2105

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff)

Jaff шифрует файлы и добавляет расширения  .jaff, .wlu и .sVn, требует выкуп 1,79 биткоина, то есть порядка $4000.


Через диспетчер задач вырубаем процесс вируса. Как правило произвольное имя процесса. Для примера было SKM_C224e9930.exe

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Качаем декриптор с сайта каспера http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhn...


Утилита предложит выбрать зашифрованный файл с расширением .jaff, .wlu или .sVn, далее попросит выбрать текстовый файл с требованием выкупа.

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост
Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Утилита просканирует весь компьютер и расшифрует файлы (может занять длительное время).

По завершении сканирования будет такая картина:

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Печаль в том что вместе с расшифрованными файлами останутся их зашифрованные копии.

Дополнительная инфа https://www.bleepingcomputer.com/news/security/decrypted-kas...


Ранее о дешифровщиках: http://pikabu.ru/story/spisok_dekriptorov_faylov_posle_zaraz...

Найдены дубликаты

+34

Вопрос: Как поймать такой вирус?

раскрыть ветку 31
+64
Спроси в отделе бухгалтерии)
раскрыть ветку 12
+47

"Нам тут счёт пришёл в формате js, мы его кликаем, а он не открывается"

раскрыть ветку 1
+4

Блин, бухгалтеры это эксперты в поимке неведомой херни)) Наблюдал уже не раз)

раскрыть ветку 8
+1
Иллюстрация к комментарию
+14
Обычно, через почту. Но такие вирусы всегда рассчитаны на полную компьютерную безграмотность.
+8

Так же как гонорею - не лезь куда не надо.

Так же как герпес - не соси (качай) что не надо.

раскрыть ветку 14
+5
Да ты чё, а wannacry и ещё куча ?
раскрыть ветку 12
0

Думал, способ более интересный

0

Так его уже победили этот вирус или он все еще гуляет по стране?

раскрыть ветку 1
0

он гуляет еще с 2000го :)

+77

сохраняйте копии важных файлов в облако не ленитесь - это бесплатно, некторые облака предоставляют ажно до 60гб бесплатно. и будет вам счастье) а ТС за инфу +^

раскрыть ветку 72
+187

Некоторые файлы не стоит хранить на облаках

Иллюстрация к комментарию
раскрыть ветку 36
+51

таки да - некоторые лучше хранить на каком нибудь стареньком ноуте с пиратской ХП и который не подключается никогда к интернету, но это так соображения конечно личного опыта я этом конечно же не имею)

раскрыть ветку 32
+1
Такие данные вообще нельзя хранить на своем ПК!

Банальный пример - Сделал не хороший репост в вк, к тебе пришли дяди в погонах и забрали комп. Когда они начнут там рыться ты конкретно попадешь, если в случае с репостом у тебя будет большой шанс отделаться небольшим штрафом, то в случае "таких" файлов последствия будут намного хуже. Если есть какая то информация которая не совсем законна, то хранить ее надо толькона внешнем носителе и только в зашифрованном виде.

+1

Некоторые файлы вообще хранить не стоит

0

Хранить можно, а распространять и продавать нельзя)
Если у тебя облако открытое, то в теории к тебе можно претензии предъявить)

+22

С моим лимитным инетом , только .txt на облака закидывать...

раскрыть ветку 2
+13
"знаете почему я люблю ручку и бумагу, в наш век информация записанная карандашом на мятой салфетке гораздо в большей безопасности, чем в зашифрованном файле на запароленной флешке"


а так лично я стараюсь не держать "уникальных" файлов в одном экземпляре на одной машине

раскрыть ветку 1
+12

А если вирус зашифрует файлы в папке, которая синхронизированы с облаком, то и в облаке будут шифры только

раскрыть ветку 7
+36

Я же не синхронизирую и ты не синхронизируй.

раскрыть ветку 1
+4
хехе таки да - но я не синхронизирую ничего свои важные (ну как важные рабочая билиберда, мамасики да книги) бэкапы делаю в ручную)
раскрыть ветку 1
+1

Так это, у некоторых облаков имеется возможность восстановить предыдущую версию.

-3
Не знаю как в других но в яндексе по идее переместится в корзину в облаке
раскрыть ветку 1
+6

И дублировать на флешку или другой носитель. Одно время пользовался облаком от мэйл.ру, так вот в один прекрасный момент потерял все файлы. Захожу в облако, а ничего нет, пусто. Синхронизация была отключена давным-давно. Писал в саппорт, итог - см. картинку.

Иллюстрация к комментарию
раскрыть ветку 1
0
ну мэйл ру такие мэйл ру) я все же предпочитаю в ручную синхронизироваться - благо файлов не так много
+3
Что за облака дают 60гб бесплатно?
раскрыть ветку 1
0
Мега. Там правда 50гб
+2
До 60? мне майлру подогнал 1 ТБ. В яндексе 67 Гб)

А так-то вы правы).

раскрыть ветку 15
+1
хмм в первый раз что то от мэйл ру выглядит действительно "вкусно" оО там у них точно нет никакого подвоха?
раскрыть ветку 14
+1
60гб бесплатно

Это какие?

