4

Внимание!Опасное заражение в сети!Шифрует ваши файлы!Письмо в архиве с расширением .hta! Антивирусные компании бессильны!

В общем-то начинается все банально! На компьютер допустим к секретарю приходит поздравительное или благодарственное письмо с файлом в архиве с паролем.
Реквизиты и название атакуемой фирмы берут из справочников в интернете!

Примерно письмо будет такого содержания:

Вторник, 26 февраля 2013, 3:53 +04:00 от anastasiyakomarovacorp@rambler.ru:

Добрый день, Меня зовут Анастасия я представляю ООО «ТОМТС». Мне дали задание отправить благодарственное письмо на компанию Атакуемая Компания за работу в сфере «Сферы услуги атакуемой Компании». Мне нужен Ваш почтовый адрес, из моих данных только:
г. Москва, Ялтинская, 1а
Если Вас не затруднит дополните и уточните данные.

————————————————————-
С Уважением, Анастасия Комарова
Менеджер по связи с общественностью
ООО «ТОМТС»
121099, г.Москва, Новинский бульвар, д.8
тел +7 (496) 2 62-62-62 доп 469

Далее секретарь вскрывает архив (после пароля на архив файл самораспаковывается) и вирус-шифровщик зашифровывает файлы на компьютере компании добавляя в них расширение допустим .FTCODE ну или любое на усмотрение вымогателей.
Шифруются файлы Word, Exel, базы данных 1C, jpg ….и многие другие вместе с ярлыками программ установленных в системе.
После перезагрузки в автозагрузке и всех папках пользователя (и на всех дополнительных разделах и дисках) появляются текстовые файлы следующего содержания:
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
Перейти зайти на страницу в интернете по адресу http://bit.ly/11Uql6s и следовать инструкциям
Если ссылка выше не работает перейдите по резервным адресам  http://unblock.i2p.to или http://bit.ly/VIertW
При попытке расшифровки без нашей программы файлы могут повредиться!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

FGYAiBUEfRpF41i8do+ucim2Jv/UdEr5W4Rktc1i7UKMP2xRyiaOiOx1lg/fC3xWyUhY4kccagt6jwhg0eZOz2aATiT0xaLfkHDX+teCoXQPRLfuGD+LqoEyYugBh/U3oteyUy8/Bs+nxoKkFAMprrxnAsxQV4ma53sSZURefLQ=

Дальше еще больше,  если пользователь обращается по озвученным адресам с него пытаются вымогать….задержите дыхание!!!

10 тысяч кровных российских рублей!!!!!

То есть прошли времена когда за блокировку рабочего стола вымогатели запрашивали какие-то жалкие 300-600 рябчиков. Сейчас все по-крупному видимо современные вымогатели насмотревшись телевизора берут пример с высокопоставленных чиновников, воровать так миллионами (ну масштабируют немного надо признаться)

Но представим на минутку сколько может получить проблем фирма, где рухнули базы 1С и пропали файлы Word за 5-10 лет?Смекаете?Они повозившись с антивирусами, которые оказались просто БЕССИЛЬНЫ против этой заразы вынуждены будут пасть на колени перед вымогателями и оплатить любую сумму.

А теперь хватит соплей и лирики.Начинаем эксперимент.
Я взял старый комп с установленной Windows XP с двумя разделами в системе, скопировал письмо и предварительно решил проверить его лицензионным антивирусником Avast (хотел проверить еще Nod32 и DrWeb но поленился, хотя думаю результат был бы один и тот же, на тот день антивирусники заражения в этом файле не видели) Avast естественно сказал «Вирусов нет»

Далее запускаем файл и получаем заражение.На рабочем столе получаем послание приведенное выше с адресами состыковки с вымогателями.Зашифровываются все фото, word-exel файлы и ярлыки на всех разделах, все они получили в конец своего названия расширение ..FTCODE, а ярлыки программ расширение .lnk.FTCODE

Далее пишем письма следущего содержания на форумы поддержки основных антивирусных кампаний:

Открыли Благодарственное письмо…и все графические и текстовые файлы и ярлыки на компе получили расширение .FTCODE
При перезагрузке вышло сообщение такого содержания:

Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
Перейти зайти на страницу в интернете по адресу http://bit.ly/11Uql6s и следовать инструкциям
Если ссылка выше не работает перейдите по резервным адресам http://unblock.i2p.to или http://bit.ly/VIertW
При попытке расшифровки без нашей программы файлы могут повредиться!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

