trojan-ransom.msil.vandev.a или Trojan.Encoder.157
Звонят несколько дней назад в воскресное утро одни клиенты - база 1с не пускается. Захожу по удаленке. Все файлы в каталоге базы данных закодированы с дополнительным расширением .ENC и тут же записочка прилагается:
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
pLE4TieL3KK0660G4s0Kla4N085Y0iY
====================================================================
Первым делом смотрю в процессы, вижу чужак суетится CryptoMaster.exe, убиваю. Начинаю шерстить интернет. Сначала попробовал декодировщики Касперского rectordecryptor.exe и xoristdecryptor.exe. Забавно они отработали, шуршали чего то по диску и найдено - 0. А чего искали то?
Послонялся по форумам, попробовал несколько рекомендуемых декодеров, бесполезные хлопоты. Почитал на сайте Касперского про троянцев из класса вымогателей Trojan-Ransom
Особенно понравилось "Для расшифровки файлов как минимум надо иметь экземпляр троянской программы, хотя и этого может быть недостаточно". Значит, если у меня есть сам кодировщик, то без пароля я все равно ни чего сделать не смогу.
Поскольку людям надо было работать пришлось ехать на место преступления. Немного легче от того, что база данных была периферийная и я начал выполнять норматив по выгрузке из центральной,переустановке винды и последующей настройке железа.
Можно было бы на этом и закончить, но "одна только мысль терзала меня" - неужели это все происходит на самом деле. Какие то люди вешают цифровой замок на мою же (к примеру) собственность, а потом управляют мной, как последним лохом.
На следующий день в понедельник, я все же написал письмо по адресу decrypting-files@yandex.ru. В ответ получил
Здравствуйте!
Чтобы получить дискриптор и пароль для расшифровки Ваших файлов, необходимо пополнить наш счет QIWI на сумму 10 000 рублей.
Сохраните квитанцию об оплате, на случай форс-можерных обстоятельств.
После поступления средств мы моментально вышлем вам инструкцию для дешифровки ваших файлов вместе с расшифровщиком и паролем.
Мы готовы расшифровать любой небольшой текстовый документ или фотографию для подтверждения своих намерений.
Реквизиты вышлем за несколько часов до оплаты, потому как они постоянно меняются.
Пожалуйста, не изменяйте тему сообщения,
С Уважением, Decrypting.
Пытался поторговаться:
Tyugashev_VA Поподробнее, как "пополнить наш счет QIWI". Сумма в данный момент не подъемная.
Decryptor - Как будете готовы пишите за реквизитами
Tyugashev_VA может пару тысяч рублей ... все таки не по понятиям делаете
Decryptor - по нашим понятиям - не делать скидок.
Вот такой вот диалог жертвы и хищника. Параллельно со всем этим читал матчасть и изучал троянское насекомое CryptoMaster.exe.
Название как у одной достаточно известной программы, но на самом деле нечто на первый взгляд необычное.
Дал понюхать Касперскому, все нормально как бы не вирус. Пытаюсь его запустить появляется форма с полями для текста и пароля. Сразу же прописывается в автозагрузку, значит все таки зараза. Опять пытаюсь тормошить каспера - безрезультатно.
Больше ничего не остается. Посмотрел еще раз на единственное в программе окошко - копирайта нет. Потом засучил рукава и взялся за дизассемблеры: OlleDbg, kWdsm достаточно отчетливо видят у него только одну точку входа _CorExeMain.
Это указание на то, что следующую точку входа должен найти Net Framework.
Установил IDAfree50, он как бы дружит с .Net. Can not set the targed processor type "cli". Че - не понял, но ясно одно, надо двигаться дальше. Я даже и не сомневался, что в интернете еще не мало умных и хороших людей осталось. Так и есть подсказали, что нет ни чего лучше для декомпиляции .Net-овских exe-шников чем .Net Reflector. Качаю триал, ставлю, делаю ему ату на CryptoMaster.exe и ... CryptoMaster.exe ПРОПАДАЕТ ?! Я человек запасливый (у меня есть его архив), и настойчивый (пробовал восстанавливать несколько раз). Стал сам по себе пропадать, есть есть и вдруг нету - ни в корзине, ни где вообще нету. Ну тут конечно небольшая паника, "Вирус на борту!". Отрубаю все подозрительные процессы, снова разархивирую ... и так много раз, пока не понял, что это (о боже мой! проснулся) Касперский! Банит его потихому и ни слова ни полслова. Наверно в паре работают, что бы никто, ни дай бог, не мог изучать эту гадину. Оказалось нет, все же после нескольких пинков он опознал его как "trojan-ransom.msil.vandev.a". Все спасибо, и на этом мы с Каспером прощаемся, что бы не мешал вскрытию.
Через пять минут я уже имел комплект исходников: Program.cs, Form1.cs, FileLoader.cs, DirectoryClass.cs, EncDec.cs. Замесил крепкого и сладкого кофею и погрузился в увлекательное чтение. Это вам не на ассемблерный код глаза пучить. Как вспомню бессонные ночи в OlleDbg ... мы старики еще AfdPro помним ... А здесь, вот жизнь настала - обычный C#-шный текст. Ни чего не выкладываю, да бы не было соблазна нечистым на руку пацанам.
Кратенько опишу принцип работы:
Я бы назвал его парашютистом (с большим трудом на Ю нажал).
В первую очередь после заброски в тыл - пошел искать упавший не по далеку сопутствующий груз: Environment.SpecialFolder.ApplicationData, в простонародии должно быть типа этого С:\Documents and Settings\Администратор\Application Data
Там должны быть два файла: "ps.ce" - это зашифрованный пароль, и "tx.ce" с текстом про то что нет никого круче этих конкретных пацанов на свете и что надо им на коленях три километра ползти с пачкой денег, а потом еще умолять что бы они соизволили ... . Если парашутист не нашел груз, значит его скинут попозже. Он записывается в автозагрузку и идет спать. Завтра загрузимся и тогда посмотрим еще.
Теперь можно передохнуть. Исходники есть, пароль есть, вернемся немного назад. У меня вопрос к умным мальчегам из лабы Касперского. Вы за кого воюете? Если вы уже знаете про его существование и возможно знаете принцип его работы, почему потихому убиваете особо важных свидетелей и не говорите что срочно надо искать пароль? Без этих двух вещей просто невозможно вернуть ооочень важные файлы, в которых сконцентрирован неимоверно большой вклад людей. У нас еще много сисадминов делают бэкапы на том же компе, поэтому на самом деле все очень и очень серьезно.
Продолжим. Пароль и злобный текст раскодируются при помощи одного ключа "357658943746326gdss46d". Не сомневаюсь, что у других вредных троянцев будет что нибудь другое.
Создается глобальный список потенциальных жертв и затем методично файлы переписываются в другие, но уже с расширением .ENC, и во всех папках остается предложение о выкупе.
Дальше - дело техники, изучаем EncDec.cs , пишем простейшую программку и компилируем при помощи csc.exe . Раскодировал базу данных. Написал письмо Encoder-у. Мол типа ваша взяла, я готов отдать вам деньги, только спасите мою задницу и т.д. Думал, если ответят, то пошлю их куда подальше. Но в ответ только "Mail Delivery Subsystem". Кто не успел - тот опоздал.
Не исключаю, что осталось много людей с нерешенной проблемой и возможно моя информация даст надежду на возможность восстановления информации.
Троян запускается через deleter.bat, который сначала удаляет CryptoMaster а потом делает себе харакири, но все равно ищите ps.ce и CryptoMaster.exe, пока его Каспер не убил. Тогда все еще не поздно.