раскрыть ветку 2
0
гугл) но тут как члем мне дальше в комментах объяснил зависит от момента когда регаешься он вообще на акцию попал ему мэйл ру  дал тербайт
раскрыть ветку 1
+1
Есть решение - CrashPlan. Можно копии с историей хранить в куче мест, например у друзей.
Я пост пилил http://pikabu.ru/story/rezervnoe_kopirovanie_takoy_neizvestn...
+12
Если это не subversion, а облако с автоматическим обновлением без ревизий, то ваши файлы в облаке станут копией с компа, то есть тоже зашифруются! 😂😂😂
раскрыть ветку 6
-3
Большая часть облаков умеют в версионирование. Так что не беда.
раскрыть ветку 5
+8
Был бы благодарен, если бы огласили весь список.
раскрыть ветку 3
0

У ДропБокса было такое. У OneDrive есть корзина (но она не поможет при изменении файла), а история работает только для документов Office.

+11
Я отделял шифрованные файлы от нетронутых с помощью встроенной, начиная то ли с висты, то ли с семерки, системной утилиты, логического развития copy и xcopy.

Для более ранних версий нужно установить Windows Resource Kit

Такая команда перемещает файлы по маске с сохранением относительных путей в папке назначения (чтобы было наглядно видно дерево пораженных каталогов)

robocopy *.{сюда расширение зашифрованых файлов, без фигурных скобок, конечно} {папка назначения, тоже без фигурных скобок} /s /move

Например:
robocopy *.wcry "d:\backup" /s /move

З.Ы. Может понадобиться перед маской вписать путь нужной папки-источника или сменить активную папку помощью cd или ПКМ в нужном каталоге с зажатым шифтом и выбрать открыть командную строку, как-то так.
раскрыть ветку 1
0

Отдельным постом попахивает, так как в данной ветке тебя  мало кто услышит.  Желательно с подробностями и скринами в этом же сообществе.

+26

Быдло добралось до крипты. Почему 4к грина? За каким хуем такой прайс ломить если шифрует систему обычного юзера. Что-за скотская жадность? Залочить и ждать 4к? Типа хоть 1 или 2 заплатят?Да хуй там плавал. 100 долларов может быть по глупости кто-то скинет, но не 4 касаря.

раскрыть ветку 15
+6

Не думаю что разработчики шифровальщиков рассчитывают на "обычных юзеров".

раскрыть ветку 14
+21

к необычным юзерам они не попадают, поскольку в 999 случаев из 1000 это просто топорная работа долбаеба для долбаебов написанные под копирку с уже известного и намутившего хайпа локера

раскрыть ветку 6
-1
Тем не менее, та атака WannaCry 300-600 баксов вымогала, никак не 4к. А та хрень заразила отнюдь не обычных юзверов. И заражались отнюдь не через открытие файлов по незнание, а вообще без ведома.

Вообще несравнимый уровень.
раскрыть ветку 6
+4

А в чем печаль то?

Чтобы везде поудалять теперь эти зашифрованные *.sVn?


Так это же совсем не проблема.

Можно или простой .бат файл написать, который пройдется по папкам и все эти файлы поудаляет, или можно еще проще - есть программа Everything (voidtools.com).

Она позволяет очень быстро искать на разделах NTFS.

Запускаем ее, вводим в поиск *.svn или что там у нас.. и Shift-Del... Все.

Это действительно, крутейший инструмент.

раскрыть ветку 2
0

в TotalCommander-е поисковик тоже сойдет,

может это он и есть, я не сильно рублю в этом

+3

да ничо я не шифрую.. вапще ни ч_..?6;%3;№"%$#$

+2

Что то разработчики шифровальщиков совсем отупели. Симметричный ключ + не удаляют его с компа жертвы.

Ведь можно нормально все сделать просто почитав про асимметричное шифрование в википедии.

+1

Не нашел у себя такой процесс. Что делать?

раскрыть ветку 1
+3

Расслабиться

+1

Биткойны стоят по +2000? Недавно же подорвали за 300

раскрыть ветку 1
+1
$2,575.32
+1
Спасибо, схороню.
+1

Зашифрованные файлы можно грохнуть так:

В поиске по диску пишем *.jaff, *.wlu, или *.sVn и удаляем найденное

раскрыть ветку 3
+1

Проще - Total Commander, Alt + F7, и вбить в поиск .jaff;.wlu;.sVn и поиск по всем локальным дискам. А можно по сигнатуре искать, но долго. После того как найдены файлы, надо открыть их на панели, выделить все и удалить. Если файлов больше 10-20к, то может зависнуть.

раскрыть ветку 2
0

Дааа, намного проще...

