Шифраторы, вымогатели и Trojan.Encoder.33749

Сегодня с утра написал мне знакомый Андрей (имя изменено) с проблемой такого плана:

- Ситуация: на сервер вирус залетел, всё перекодировал, есть возможность раскодировать?

И, конечно же, себя не заставил ждать сам вымогатель и написал в телеграмм под ником KeySeller и показал скриншоты серверов. Там мы узнали, что он создал пользователя ravenrestore@yandex.com и получил доступ с правами загрузки файлов на сервер. Дальше он запустил троян семейства Ransomware и зашифровал все документы.

Затем вымогатель написал: Pay me 3000$ in bitcoin.

Порядок действий в данной ситуации:

1. Ни при каких обстоятельствах не платить вымогателю. Файлы вы не восстановите, а вот свою платежеспособность докажете. Вам никто ничего не расшифрует и доступ не вернет, а скорей всего попросят еще денег.

2. Постарайтесь быть вежливым и участливым с вымогателем и постарайтесь выяснить у него как можно больше фактов:
- откуда он, в какой стране живет; 
- работает ли он в команде; 
- как часто они так зарабатывают и сколько сейчас у них в обороте; 
- чем он так круто вам зашифровал сервер и файлы (обязательно похвалите его за труд); 
- узнайте пользуется ли он платежными сервисами ибо вы далеки от крипты;
- узнайте его почту или его личный сайт, спросите про github и так далее;

- созвонитесь и попробуйте распознать акцент (русский, индус, американец или др.)


Если вы были достаточно общительны (как мы) то вы сможете узнать, что это простой парень с юга США, который только начал свой путь с вирусами, что троян он использовал Trojan.Encoder.33749, который, по его словам, мега крутой. Также, он нам рассказал что ему не 3000 долларов надо, а хватит и 500 долларов для начала. Возможно, это все вранье, но это лучше чем вообще ничего не знать. Так мы проверить сможем его информацию и попробовать стандартные приемы из п.3
Кроме того мы узнали что он сменил некоторые пароли, через которые проник на сервер, но доступ к файлам и дискам у нас остался - значит он не супер-админ все таки доступ получил, а была утечка от одного из пользователей общего софта.
Может быть можно было бы и вообще договориться на бесплатную расшифровку файлов и пригласить его в Россию, но переговоры в процессе.


3. Если вы выполните п.2 то у вас будет достаточно информации для действий и поиска решения. И дальше идем так:
- берем файл, который зашифрован "Документ_xltID=JcrnNn_Mail=Rav.bzvC" и копируем хвост - вставляем в поисковик (любой поисковик, а лучше все попробовать)
Скорей всего поисковик найдет вам сайт  по маске [ID=<xxxxxx>-Mail=<email>].<xxxx> - так мы узнали, что за семейство шифраторов использовано.
На этом же сайте нам показаны решения от популярных антивирусных компаний

Название статьи: Шифровальщики-вымогателиThe Digest "Crypto-Ransomware"


DrWeb -> Trojan.Encoder.33774

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> Win64/Filecoder.DJ

Kaspersky -> Trojan-Ransom.Win32.Blocker.mwat

Kingsoft -> Win32.Troj.Undef.(kcloud)

Malwarebytes -> Ransom.FileCryptor

Microsoft -> Trojan:Win32/Ymacco.AA88

Qihoo-360 -> Win64/Trojan.Generic.HgEASR4A

Rising -> Ransom.Blocker!8.12A (CLOUD)

Symantec -> Trojan.Gen.MBT

TrendMicro -> TROJ_GEN.R002H09D121

4. Переходим на официальные (ОФИЦИАЛЬНЫЕ!) сайты антивирусных компаний и пишем в саппорт о своей проблеме - можно еще и свой файл скинуть. Еще можно прям у них на сайте скачать дешифровщики.

Вот такой путь бесплатного и быстрого способа что-то решить с этой проблемой.


P.S. Проблему не решили, файлы так и зашифрованы. Подняли защищенный сервер с бэкапом и просто решили жить дальше. К сожалению только так. Happy End не получилось.


Правила:

1. Если вы новичок - берите облачные решения и сервера с защитой и бэкапом.
2. Если у вас на сервере крутится ПО с доступом с разных пользователей (бухгалтерия, склад, папки с документами и тд) то берите хороший сервер с защитой от вымогателей. И обязательно бэкап.
3. Если вы все таки используете свои сервера - то обратитесь за настройкой к профессионалам (я не профи, я стартапер по большей части, и проект мой не в этой сфере, если что :)))
4. Бэкап еще раз.
5. Проведите беседу с работниками по информационной безопасности, а лучше постоянно говорите об этом (времена не спокойные, так как Мировой кризис).

Мнение автора:  Так как в мире уволено огромное количество ИТ спецов (Twitter например), то догадайтесь чем будут заниматься голодные ребята, которые разбираются в вопросах работы серверов и хранения данных, мобильных приложениях, сайтах, сервисах. Кажется, что достаточно много появиться вредоносного и вымогательного. МАКСИМАЛЬНАЯ БДИТЕЛЬНОСТЬ КОГДА ВЫ ЧТО-ТО СКАЧИВАЕТЕ СЕБЕ НА УСТРОЙСТВО! 
Шифраторы, вымогатели и Trojan.Encoder.33749 Информационная безопасность, Вымогательство, Вирусы-шифровальщики, Длиннопост