FGYAiBUEfRpF41i8do+ucim2Jv/UdEr5W4Rktc1i7UKMP2xRyiaOiOx1lg/fC3xWyUhY4kccagt6jwhg0eZOz2aATiT0xaLfkHDX+teCoXQPRLfuGD+LqoEyYugBh/U3oteyUy8/Bs+nxoKkFAMprrxnAsxQV4ma53sSZURefLQ=

Cдуру прошлись антивирусными прогами и убили вирусы …сами файлы попробовали расшифровать прогой xoristdecryptor.exe от Касперского
Не помогает!!!
Что можно предпринять еще???
С уважением Vik
Заш. файл в архиве в аттаче

Самый быстрый ответ пришел с форума антивирусника Nod32:

Расшифровать файлы без приватного ключа невозможно, это раз, а два, то что вирус нод32 этот ловит и нужно постараться чтобы заразится.
Я думаю на форуме Касперского Вам тоже самое ответят.

Далее из поддержки DrWeb:

От кого: «Vladimir Martyanov via RT» <vms@drweb.com>
Кому: hyligan@mail.ru
27 февраля 2013, 11:59

Расшифровка практически невозможна.

Касперский пока игнорирует и вовсе!!!

Итак резюме и выводы:

1.На сегодняшний день Антивирусные программы БЕССИЛЬНЫ против этой напасти
2.Вымогатели в очередной раз пока всех умыли…
3.Будте осторожны и ни в коем случае не открывайте ЛЮБЫЕ вложения от незнакомых адресатов
4.Почему до сих пор бездействует в этом вопросе Управление К, ведь суммы-то уже не маленькие прямо скажем
О дальнейших приключениях с зараженным компом и разитием событий в следующих постах!
Всего всем доброго ОПАСАЙТЕСЬ заразы в сети!!!

 

 

Метки: , , , , ,

4 комментария

  • С форума поддержки Касперского:
    http://forum.kaspersky.com/index.php?showtopic=247777
    sqlwriter
    Изучали вирус с участием сильного криптографа. Пароль генерируется рандомом из 50 символов с использованием вспомогательных символов. Подобрать пароль примерно так-же сложно как и расшифровать его. Второй(приватной) части ключа RSA1024 нет.
    Учитывая существующие вычислительные мощности затея по расшифровке или подбору априори провальная.

    В итоге пришлось заплатить. Выкладывать расшифровщик смысла нет, так-как при запуске с неправильным паролем(пароль для нашего ПК) файлы испортятся и их наврятли можно будет восстановить.

  • На форуме Eset Nod32 вообще ЗАКРЫЛИ тему!!!!!
    http://forum.esetnod32.ru/messages/forum35/topic8893/message64243/#message64243
    2 ответа написали …последний:
    Расшифровать файлы без приватного ключа невозможно, это раз, а два, то что вирус нод32 этот ловит и нужно постараться чтобы заразится.
    Я думаю на форуме Касперского Вам тоже самое ответят.
    Вот это да!!!!!!!!!!!!

  • Ха-ХА!!!Ответ специалиста поддержки DrWeb
    (Орфография сохранена)
    http://forum.drweb.com/index.php?showtopic=312876
    Virus Analysts
    «Идитие в полицию. Они схватят гада и тогда будет бесплатная расшифровка. Нет возможности тратить на это годы аренды суперкомпьютеров.»

    А теперь моё резюме и мнение!!!
    То есть похоже уже ЭПИДЕМИЯ!!!!
    А за что мы платим антивирусным компаниям и содержим Управление К????????

  • А вот теперь внимательно!!!
    Деловое предложение из сети
    Может кому-то поможет!
    ****************************
    Если же всё же поймали сифак, и он закодил важные данные вот способ (win7):
    1) Прогнала компьютер через все доступные мне антивирусы какие только могла: Avira, AVG, Dr.Web, Norton и т.д. Нашел пару вирусов, удалил. 2) У меня стоит семерка, не знаю как такое сделать на xp к сожалению. Вручную переименовываете нужный вам файл, удаляете .FTCODE в конце. На сообщение винды жмете ОК. Затем заходите в свойства этого файла — вкладка Предыдущие версии, там должна быть ранее созданная версия этого файла, как правило не так давно созданная, зависит от файла я думаю. Если там есть версия с датой ранее той, когда вы поймали вирус, смело выбираете ее, жмете восстановить и файл открывается.
    Полностью http://24warez.ru/main/article/computer/1157440032-chto-to-novenkoe-ftcode.html

Добавить комментарий

Создание и продвижение сайтов WebLine-Studio © 2008-2019