Иллюстрация к комментарию
раскрыть ветку 1
+1

Как то у меня видяха начала грузиться в простое как под нагрузкой, не мог понять что происходить, думал капец видяхе, оказалось в диспетчере нечто похожее висело и грузило комп, удалил все прошло, вот суки комары биткоинтные

раскрыть ветку 1
0

Майнера поймал. Их много)))))))

0

мне года 3 назад шифрануло дохуя чего в .gbungig, гугл такого до сих пор не слышал, находит мой же вопрос на пикабу двухлетней давности, победитель по жизни

раскрыть ветку 2
0

Ты бы на форум докавеба выложил тогда

раскрыть ветку 1
0

еще тогда Докавебы давали дешифровщики только покупателям лицухи, много запросов у них вроде стало,

мне кажетсо, гугл бы нашел, если средство существовало

0

Вот хоть убейте, порядка 5 лет не ловил ни одного вируса...Как-так То ? спросите вы. Да , блеадь некуй лазить и качать всякую херь из сети + профилактика раз в 2 недели и будет вам счастье.( в браузере настроен адблок и ghostery- который блокирует любую деятельность скриптов)

раскрыть ветку 5
+3
От тюрьмы,сумы и от города Парижу не зарекайся...)
+2
Профилактика?
раскрыть ветку 3
0

Предположу что adw cleaner, malwarebytes или windows defender

У меня все три используются, ну и каспер в роли фаервола

раскрыть ветку 2
0
А для .enigma есть лекарство?
раскрыть ветку 1
0

Вымогатель Enigma не всегда удаляет тома теневых копий файлов, потому есть шанс что-то оттуда вытащить. Но при использовании последних теневых копий можно также повторно заразить свой ПК. Если более ранних VSS нет, то лучше и не пытаться.

Вроде как у дока веба появилось лекарство, но я не нашел.

-1

"Через диспетчер задач вырубаем процесс вируса." - сразу неверно. Шифровальщики\майнеры чаще всего имеют вотчдог для перезапуска процесса и бороться с ним вырубая процесс - неэффективное занятие.

Правильное действие - выключаем компьютер и чистим диск от вируса из под загрузочной флешки\Linux. Таким образом вы гарантированно остановите шифровальщик и снизите кол-во зашифрованных фалов.

-2

удачи

Иллюстрация к комментарию
раскрыть ветку 2
0

это что за херь? Линух?

раскрыть ветку 1
0

Убунта

-2

ни один антивирус, ни одна лаборатория, никто из ит контор не берется расшифровывать файлы, т.к. это почти невозможно. а тут бесплатная утилита взяла и расшифровала? как то на хуйню похоже

раскрыть ветку 2
+1

Что за бред? Когда выявляют алгоритм создают утилиту. Этим занимаются:

Kaspersky Lab

CERT-PL

Avast

Emsisoft

Check Point

Bitdefender

Elevenpaths

Intel Security

Trend Micro

http://pikabu.ru/story/spisok_dekriptorov_faylov_posle_zaraz...


Детский сад не разводите. Как из пещеры...

раскрыть ветку 1
-4

ну да, занимаются. где то за год делают лечение для шифрования. кому бывают нужны документы годовалой давности? детский сад не разводите, как из пещеры

-4

Ой блин, большая проблема грохнуть все файлы на компе с определенным расширением! Прям фатальная проблема!)

раскрыть ветку 1
+1
хм, раз минусят, значит у кого-то проблема.
на 7 винде это так:
проводник, Мой компьютер, правое верхнее окно ввода: *.jaff
Ввод, ждем пока все найдет, получится список, выделить всё, удалить!
норм?)
-25
Мне кажется, но Биткойн приносит только вред. От пропавших видеокарт, до банальной бесконтрольности операций.
раскрыть ветку 17
+15

Мне кажется, но доллары приносят только вред. От покупок наркотиков до банальных заказных убийств.

раскрыть ветку 1
+3

Автомобили приносят только вред. Без них жизнь была бы гораздо лучше.

А ещё доступная медицина приносит много вреда. Сильно мешает естественному отбору.

Но это я уже увлёкся...

+9
Причем тут биткоин? Ну не было б его, стоял бы киви кошелек, например.
ещё комментарии
-1
Мне кажется, но героин приносит только вред.. ну ты понел
ещё комментарии
Похожие посты
677

Не рабочий сегодня день

Сегодня придя на работу, бухгалтер встала в ступор и с криками, все пропало!!! Пошла пить чай на весь день. Причиной внепланового чаепития стал вирус- шифровальщик crypted000007...

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Не медля я открыл этот файл и увидел что собственно хочет разработчик данного шифрования

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Просмотрев несколько форумов таких как, Каспеский и dr.web, паника началась и у меня, разработчик все зашифровал в системе RSA-3072. Пройдя по ссылке которая указана в .txt от разраба, перед мной предстал сайт связи с террористом

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Написав в форме обратной связи, если её можно так назвать, обращение, я решил пока он не ответит на почту просвятится и узнать что же за метод RSA шифрования, оказывается все началось в августе 1977 года в колонке «Математические игры» Мартина Гарднера в журнале Scientific American, с разрешения Рональда Ривеста появилось первое описание криптосистемы RSA. Читателям также было предложено дешифровать английскую фразу, зашифрованную описанным алгоритмом:

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

В качестве открытых параметров системы были использованы числа n=1143816...6879541 (129 десятичных знаков, 425 бит, также известно как RSA-129) и e=9007. За расшифровку была обещана награда в 100 долларов США. По заявлению Ривеста, для факторизации числа потребовалось бы более 40 квадриллионов лет. Однако чуть более чем через 15 лет, 3 сентября 1993 года было объявлено о старте проекта распределённых вычислений с координацией через электронную почту по нахождению сомножителей числа RSA-129 и решению головоломки. На протяжении полугода более 600 добровольцев из 20 стран жертвовали процессорное время 1600 машин (две из которых были факс-машинами. В результате были найдены простые множители и расшифровано исходное сообщение, которое представляет собой фразу «THE MAGIC WORDS ARE SQUEAMISH OSSIFRAGE» («Волшебные слова — это брезгливый ягнятник»). 

