Pull to refresh

Comments 27

А как происходит заражение? все стандартно письма в почту с исполняемым файлом?
Спасибо за актуальный вопрос. По распространению и заражению дополнительно задал вопрос в лабораторию (по описанию есть только предположения, что заражает не так, как обычные шифровальщики).
Как получу ответ, напишу.
вот и я так предположил) жду ответа, что-то нынче активизировались шифровальщик. видимо доходная вещь и защиты нету во многих местах из-за экономии.
Получил ответ из лаборатории. Информация по распространению, указанная в статье подтвердилась:

1. Данный шифровальщик распространяется не через почту, а через наборы эксплойтов, которые поражают браузеры (попадают через зараженные сайты).

2. Уникальные, необычные особенности данного шифровальщика:
• Особенности в отображаемом сообщении: инструкция о том, как связаться с кибер-преступником, что необычно для шифровальщиков, потому что большинство из них хостятся в сети TOR;
• Нет текстовых строковых переменных (string) — они удалены для того, чтобы затруднить анализ;
• Файлы шифруются полностью (на 100%);
• Есть уникальные особенности внедрения шифрования в этой угрозе — достаточно оригинальные решения, которые ранее не встречались ни разу. Безусловно, авторы этого шифровальщика обладают очень высоким уровнем знаний в данной области.

Понятно, что в статье и дополнительных ответах не раскрываются все детали и особенности, чтобы другим не повадно было создавать аналогичные произведения.
спасибо. заражение через браузер — это огромный головняк.
Еще дополнения:

По поводу наборов эксплойтов. Заражение пользователя может осуществляться следующим образом:
• пользователь посетил вредоносный сайт
• пользователь посетил невредоносный сайт, но который был взломан и заражен или на этом сайте показывались вредоносные рекламные объявления, через которые мог загрузиться вредоносный эксплойт.

Т.е. получается, что сценарий заражения может быть таким: пользователь посетил какой-то сайт, откуда в скрытом режиме загрузился эксплойт. Далее через него уже в скрытом режиме загрузился троян, в котором был упакован шифровальщик. Все это происходит незаметно для пользователя.
Наши коллеги из PandaLabs продолжат анализировать шифровальщика, возможно, мы сможем узнать и какие-то другие способы распространения.

Кстати, в этом году ряд читателей сайта The New York Times оказались заражены также через вредоносные рекламные объявления.
а да кстати, а как он ведет себя если подключеные сетевые диски примонтированные и нет? лезет на них? пытается зайти на еще какие то доступные ресурсы в сети?
Шифровальщик внедряется на ВСЕ устройства, к которым он может получить доступ в сети.
Каких-то дополнительных подробностей от аналитиков по этому поводу, в настоящий момент, нет.
если будет какая то еще инфа от аналитиков напишите пожалуйста.
еще вопрос, а исполняемый файл который он докачивает в каком расширении обычный эксешник или когда как?
Нельзя ли расширения заражаемых файлов сортировать по алфавиту? Глаза сломать можно, а Ctrl+F ищет по всей странице и может перекинуть например в самый низ.

И я не понял, в чем уникальность. Типа другие шифровальщики не инструктируют жертву как спасти свои файлы?
Отсортированные расширения: 3ds 4db 4dd 7zip accdb accdt aep aes arj bpw cdr cer crp crt csv dbf dbx der doc docm docx dot dotm dotx dwfx dwg dwk dxf eml fdb gdb gho gpg gxk idx ifx iso jpg kdb kdbx key ksd max mdb mdf mpd mpp myo nba nbf nsf nv2 odb odp ods odt ofx p12 pdb pdf pfx pgp ppj pps ppsx ppt pptx prproj psd psw qba qbb qbo qbw qfx qif rar raw rtf saj sdc sdf sko sql sxc tar tax tbl tib txt wdb xls xlsm xlsx xml zip
Спасибо)) Я могу отсортировать, смысл вопроса был в том, не лучше ли в статье приводить сортированный список. Я понимаю, что он сгруппирован по типу файлов, но и в этом случае он сгруппирован плохо, глазами тоже нужно искать границу, где заканчиваются архивы и начинаются картинки.
Вот интересно, хоть когда-нибудь хоть один из создателей шифровальщиков сядет?
А то как за пиратами с сачком гоняться и штрафовать их на триллионы долларов, так тут никогда проблем не возникает. Как закрыть очередную биткоин-биржу или торговую площадку, так правоохранительные органы на раз-два с этим справляются.
А вот в случае с шифровальщиками никакой реакции просто нету. Даже когда зашифровали данные на компах в каком-то полицейском управлении, и то не пытались создателей отловить, вместо этого спокойно выплатив деньги за расшифровку.
Возникает закономерный вопрос — а чьи вообще интересы защищают все эти правоохранители, которые год от года требуют всё больше полномочий и внедряют всё больше механизмов слежки?
Э? У вас есть вопросы? СССР давно закончился. Полиция защищает интересы богатых.
Возникает закономерный вопрос — а чьи вообще интересы защищают все эти правоохранители, которые год от года требуют всё больше полномочий и внедряют всё больше механизмов слежки?

Надеяться на правоохранительные органы РФ можно лишь в случае последней надежды, к сожалению.

Разрешите напомнить: «Спасение утопающих — дело рук самих утопающих — спасение утопающих — дело рук самих утопающих». (с) «Двенадцать стульев» (1928), гл. 34.

На мой взгляд обычного параноика, за систематическим увеличением количества шифровальщиков CryptoBit, кто-то настойчиво подталкивает обычных пользователей к ОБЯЗАТЕЛЬНОМУ резервному копированию данных.
Что-то я не понял суть статьи. Все шифровальщики-вымогатели показывают подобные сообщения.
не понял суть статьи. Все шифровальщики-вымогатели показывают подобные сообщения.

Ответы выше
Почему в статье не указано как защититься от этого зловреда, а также есть ли лекарство?
Все ли броузеры подвержены?
Рекомендация по защите одна:
поддерживайте Ваш антивирус или решение безопасности в обновленном состоянии и убедитесь, что у Вас имеются резервные копии Ваших самых важных файлов.

Лекарство от шифровальщиков — это расшифровка, которую делают (могут и не делать) преступники после получения оплаты…

Информации по уязвимости всех браузеров пока нет, но вопрос изучается в лаборатории.
Причем тут антивирус вообще? Ни один антивирус не ловит 0-day версии свежих шифровальщиков)
Антивирусом не пользуюсь т.к. при пользовании им порядка 15 лет, толку не заметил.
последние 5-6 лет была пара тройка заражений, антивирус не помог. Последние 3 года сижу без антивирусов. делаю регулярно бекап и проверку сканером. Заражений пока нет.
Но ситуация когда можно заразиться зайдя на какойнить сайт неприятная. но на сколько я понял от последнего зловреда антивирусы пока не спасют?

PandaLabs после обнаружения внесла в свои базы данный образец.
Соответственно, решения безопасности Panda должны блокировать запуск эксплойтов.
Про другие антивирусы ничего не могу сказать.
Only those users with full accounts are able to leave comments. Log in, please.