Шифраторы, вымогатели и Trojan.Encoder.33749
Сегодня с утра написал мне знакомый Андрей (имя изменено) с проблемой такого плана:
- Ситуация: на сервер вирус залетел, всё перекодировал, есть возможность раскодировать?
И, конечно же, себя не заставил ждать сам вымогатель и написал в телеграмм под ником KeySeller и показал скриншоты серверов. Там мы узнали, что он создал пользователя ravenrestore@yandex.com и получил доступ с правами загрузки файлов на сервер. Дальше он запустил троян семейства Ransomware и зашифровал все документы.
Затем вымогатель написал: Pay me 3000$ in bitcoin.
Порядок действий в данной ситуации:
1. Ни при каких обстоятельствах не платить вымогателю. Файлы вы не восстановите, а вот свою платежеспособность докажете. Вам никто ничего не расшифрует и доступ не вернет, а скорей всего попросят еще денег.
2. Постарайтесь быть вежливым и участливым с вымогателем и постарайтесь выяснить у него как можно больше фактов:
- откуда он, в какой стране живет;
- работает ли он в команде;
- как часто они так зарабатывают и сколько сейчас у них в обороте;
- чем он так круто вам зашифровал сервер и файлы (обязательно похвалите его за труд);
- узнайте пользуется ли он платежными сервисами ибо вы далеки от крипты;
- узнайте его почту или его личный сайт, спросите про github и так далее;
- созвонитесь и попробуйте распознать акцент (русский, индус, американец или др.)
Если вы были достаточно общительны (как мы) то вы сможете узнать, что это простой парень с юга США, который только начал свой путь с вирусами, что троян он использовал Trojan.Encoder.33749, который, по его словам, мега крутой. Также, он нам рассказал что ему не 3000 долларов надо, а хватит и 500 долларов для начала. Возможно, это все вранье, но это лучше чем вообще ничего не знать. Так мы проверить сможем его информацию и попробовать стандартные приемы из п.3
Кроме того мы узнали что он сменил некоторые пароли, через которые проник на сервер, но доступ к файлам и дискам у нас остался - значит он не супер-админ все таки доступ получил, а была утечка от одного из пользователей общего софта.
Может быть можно было бы и вообще договориться на бесплатную расшифровку файлов и пригласить его в Россию, но переговоры в процессе.
3. Если вы выполните п.2 то у вас будет достаточно информации для действий и поиска решения. И дальше идем так:
- берем файл, который зашифрован "Документ_xltID=JcrnNn_Mail=Rav.bzvC" и копируем хвост - вставляем в поисковик (любой поисковик, а лучше все попробовать)
Скорей всего поисковик найдет вам сайт по маске [ID=<xxxxxx>-Mail=<email>].<xxxx> - так мы узнали, что за семейство шифраторов использовано.
На этом же сайте нам показаны решения от популярных антивирусных компаний
Название статьи: Шифровальщики-вымогателиThe Digest "Crypto-Ransomware"
DrWeb -> Trojan.Encoder.33774
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> Win64/Filecoder.DJ
Kaspersky -> Trojan-Ransom.Win32.Blocker.mwat
Kingsoft -> Win32.Troj.Undef.(kcloud)
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Ymacco.AA88
Qihoo-360 -> Win64/Trojan.Generic.HgEASR4A
Rising -> Ransom.Blocker!8.12A (CLOUD)
Symantec -> Trojan.Gen.MBT
TrendMicro -> TROJ_GEN.R002H09D121
4. Переходим на официальные (ОФИЦИАЛЬНЫЕ!) сайты антивирусных компаний и пишем в саппорт о своей проблеме - можно еще и свой файл скинуть. Еще можно прям у них на сайте скачать дешифровщики.
Вот такой путь бесплатного и быстрого способа что-то решить с этой проблемой.
P.S. Проблему не решили, файлы так и зашифрованы. Подняли защищенный сервер с бэкапом и просто решили жить дальше. К сожалению только так. Happy End не получилось.
Правила:
1. Если вы новичок - берите облачные решения и сервера с защитой и бэкапом.
2. Если у вас на сервере крутится ПО с доступом с разных пользователей (бухгалтерия, склад, папки с документами и тд) то берите хороший сервер с защитой от вымогателей. И обязательно бэкап.
3. Если вы все таки используете свои сервера - то обратитесь за настройкой к профессионалам (я не профи, я стартапер по большей части, и проект мой не в этой сфере, если что :)))
4. Бэкап еще раз.
5. Проведите беседу с работниками по информационной безопасности, а лучше постоянно говорите об этом (времена не спокойные, так как Мировой кризис).
Мнение автора: Так как в мире уволено огромное количество ИТ спецов (Twitter например), то догадайтесь чем будут заниматься голодные ребята, которые разбираются в вопросах работы серверов и хранения данных, мобильных приложениях, сайтах, сервисах. Кажется, что достаточно много появиться вредоносного и вымогательного. МАКСИМАЛЬНАЯ БДИТЕЛЬНОСТЬ КОГДА ВЫ ЧТО-ТО СКАЧИВАЕТЕ СЕБЕ НА УСТРОЙСТВО!