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Это и есть ягнятник

Вообщем просвятится я знатно, и понял что данный орешек просто так не расколоть, и так и не дождался ответа на почту от разработчика данного вируса...
Буду ждать. О результатах если интересно напишу в следующем посту.

P.S вирус довольно новый, активный, предупредите своих знакомых, коллег и всех всех, нельзя открывать подозрительные письма на почте и уж тем более не переходить по ссылкам в них! Обязательно пользоваться антивирусом, и открывать только знакомые сайты. Нам это послужило уроком, а вам желаем научится на наших ошибках.

Показать полностью 3
1442

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик 

В случае с иностранными пользователями злоумышленник требует выкуп в размере $2,5 тыс. в криптовалюте.

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик  Хакеры, Вирус, Шифровальщик, Расшифровка, Россияне, Вымогательство, Sigrun

Разработчик вредоносного ПО Sigrun бесплатно предоставил пользователям, у которых русский язык указан в качестве основного, дешифровщик файлов. Об этом сообщил специалист по кибербезопасности Алекс Свирид (Alex Svirid) в соцсети Twitter.

Как следует из предоставленных одним из пользователей Twitter скриншотов, если в случае с американским пользователем злоумышленник потребовал выкуп в размере $2,5 тыс. в криптовалюте, то жертве из России хакер согласился помочь бесплатно.

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик  Хакеры, Вирус, Шифровальщик, Расшифровка, Россияне, Вымогательство, Sigrun
Вам не придется платить. Я просто помогу тебе


Как полагают специалисты, автор вредоносного ПО сам проживает на территории РФ и подобная тактика является попыткой избежать излишнего внимания со стороны правоохранительных органов.

Вредонос Sigrun представляет собой вымогательское ПО, которое после инфицирования компьютера требует у пользователей выкуп в криптовалюте за дешифровку данных.

https://www.securitylab.ru/news/493721.php

121

Новый вирус-шифровальщик: Bad Rabbit. Атакованы "Интерфакс", "Фонтанка" и ряд украинских организаций

Новый вирус-шифровальщик: Bad Rabbit. Атакованы "Интерфакс", "Фонтанка" и ряд украинских организаций Вирус, Шифровальщик, Bad Rabbit, Интерфакс, Фонтанка, Длиннопост

Информационное агентство «Интерфакс» подверглось атаке со стороны хакеров, работа его сайта оказалась нарушена, рассказали РБК в пресс-службе компании. За разблокировку компьютеров агентства хакеры требуют выкуп в биткоинах, сообщили источники.


«Мы подверглись хакерской атаке. Специалисты работают над устранением проблемы. Деталей мы не знаем», — сообщили РБК в пресс-службе «Интерфакса». Отвечая на вопрос, требовали ли хакеры биткоины, в пресс-службе заявили, что ничего не знают об этом.


Источник РБК в «Интерфаксе» сообщил, что работа сайта была нарушена примерно в 14:20.


В социальной сети «ВКонтакте» агентство сообщило, что технические службы работают над восстановлением системы. «В связи с вирусной атакой возникли сбои в работе серверов «Интерфакса». В настоящее время технические службы предпринимают все меры для восстановления работы систем. Приносим извинения читателям и подписчикам!» — говорится в сообщении.


На момент публикации материала сайт агентства был недоступен.


В социальных сетях сотрудники агентства опубликовали фотографии экранов своих рабочих компьютеров. На них виден текст, согласно которому хакеры требуют выкуп в биткоинах. При этом указано название вируса, заблокировавшего компьютеры, — Bad Rabbit. Сумма выкупа за каждый компьютер составляет 0,05 биткоина (более 16 тыс. руб. по курсу 24 октября). После получения суммы выкупа злоумышленники обещают передать пароль для доступа к информации.


«Суть в том, что вирус запустили на сервер. А все компы, соответственно, к нему подключены. Поэтому заразиться мог любой», — пояснил источник РБК. В настоящее время инженеры отключили основной сервер и пытаются подключиться к резервному.


«Сейчас обесточили все компьютеры, АССОИ (система передачи внутренней информации от компьютера к компьютеру, в том числе от регионов) не пострадала», — рассказал еще один источник.


Об атаке хакеров сообщило и петербургское издание «Фонтанка». Согласно сообщению пресс-службы, опубликованному во «ВКонтакте», сайт может быть недоступен в течение нескольких часов.


