Oficjalne Forum programu Odkurzacz
Strony: [1]   Do dołu
  Odpowiedz  |  Drukuj  
Autor Wątek: Rozpoznawanie plików instrukcji żądania okupu przez wirusy szyfrujące dokumenty  (Przeczytany 3254 razy)
0 użytkowników i 1 Gość przegląda ten wątek.
Franmo
Constructor
Diament
****
*
Offline Offline

Płeć: Mężczyzna
Wiadomości: 3422



« : Lipiec 29, 2016, 09:32:39 »
Odpowiedz cytującCytuj

Baza sygnatur Odkurzacza od wersji L8-221 z 14 lipca 2016 roku rozpoznaje zbędne pliki utworzone przez wirusy szyfrujące dokumenty użytkownika. Pliki te zawierają instrukcje jak odzyskać zaszyfrowane dokumenty/muzykę/zdjęcia po wpłaceniu odpowiedniej kwoty okupu na konto przestępców. Pliki tekstowe i graficzne (podmieniające tapetę) Odkurzacz rozpoznaje i opisuje, aby użytkownik był świadomy z jakim zagrożeniem ma do czynienia i gdzie szukać informacji w internecie.

Przykładowo, wirus Cerber zaszyfrował pliki i w każdym katalogu znajdują się zarówno instrukcje utworzone przez wirusa, jak i zaszyfrowane dokumenty z rozszerzeniem .CERBER.



Odkurzacz nie wykrywa i nie usuwa zaszyfrowanych dokumentów użytkownika, a jedynie pliki instrukcji:



Dalej użytkownik może uzyskać informacje o wirusie klikając na logo Google, gdzie zostanie przekierowany na strony z możliwymi instrukcjami w języku polskim (wymagane połączenie z internetem):



Poniżej lista plików instrukcji, które wirusy szyfrujące tworzą w każdym katalogu (w tym na pulpicie użytkownika) aby uzyskać okup za odszyfrowanie dokumentów:
 
Cytuj
# decrypt my files #.html
# decrypt my files #.txt
# decrypt my files #.vbs
_how_recover_.html
_how_recover_.txt
_locky_recover_instructions.txt
allfilesarelocked.bmp
coin.locker.txt
contact_here_to_recover_your_files.txt
decrypt_instruction.txt
decrypt_readme.txt
decryptallfiles.txt
encryptedfilelist.txt
encryptor_raas_readme_liesmich.txt
filesaregone.txt
help decrypt.html
help recover files.bmp
help recover files.txt
help_decrypt.html
help_decrypt.png
help_decrypt.txt
help_decrypt_your_files.html
help_recover_files.txt
help_recover_instructions.html
help_recover_instructions.png
help_recover_instructions.txt
help_restore_files.txt
help_to_decrypt_your_files.txt
help_to_save_files.bmp
help_to_save_files.txt
help_your_files.html
help_your_files.png
help_your_files.txt
how to decrypt files.txt
how_to_decrypt.txt
how_to_decrypt_files.txt
how_to_recover_files.txt
how_to_restore_files.txt
howto_restore_files.bmp
howto_restore_files.txt
iamreadytopay.txt
ihaveyoursecret.key
instrucciones_descifrado.html
instrucciones_descifrado.txt
instructions_xxxx.png
read_if_you_want_your_files.html
read_this_file.txt
readdecryptfileshere.txt
readme_how_to_unlock.html
readme_how_to_unlock.txt
readthisnow!!!.txt
recovery_key.txt
secretidhere.key
what is sq_.txt
your_files.html
your_files.url

Rzecz jasna w większości przypadków nie należy płacić okupu cyberprzestępcom. W internecie są już dostępne narzędzia, które potrafią odszyfrować dokumenty za darmo (tworzą je producenci antywirusów).
Jedyne co trzeba wiedzieć, to przez jaki wirus dokumenty zostały zaszyfrowane (podaje to Odkurzacz na podstawie znalezionych plików instrukcji) oraz jakie rozszerzenie/nazwę posiadają zmienione przez wirusa dokumenty użytkownika (czy posiadają dodatkowe rozszerzenie na końcu pliku, czy też dodatkową nazwę z przodu).

Przykładowe rozszerzenia plików, jakie wirusy szyfrujące dokumenty używają do zmiany nazwy plików:

Cytuj
.*obleep
.0x0
.1999
.EnCiPhErEd
.LOL!
.aaa
.abc
.bleep
.ccc
.crinf
.crjoker
.cry
.crypto*
.cryptotorlocker*
.ctb2
.ctbl
.darkness
.ecc
.enc
.encrypted*
.exx
.ezz
.frtrss
.good
.ha3
.hydracrypt*
.kb15
.kraken
.lechiffre
.locky
.magic
.micro
.nochance
.omg!
.r16M*
.r5a
.rdm
.rrk
.supercrypt
.toxcrypt
.ttt
.vault
.vvv
.xrnt
.xtbl
.xxx
.xyz
.zzz

źródło: www.franmo.pl


* cerber.jpg (386 KB, 1600x790 - wyświetlony 150 razy.)
« Ostatnia zmiana: Lipiec 29, 2016, 10:35:20 wysłane przez Franmo » Zapisane
libros
Kwarc
***
Offline Offline

Wiadomości: 64



« Odpowiedz #1 : Sierpień 09, 2016, 09:33:06 »
Odpowiedz cytującCytuj

A jeśli chodzi o jedną z nowszych odmian ransomware - cryptolocker, który szyfruje pliki - najnowsza wersja nie zmienia nazw plików, nie zmienia też rozszerzeń plików (DOC/JPG/XLS i podobne popularne)?
Czy przykładowo Odkurzacz rozpozna zaszyfrowane pliki excela i będzie można skorzystać z wyników wyszukiwania, by trafić na wszystkie zmienione przy dużej ich liczbie?
Wyjaśniam, że tego nowego ransomware - cryptolockera nie ma już, a z problem pozostał z brakiem możliwości wyszukania i sprawdzenia "integralności" danych plików w komputerach sieci.

Kolega ma zagwozdkę.
« Ostatnia zmiana: Sierpień 09, 2016, 09:35:23 wysłane przez libros » Zapisane
Franmo
Constructor
Diament
****
*
Offline Offline

Płeć: Mężczyzna
Wiadomości: 3422



« Odpowiedz #2 : Sierpień 09, 2016, 12:35:29 »
Odpowiedz cytującCytuj

Odkurzacz nie wykrywa i nie usuwa zaszyfrowanych dokumentów użytkownika, a jedynie pliki instrukcji:

Powyższe zdanie wyjaśnia pytanie. Odkurzacz nie jest narzędziem do odszyfrowania plików (dokumentów/zdjęć/itp) zmienionych przez wirusy (ransomware). Może pomóc namierzyć, czy mamy infekcję i jakim wirusem, ale fizycznie do bazy sygnatur Odkurzacza zostały dodane tylko "pliki instrukcji", które wirusy szyfrujące zostawiają w każdym katalogu z dokumentami.
Zapisane
Strony: [1]   Do góry
  Odpowiedz  |  Drukuj  
 
Skocz do:  

+ Szybka odpowiedź
W szybkiej odpowiedzi możesz użyć kodów BBC i uśmieszków tak jak przy normalnej odpowiedzi.