть возможность расшифровать 2 файла бесплатно. Если у вас пропало не более пары нужных файлов, считайте что вам повезло, сможете их расшифровать. Но имейте ввиду, что это не всегда срабатывает. Если злоумышленники посчитают, что файл очень ценен, то могут отказать в бесплатной расшифровке.

На сайте предусмотрен чат с техподдержкой вируса. Первое время не было ограничения на количество сообщений, теперь оно есть — не более пяти. Так что внимательно следите за тем, что пишите, если у вас реально есть необходимость общаться.

Вы можете тут же внести оплату за расшифровку. На сайте есть подробные инструкции. После зачисления денег, информация в личном кабинете изменится.

spora-ransomware-12.png


Если деньги сразу не придут, нужно написать в техподдержку, они вручную проверят поступление и подтвердят его. Масштабы деятельности, честно говоря, поражают. Очень занимательный чат. Я прям зачитался, когда первый раз попал в личный кабинет.

Источник:
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 064
Репутация
8 166
Забыл добавить:

Spora добавляет скрытый атрибут к файлам и папкам на рабочем столе, в корне системного диска и съемных дисков. Затем Spora помещает ярлыки Windows с тем же именем и значком в виде скрытых файлов и папок в качестве видимой замены. Эти файлы .LNK открывают исходный файл, чтобы не вызвать подозрений и одновременно выполнить вредоносный код. Червь удаляет значение реестра, отвечающее за то, что значки не показывают характерную изогнутую стрелку в левом нижнем углу.

В результате чего простая навигация по папкам на вашей системе и на рабочем столе с помощью двойного щелчка запускает червя на выполнение. Используя эту возможность, Spora будет не только распространяться на съемных носителях и USB флэш-накопителях, но и будет шифровать вновь созданные файлы в системе. Это делает систему неработоспособной для хранения или создания любых изображений или документов, пока ПК не будет вылечен.
 

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
И как я понял касперsky был безсилен


Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec.
Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

R.saver
Starus File Recovery
JPEG Recovery Pro
Active File Recovery Professional
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 064
Репутация
8 166
И как я понял касперsky был безсилен
Первые недели все бессильны были, по крайне-мере по сигнатурам:
ae5a50303f2c43f389a01804ba8642ff.gif


Это не просто школо-вреданос, например сайт вируса до сех-пор доступен Spora.bz !

Думаю этот вирус войдёт в историю, как минимум в 20-ку самых технологичных вредоносов, можно порадоваться что зверьков такого уровня мало ! :)

А-так жертвы появляются и сейчас, спустя более месяц даже...Dmeh-Smeh-Smeh!!!
 

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
> Первые недели все бессильны были, по крайне-мере по сигнатурам:
угу


и за чё только касперу шекель ежегодно платят?

> можно порадоваться что зверьков такого уровня мало ! :)

ага,аш пазапускать нечего!:)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 064
Репутация
8 166
DikiySan, а у тебя телега есть, присоединялся-бы к нам ! :)

и за чё только касперу шекель ежегодно платят?
Каспер стоит 2000 рублей на год и три девайса, примерно столько-же стоит и веб, который к слову до сех-пор и не детектит не хрена...Отдыхай!!!

Так 1500 - 2000 средняя цена на лицензию на год и 2-3 девайса, плюс 1500 рублей продление.

ага,аш пазапускать нечего!:)
По твоим ссылкам выложен семпл, правда детектят на вт уже почти все (Кроме вепа)...

Попробуй его упаковать чем-нить и позапускать, возможно детекты отвалятся, там понятно будет как и кто пропускает, по детекту сейчас нельзя судить, но судя по отзывам и просьбам помощи на различных форумах и форумах каспера, всё печально там...Как об стену !!!i'm crazyNO-no!!!

Антивирусы не за что не отвечают, покупка лицензии, это-лишь возможность обновлять сигнатуры и компоненты программы, всё остальное на свой страх и риск, поэтому антивирусы это-лишь иллюзия безопасности, вот на одном форуме что написал один спец., с ним полностью согласен ( ):

upload_2017-3-5_16-51-53.png
 

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
какие глубокие познания в аверских рублях,с какой целью интерес проявляите?

> Попробуй его упаковать чем-нить и позапускать,

так упаковать или накрыть ,хотя я в этом не силён?

> DikiySan, а у тебя телега есть, присоединялся-бы к нам ! :)

чтоб миня X-Shar укалол малварью хаха


я этого чувака вроть как знаю и уже где то видал,а вот кто и где не помню.Не тот ли это, ну как его забыл..ну тот,что по школе бродит :)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 064
Репутация
8 166
так упаковать или накрыть ,хотя я в этом не силён?
Вот этим попробуй для начала: там не сложно...:)

Можно ещё так чисто для прикола попробовать в конец пару байт добавить в HEX-редакторе, вряд-ли конечно сработает, а вдруг ?

Можно конечно криптор поискать, но смысла как мне кажется нет, ибо в паблике какой-то шлак, хотя хомяки в восторге, но бред какой-то это использовать, тем-более для теста.
 

UserOK

Уважаемый пользователь
Форумчанин
Регистрация
04.11.2014
Сообщения
205
Репутация
104
Да уж. Вот это размах.И ведь многие попадают.Зашел посмотреть.Сволочи конечно,своих граждан обирать,да и суммы порой очень не маленькие 2.jpg 3.jpg ,позабавило,но даже у таких гадов иногда видимо просыпается что-то типа совести 4.jpg . Хотя это не уменьшает их степень вины. Талантливые скоты,так все наладить.Вот это логистикаDmeh-Smeh-Smeh!!! И где наш хваленый отдел К ? Или все талантливые,подались на темную сторону?
А я говорил,что linux наше все :)
 
Верх Низ