Главный редактор «Фонтанки» Александр Горшков подтвердил РБК информацию о хакерской атаке на сайт издания. «Примерно в 15:20 в результате преступных действий злоумышленников был осуществлен взлом серверов «Фонтанки». Мы абсолютно не сомневаемся, что это часть действий злоумышленников, которые действуют в отношении нас на протяжении последних недель, размещая клеветнические заказные материалы на десятках ресурсов в сети интернет, а также донося до контролирующих органов ложную информацию — эти действия сродни деятельности террористов. Но у них ничего не получится», — рассказал Горшков. Он добавил, что проблема будет решена «в обозримое время». Горшков отказался конкретизировать предполагаемых хакеров, добавив, что «Фонтанке» известны их «личности, которые со временем будут названы».


Основатель компании в сфере информационной безопасности Group-IB Илья Сачков в своем Facebook сообщил, что происходящее можно считать новой волной хакерских атак. «Сейчас началось то, о чем мы предупреждали, — новая волна шифровальщика, атакующего российские СМИ. Group-IB достоверно известно о трех успешных атаках сегодня. Судя по экранам компьютеров, не похоже на Petya или WannaCry. Но это лишь картинка. Часть компьютеров уже у нас на экспертизе», — рассказал он.


Параллельно с атакой хакеров на российские СМИ стало известно, что нападению подверглись и учреждения на Украине. Так, информация о нарушении работы информационных систем появилась в Facebook аэропорта Одессы. «Сообщаем, что информационная система Международного аэропорта «Одесса» подверглась хакерской атаке. Все службы аэропорта работают в усиленном режиме. Приносим свои извинения пассажирам за вынужденное увеличение времени обслуживания», — говорится в сообщении. Дежурный оператор в аэропорту сообщил РБК, что в международном аэропорту в Одессе «по техническим причинам» не работает интернет, «Самолеты взлетают, регистрация идет, просто у нас не работает интернет», — сказал собеседник РБК.


О хакерской атаке сообщила и пресс-служба Киевского метрополитена. Хакерам удалось нарушить возможность оплаты проезда с помощью бесконтактных банковских карточек. «Внимание! Кибератака! Метро работает в обычном режиме, кроме банковских сервисов (оплата бесконтактными банковскими карточками на желтом турникете или MasterPass)», — сообщается в официальном аккаунте киевского метро в Facebook.


Еще одной жертвой хакеров, как передает телеканал «112 Украина», стал сайт Министерства инфраструктуры Украины. Портал ведомства оказался недоступен, при запросе выдается сообщение об ошибке. В пресс-службе министерства РБК заявили, что атаки на сайт не было. «Но были сигналы на атаки других организаций. Есть письмо СБУ, которое рекомендует в случае появления информации о возможных атаках, отключать сервера и так далее, чтобы обезопасить системы от атак. Поэтому в плановом режиме отключили», — пояснили в пресс-службе.


В мае масштабная хакерская атака стала причиной нарушений работы государственных и финансовых учреждений по всему миру. Программа-шифровальщик под названием WannaCry использовала уязвимость в системе Windows. В России кибератакам подверглись телекоммуникационные компании «МегаФон» и «ВымпелКом», МВД и РЖД. Также хакеры пытались взломать серверы Минздрава, однако ведомству удалось предотвратить атаку. Атаки на электронную инфраструктуру зафиксировал и Сбербанк. Компания «Роснефть» из-за действий хакеров была вынуждена перейти на резервную систему управления.

Источник + новостной сюжет Яндекс.Новостей
Показать полностью
285

Письма счастья. Шифровальщик

Письма счастья. Шифровальщик Мошенничество, Шифровальщик, Шифрование, Вирус, Интернет, Безопасность

Вот такие письма нам иногда падают на корпоративную почту. Во вложении скорее всего скрип шифровальщик.

Забавляет глупость мошенников - провели проверку, выявили задолженность и просят реквизиты :)  

Будьте внимательны при работе с электронной почтой!

106

Исходные коды вируса-шифровальщика SLocker для Android .

Вымогатель SLocker, также известный как Simple Locker, является одним из наиболее известных и старейших шифровальщиков для Android. Именно он устроил настоящую эпидемию летом 2016 года, а в мае 2017 года исследователи обнаружили более 400 новых образцов вируса. Спустя еще месяц, в июне 2017 года, специалисты Trend Micro заметили, что вымогатель начал копировать GUI нашумевшего шифровальщика WannaCry.

Исходные коды вируса-шифровальщика SLocker для Android . Вирус, Шифровальщик, Исходный код, Android, Slocker, Безопасность
SLocker – один из немногих мобильных вымогателей, который действительно шифрует данные жертв, а не просто запугивает пострадавших, блокируя экран устройства. SLocker использует алгоритм AES, шифрует все данные на устройстве, а потом блокирует жертве доступ к каким-либо функциям девайса и требует выкуп. Для связи с командными серверами вирус использует Tor, в результате чего отследить «источник» практически невозможно.
Исходные коды вируса-шифровальщика SLocker для Android . Вирус, Шифровальщик, Исходный код, Android, Slocker, Безопасность

Для ознакомления!

Исходный код вируса SLocker (опубликовал fs0c1ety):

https://github.com/fs0c1ety/SLocker

Пользователям Android рекомендуется удвоить бдительность и помнить о простейших правилах безопасности:

-не открывать почтовые вложения, полученные из неизвестных источников;

-не нажимать на ссылки, полученные в SMS- и MMS-сообщениях;

-отключить в настройках безопасности Android установку приложений не из Google Play;

-своевременно обновлять ОС и приложения;

-не подключаться к незащищенным и непроверенным публичным сетям Wi-Fi, и вообще отключать Wi-Fi если он не используется.

Показать полностью 1
265

Защита от шифровальщиков. Делаем псевдопесочницу.

Сегодня я не буду про VPN, прокси и пр. Сегодня про личную информационную безопасность на своём компьютере.

Сейчас, как никогда, актуальна тема эпидемий вирусов, троянов и пр. И в большинстве своём их цель одна — заработать денег для своих создателей. Малварь может украсть ваши платежные данные и с ваших счетов будут списаны деньги. Но, в последнее время, основной тренд — это шифрование файлов жертвы. Шифруются или все подряд файлы, или наиболее ценные, по маске. Итог один: у вас появляется окно с требованием заплатить выкуп за расшифровку.


Различные антивирусные программы, в том числе именитых брендов, далеко не панацея. Малварь почти всегда будет использовать встроенные в операционную систему механизмы (в том числе и шифрования). Антивирусы крайне редко распознают свежих вредоносов с таким функционалом.


Стоит помнить, что основной канал распространения вредоносов — это электронная почта. Ничто не защитит вас так, как ваша осмотрительность и паранойя. Но надеяться на это полностью не стоит. Кроме того, наверняка, за вашим компьютером работает кто-то кроме вас, кто не столь осмотрителен и параноидален. Так что же делать?


Есть интересный подход к этой проблеме. Его реализацию можно найти в ряде источников в сети. И сейчас мы его рассмотрим.

Защита от шифровальщиков. Делаем псевдопесочницу. Малварь, Вирус, Шифровальщик, Троян, Информационная безопасность, Антивирус, Длиннопост

Итак, давайте рассуждать логически. Вредонос создан с целью заработка. Его преимущество во внезапности. Ведь как только о нём все узнают, как только специалисты разберут его по ноликам и единичкам, внесут в антивирусные базы, вредонос уже не сможет зарабатывать. И создатель вредоноса, как правило, принимает меры, чтобы защитить своё творение от изучения. Вредоносы, для анализа, запускают в специальной среде, где он не сможет натворить дел. Т.е. это некая искусственная среда (виртуальная машина, изолированная сеть) где за действиями вредоноса можно наблюдать, понять, как он работает. Такую искусственную среду называю "песочницей". В большинство вредоносов встраивают инструменты обнаружения работы в песочнице. И тогда он прекращает свою работу и удаляет себя. Ниже я расскажу вам, как сделать свой компьютер с ОС Windows похожим на такую песочницу. Таким образом мы введем вредонос в заблуждение и остановим его работу. Конечно это не панацея. Конечно нельзя ограничится только этими мерами. Но лишними они точно не будут.


Для начала сделаем свою сетевую карту похожей на сетевую карту виртуальной машины.


Узнаем название своей видеокарты. Открываем Пуск->Панель управления.


В Windows XP : Открываем "Сетевые подключения". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". Правой кнопкой мыши (далее - ПКМ) и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


В Windows 7,8,10: Открываем "Сеть и интернет"->"Центр управления сетями и общим доступом". Слева ищем "Изменение параметров адаптера". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". ПКМ и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


Нажмите сочетание клавишь Win+R (или Пуск->Выполнить) и введите

regedit

В Windows 8 и 10 права пользователя сильно обрезаны. Тут стоит сначала создать ярлык на рабочем столе с названием regedit. В строчке, где нужно указать расположение объекта, вписать просто "regedit" без кавычек. Потом щелкнуть правой кнопкой мыши на ярлыке и выбрать "Запуск от имени администратора".


Итак мы запустили RegEdit или редактор реестра Windows. Слева, в дереве реестра последовательно идём по "веткам"

HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Class

И ищем ветку, которая начинается с {4D36E972

Защита от шифровальщиков. Делаем псевдопесочницу. Малварь, Вирус, Шифровальщик, Троян, Информационная безопасность, Антивирус, Длиннопост

Здесь мы видим ветки с четырехзначными номерами (0000, 0001, 0002 и т.д.). Становимся на каждую из них последовательно, в правом окне ищем параметр с именем DriverDesc и значением, соответствующим названию вашего сетевого адаптера. Как только нашли, в правом окне на свободном месте ПКМ и Создать -> Строковый параметр. Имя ему вписываем

NetworkAddress

и жмём Enter для сохранения имени. Затем открываем наш новый ключ двойным кликом и вписываем значение

005056xxxxxx

где вместо xxxxxx любые случайные 6 цифр. И жмём ОК. Теперь, после перезагрузки, у нашего сетевого адаптера будет MAC адрес из диапазона системы виртуализации VMware.


Внимание: если вы находитесь в корпоративной среде или сетевая карта компьютера подключена напрямую (без маршрутизатора) к сетям провайдера, то вы можете остаться без связи. Если что-то пошло не так, удалите параметр NetworkAddress и перезагрузите компьютер.


А теперь сделаем самое интересное. Воспользуемся скриптом FSP (fake sandbox process). Скачать его можно здесь.

Защита от шифровальщиков. Делаем псевдопесочницу. Малварь, Вирус, Шифровальщик, Троян, Информационная безопасность, Антивирус, Длиннопост

Распаковываем архив. Внутри папка installer, а в ней файл fake-sandbox-installer.bat. Запустим его, на все вопросы ответим утвердительно путем ввода буквы y и нажатия Enter.


В автозагрузке (Пуск -> Программы (Все программы) -> Автозагрузка) должен появится fake_sandbox


После перезагрузки компютера в Диспетчере задач (для вызова Win+R, набрать taskmgr и нажать ОК. Выбрать вкладку "Процессы".) появятся фейковые процессы "WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe" и пр. На самом деле это запущен безобидный ping.exe, но под разными именами. А вот малварь, видя такой набор специализированных процессов, подумает, что её изучают в песочнице и самоубъётся.


Ну и вишенкой на торте: найдите файл vssadmin.exe в папке C:\Windows\System32 и переименуйте его как-нибудь. Естественно для этого нужны права администратора. Vssadmin - это инструмент управления теневыми копиями. Вредоносы с помощью него удаляют ваши бэкапы.

Всем безопасности и анонимности, много и бесплатно.


З.Ы. По моим статьям я получаю много вопросов. А еще многие хотят просто поговорит на околоИБэшные темы. В общем расчехлил я старый говорильный инструмент. Подробности здесь.

Показать полностью 3
141

Ошибки в коде WannaCry помогают бесплатно восстановить файлы

Исходный код вымогательского ПО WannaCry оказался довольно низкого качества.

Изучив исходный код вымогательского ПО WannaCry, ранее инфицировавшего сотни тысяч компьютеров по всему миру, специалисты компании «Лаборатория Касперского» обнаружили ряд ошибок, делающих возможным восстановление зашифрованных файлов с помощью общедоступных программных инструментов.


К примеру, ошибка в механизме обработки файлов только для чтения означает, что программа вообще не может шифровать подобные файлы. Вместо этого вредонос создает зашифрованные копии файлов, а оригинальные версии остаются нетронутыми. При этом они делаются скрытыми, но не удаляются, и получить доступ к ним можно, включив опцию отображения скрытых файлов.


В случае, если файлы расположены в «важных» папках («Рабочий стол» или «Мои документы»), WannaCry перезаписывает оригинальные файлы и восстановить их будет невозможно (разве что заплатить выкуп). «Неважные» файлы отправляются во временную папку %TEMP%\%d.WNCRYT и просто удаляются с диска без перезаписи. В таком случае их можно восстановить с помощью специальных программ.

«Мы уже наблюдали это раньше - разработчики вымогательского ПО часто допускают грубые ошибки, позволяющие исследователям в области кибербезопасности успешно восстановить файлы. WannaCry - по крайней мере первый и наиболее распространенный представитель данного семейства - как раз такое вредоносное ПО», - отметил эксперт «ЛК» Антон Иванов.

Напомним, о масштабной кампании с использованием вымогательского ПО WannaCry стало известно 12 мая нынешнего года. За несколько дней вредонос инфицировал более 400 тыс. компьютеров в свыше 150 странах мира. Как сообщалось ранее, наибольшее число атак пришлось на Россию, однако по данным компании Kryptos Logic, лидером по числу случаев заражения стал Китай, тогда как РФ оказалась на третьем месте после США.

http://www.securitylab.ru/news/486528.php?utm_referrer=https...
745

Список декрипторов файлов после заражения шифровальщиками...

Проблема с атакой шифровальщиков - вымогателей была актуальна давно, так как появились они не вчера, не месяц назад и даже не год тому назад. И по сей день рабочие станции как обыкновенных пользователей, так и организаций подвержены заражению зловредов.

Файлы шифруются разными алгоритмами и их расширение меняется, в следствии чего их невозможно открыть до расшифровки. Сейчас уже имеются бесплатные утилиты разработанные группой специалистов.

Список декрипторов файлов после заражения шифровальщиками... Вирус, Декриптор, Список, Утилиты, Расшифровка, Шифровальщик, Длиннопост

Файлы после заражения многими шифровальщиками можно расшифровать самостоятельно не заплатив ни копейки.

Ниже приведу список таких вирусов:

Dharma;

Crysis;

Chimera;

Rakhni;

Agent.iih;

Aura;

Autoit;

Pletor;

Rotor;

Lamer;

Lortok;

Cryptokluchen;

Democry;

Bitman (TeslaCrypt) version 3

Bitman (TeslaCrypt) version 4

CryptXXX versions 1

CryptXXX versions 2

CryptXXX versions 3

Marsjoke aka Polyglot;

Rannoh;

AutoIt;

Fury;

Crybola;

Cryakl;

Cry128

Amnesia

Cry9

Damage

Crypton

Merry X-Mas

BarRax

Alcatraz

Bart

Crypt888

HiddenTear

the Noobcrypt

CryptoMix

Popcorn

Marlboro

GlobeImposter

MRCR

Globe3

Derialock

PHP ransomware

Wildfire

Chimera

TeslaCrypt v3

TeslaCrypt v4

Shade (только файлы с расширениями .xtbl, .ytbl, .breaking_bad, .heisenberg)

Coinvault

Bitcryptor

Jigsaw

Trend Micro Ransomware (20+ разновидностей)

NMoreira

Ozozalocker

Globe

Globe2

FenixLocker

Philadelphia

Stampado

Xorist

Nemucod

Gomasom

Linux.Encoder.1

Linux.Encoder.3


Как правило для выявления ключа утилитам нужен зашифрованный файл и его не зашифрованная копия. Такую не зашифрованную версию файла можно найти в электронном почтовом ящике или на флешке, в тех местах где вирус не побывал, но данные сохранились.

Хотя некоторые дешифраторы работают иначе. Подробности по работе определенной версии дешифровальщика можно прочитать в гайде к нему.


Все утилиты и гайды собраны на сайте проекта https://www.nomoreransom.org/decryption-tools.html (не реклама), для некоторых зловредов аж по две разных утилиты (например от Касперского и Check Point).


Последовательность действий:

1.Выявляем вид вируса-шифровальщика по расширению зашифрованного файла и через любой поисковик;

2.Избавляемся от самого вируса (мануалы так же ищем в сети на специализированных форумах);

3.Находим на NoMoreRansom нужную утилиту;

4.Читаем руководство (ссылка For more information please see this how-to guide);

5.Запускаем утилиту и выполняем действия по гайду (пункт 4).

Список декрипторов файлов после заражения шифровальщиками... Вирус, Декриптор, Список, Утилиты, Расшифровка, Шифровальщик, Длиннопост
Список декрипторов файлов после заражения шифровальщиками... Вирус, Декриптор, Список, Утилиты, Расшифровка, Шифровальщик, Длиннопост
Список декрипторов файлов после заражения шифровальщиками... Вирус, Декриптор, Список, Утилиты, Расшифровка, Шифровальщик, Длиннопост
Показать полностью 3
200

WannaCry. Сколько зарабатывают хакеры и расшифруют ли они файлы после оплаты?

Вот и спал пик обсуждения вируса-шифровальщика WannaCry  ( он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt...), но в посте о декрипторах задавались вопросы по поводу случаев оплаты (биткоинами) расшифровки файлов хакерам.


Сегодня вернулся на Пикабу и решил порыть интернет на предмет дохода создателей зловреда. Это оказалось проще простого и заработали хацкеры:

Total ransomed: $130,240.63. Last payment made at: May 25th, 1:01 PM

WannaCry. Сколько зарабатывают хакеры и расшифруют ли они файлы после оплаты? Wannacry, Вирус, Доход, Хакеры, Декриптор, Биткоины, Оплата, Длиннопост

График с сайта https://www.elliptic.co/wannacry/

Онлайн транзакции поступающие на биткоин адреса злоумышленников можно отследить в твиттер-боте по адресу:

https://twitter.com/actual_ransom

WannaCry. Сколько зарабатывают хакеры и расшифруют ли они файлы после оплаты? Wannacry, Вирус, Доход, Хакеры, Декриптор, Биткоины, Оплата, Длиннопост

Ведется трансляция с обозревателя блоков blockchain.info, ниже ссылки на транзакции по трем биткоин-адресам создателей вируса:

https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8is...

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6N...

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNX...

Расшифровка.

А вот информации от оплативших расшифровку нет, как нет информации о намерении хакеров успокоить душу народа и дешифровать информацию после оплаты((((

Но на хабре нашлась инфа о принципе работы кнопки Decrypt, а так же о том, что у злоумышленников нет способа идентификации пользователей, отправивших битки, а значит пострадавшим никто ничего восстанавливать не будет :

"Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки."

https://habrahabr.ru/company/pentestit/blog/328606/#comment_...


Похоже что заплатив выкуп ничего не добьемся, так что... мы помним что делать чтобы обезопаситься:

http://pikabu.ru/story/poznakomimsya_s_wannacry_poblizhe_504...

http://pikabu.ru/story/ssyilki_na_obnovleniya_microsoft_ms17...

Показать полностью 1
3540

Дешифровщиков Вам в ленту (WannaCry, Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt)

Дешифровщиков Вам в ленту (WannaCry, Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt) Wannacry, Wanakey, Wanakiwi, Расшифровка, Вирус

Дешифровщик WannaKey под Windows XP от Adrien Guinet: https://github'com/aguinet/wannakey

Подтверждение экспертов: https://www.wired.com/2017/05/wannacry-flaw-help-windows-xp-...

Дешифровщиков Вам в ленту (WannaCry, Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt) Wannacry, Wanakey, Wanakiwi, Расшифровка, Вирус

Дешифровщик wanakiwi под Windows XP,  Windows 7 x86, 2003, Vista, Server 2008 и 2008 R2: https://github'com/gentilkiwi/wanakiwi/releases

Технические детали работы wanakiwi: https://blog.comae.io/wannacry-decrypting-files-with-wanakiw...

Подтверждение эффективности работы wanakiwi специалистами Европола: https://twitter.com/Europol/status/865604532419543041?ref_sr...

ПыСы: Дешифровщики не у всех срабатывают...

Показать полностью 1
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: