События в корсуни. Бойня под корсунь-шевченковским

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 - BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan.Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса - это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том - что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский , генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех.поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку - вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar - «Неожиданный конец архива».
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan.Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
- прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
- Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
- менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
- использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!
Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус - «бич» современности и брать «бабло» с однополчан - это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 - я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» - Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке , так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение.perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал - дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v.martyanov`у с форума «Доктор Вэб».

Спам - это нежелательные письма или рассылки, которые могут приходить на ваш адрес. Они могут содержать рекламные предложения, «письма счастья» , компьютерные вирусы или оказаться попыткой фишинга . Для создания базы адресов спамеры используют программы, которые подбирают адреса с помощью специального словаря или собирают адреса, опубликованные пользователями на общедоступных сайтах.

Нежелательные рассылки следует отличать от честных . На получение честных рассылок пользователь обычно дает свое явное согласие. От таких рассылок можно отписаться .

Для распознавания спама Яндекс.Почта использует сервис «Спамоборона» , который обучается благодаря жалобам пользователей на спам . Он помещает в папку Спам подозрительные письма с признаками спама.

Примечание. Письма из папки Спам автоматически удаляются через 10 дней. Восстановить удаленные письма будет нельзя.

В Яндекс.Почте фильтруется не только входящая, но и исходящая корреспонденция. Каждое письмо проверяется антивирусной программой NOD32 . Если в письме будет обнаружен вирус, оно будет отклонено почтовым сервером, а отправитель получит отчет.

Проблемы со спамом

Это пошаговое руководство поможет вам решить проблемы, связанные со спамом. Прежде чем приступить, откройте Яндекс.Почту в новой вкладке , чтобы выполнять рекомендации.

Выберите проблему:

Выбрать

Получаю спам в папку «Входящие»

Получаю много спама в папку Спам

Получаю спам с моего адреса

Получаю чужие письма

Вижу сообщение «Письмо не может быть отправлено, потому что кажется похожим на спам»

В почтовой программе вижу ошибку «Message rejected under suspicion of SPAM»

Нужные письма попадают в папку «Спам»

Получаю много рассылок. Как отписаться?

Вижу предупреждение «Яндекс.Почта считает это письмо потенциально опасным»

Если вы считаете, что получили спамовое письмо в папку Входящие , выделите нужное письмо и нажмите кнопку Это спам! - письмо будет перемещено в папку Спам , а необходимая информация будет отправлена в Спамоборону.

Нужно несколько таких жалоб на однотипные нежелательные письма, чтобы Спамооборона начала автоматически перемещать в Спам подобные им письма. Помечайте кнопкой Это спам! все письма, которые считаете спамом, до тех пор, пока подобные им не начнут приходит в папку Спам вместо папки Входящие .

Совет. Отправляйте нежелательные письма в Спам по одному - все письма от одного отправителя, перемещенные в папку Спам одновременно, считаются одной жалобой.

","hasTopCallout":false,"hasBottomCallout":false,"areas":[{"shape":"rect","alt":"","coords":,"isNumeric":false}]}}\">

Если письмо попало в папку Спам по ошибке, нажмите кнопку Не спам! - новые письма из рассылки будут приходить в папку Входящие .

Спамооборона учитывает как общие, так и «персональные» правила фильтрации, которые действуют для отдельного почтового ящика. Если вы считаете письма рассылки нежелательными, а пользователь другого почтового ящика - полезными, в вашем ящике они будут попадать в папку Спам , а в ящике другого пользователя в папку Входящие .

Если в папку Спам приходит много спамовых писем - значит, Спамоборона работает. Если письма действительно подозрительные, оставьте их в этой папке - они автоматически удалятся через 10 дней. Если среди этих писем есть нужные, восстановите их .

Если вы хотите автоматически удалять письма из папки Спам сразу после их получения, настройте правило обработки писем :

1. В списке Применять выберите значение ко всем письмам, включая спам .
2. В разделе Если укажите следующее условие: «От кого содержит <имя_домена>» .
3. В разделе Выполнить действие выберите Удалить .
4. Нажмите Создать правило .

Уточните, какой адрес указан в поле Кому этих писем?

Если ваш адрес пишется через дефис, но на него приходят письма с адресом через точку и наоборот, это, скорее всего, не чужие письма, а ваши.

Яндекс.Почта считает равнозначными адреса, написанные через точку и дефис. Это алиасы - синонимы адреса одного и того же ящика. Они всегда принадлежат одному и тому же адресату. То есть, если вы зарегистрировали адрес [email protected] , вы можете отправлять и получать письма на адрес [email protected] . Никто другой использовать оба эти адреса не сможет.

Если ваш адрес пишется строчными буквами, но на него приходят письма с адресом прописными и наоборот, это, скорее всего, не чужие письма, а ваши.

Яндекс.Почта считает равнозначными адреса, написанные строчными и прописными буквами. Это алиасы - синонимы адреса одного и того же ящика. Они всегда принадлежат одному и тому же адресату. То есть, если вы зарегистрировали адрес [email protected] , вы можете отправлять и получать письма на адрес [email protected] . Никто другой использовать оба эти адреса не сможет.

Если вам приходят письма с незнакомого адреса, причинами могут быть:

Ошибка отправителя при указании адреса получателя

Если вы получили письмо от незнакомого отправителя, возможно, отправитель ошибся при указании адреса получателя. Вы можете сообщить отправителю об ошибке или проигнорировать такое письмо.

Кто-то при регистрации на сайте указал ваш адрес в качестве контактного На некоторых сайтах можно регистрироваться без подтверждения электронной почты, поэтому люди при регистрации могут указывать чужой электронный адрес. Несмотря на то, что этот человек указал ваш адрес на сайте, он не сможет пользоваться вашим ящиком. Если вы не хотите получать письма с этого сайта:

1. Внесите адрес отправителя этих писем в Чёрный список .
2. Свяжитесь с администрацией сайта и сообщите, что ваш адрес указан на сайте по ошибке.

Если вы получили письмо от знакомого отправителя, направленное не на ваш, а на чужой адрес, то, скорее всего, ваш адрес указан в поле Скрытая копия . Такие письма могут быть предназначены именно вам. Свяжитесь с отправителем по другому каналу связи и уточните корректность получения этого письма.

свойствами .

Если вы получили письмо от незнакомого отправителя, направленное на чужой адрес, то, скорее всего, ваш адрес указан в поле Скрытая копия . Такие письма могут быть спамом .

В отдельных случаях такое может произойти, если в другом почтовом ящике настроена пересылка на ваш адрес. Если пересылка установлена не вами, обратитесь в администрацию сервиса, на котором находится почтовый ящик, пересылающий письма, и приложите копию письма с его свойствами .

Если вы получили сообщение об ошибке «Письмо не может быть отправлено, потому что кажется похожим на спам» («Spam limit exceeded» или ) или требование ввести контрольные цифры, это могло произойти по следующим причинам:

Рассылаются однотипные или шаблонные письма

С вашего ящика отправляются однотипные или шаблонные писем, а также письма с коммерческими или рекламными предложениями. В Яндекс.Почте отправка таких писем не разрешена - наш сервис предназначен для живого общения между людьми.

Совет. Если вы хотите массово рассылать письма вашим партнерам или клиентам, используйте для этого только специальные рассылочные сервисы .

Достигнуто ограничение на отправку писем в сутки

С вашего ящика ежедневно отправляется большое количество писем - это расценивается нашей системой безопасности как спам. Письма могут отправляться как при вашем участии, так и без вашего ведома.

Чтобы этого не происходило, в Яндекс.Почте установлены технические ограничения на отправку писем в сутки. Обойти или изменить эти ограничения нельзя.

• Ограничения в Почте
• Ограничения в Почте для домена

В течение суток можно отправить с одного ящика 500 писем. Если в письме несколько получателей, то письмо каждому из них считается отдельным письмом.

В течение суток можно отправить с одного ящика 3000 * писем. Если в письме несколько получателей, то письмо каждому из них считается отдельным письмом.

Дополнительно установлены ограничения на количество получателей:

* Учитываются только внешние получатели; владельцы ящиков на этом домене не учитываются.

Ваш аккаунт кажется подозрительным

Наша система безопасности посчитала ваш аккаунт подозрительным. Чаще всего это происходит из-за того, что к вашему ящику не привязан номер телефона или в Паспорте указаны вымышленные имя и фамилия.

Отправляются письма на несуществующие адреса

Большое количество писем с вашего ящика было отправлено на несуществующие адреса. Если письмо было отправлено на несуществующий адрес, вы получите автоматический отчет о недоставке .

Нам поступило несколько жалоб от пользователей на рассылку спама с вашего адреса.

Если это произошло, отправка писем из вашего почтового ящика будет заблокирована. Блокируется только отправка писем - входить в Почту и получать письма вы сможете. Блокировка закончится автоматически через 24 часа, если вы не попытаетесь отправить письмо в течение этого времени, - иначе блокировка продлится еще на 24 часа.

Пока вы ожидаете снятия блокировки, выполните рекомендации, которые помогут избежать проблемы в будущем:

1. CureIt! от Dr.Web и Virus Removal Tool После этого смените пароль .
2. Укажите в Яндекс.Паспорте достоверные персональные данные и привяжите к аккаунту номер телефона .

   Примечание. Если вы используете Яндекс.Почту для домена, укажите точные данные для всех ящиков домена.

3. Убедитесь, что адреса получателей записаны у вас корректно и не устарели.
4. Убедитесь, что все получатели ваших писем добровольно соглашались на их получение.

Если возникает сообщение «Message rejected under suspicion of SPAM» , содержимое вашего письма было распознано Яндекс.Почтой как спам. Чтобы решить проблему, откройте веб-интерфейс Яндекс.Почты и отправьте одно любое письмо в виде теста. Так вы докажете системе, что письма отправляет не робот.

Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского».

Если нужное письмо по ошибке попало в папку Спам , выделите его и нажмите кнопку Не спам! - письмо переместится во Входящие . Через некоторое время все письма с данного адреса снова будут приходить в папку Входящие .

Написать в службу поддержки

Вы обнаружили в своем электронном ящике письмо от компании Visa о том, что ваша кредитная карта заблокирована и теперь вам придется подтвердить свои данные на сайте фирмы, чтобы ее активировать. Адрес отправителя содержит маркер «visa.com». Присутствует обращение к вам по имени. Следует ли выполнять указанные в сообщении действия или лучше сразу удалить письмо? CHIP расскажет, как распознать опасность.

Распознаем фишинговые письма

Сфальсифицированное сообщение распознается не только по отправителю - как раз эта информация легко подделывается злоумышленниками. Указанием на аутентичность адреса является сервер электронной почты , через который было отправлено письмо. Его вы найдете в исходном тексте сообщения, вызвав его, например, в Outlook через «Файл | Свойства».

В Gmail откройте письмо и нажмите на стрелку рядом с кнопкой для ответа. Здесь выберите «Показать оригинал». Сервер отправителя указан в строчке «Received». Его домен должен совпадать с доменом компании, от которой пришло письмо. Если есть отличия, то высок риск, что речь идет о фишинге. Такое письмо лучше всего удалить.

И все же проверка сервера тоже не всегда помогает . В частности, небольшие фирмы пользуются почтовыми серверами внешних поставщиков, и в этом случае домен не будет совпадать с корпоративным адресом. Однако злоумышленники, как правило, подделывают только крупные веб-сайты, поэтому подобная проверка является неплохим способом.

В особых случаях киберпреступники целенаправленно выбирают не самый крупный концерн. Чтобы вирус через письмо попал на ПК, они маскируют сообщения под уведомления от коллекторских компаний. Таким образом хакеры могут обойти обязательную проверку почтового сервера, поскольку просто подбирают имя компании под используемый адрес сервера. К письму прилагается вложение с долговым требованием, и зачастую этот файл несет в себе вирус.

Некоторые письма сопровождаются даже обращением к адресату по имени . Но не дайте себя обмануть: такая информация берется из стандартных баз данных с адресами, которые собираются, например, по следам различных лотерей и розыгрышей.

Искусные подделки

Киберпреступники с помощью поддельных электронных писем хотят добраться до ваших данных. Для этого мошенники используют «шапки», которые выглядят как настоящие, якобы правильные адреса отправителей и персональные обращения по имени.

Письма от друзей

Не всегда стоит безоговорочно доверять и письмам от известных вам отправителей, поскольку ваши знакомые также могут стать жертвой вирусной атаки. Существует два сценария : вы получаете электронное сообщение от друга, содержимое которого представляет собой сплошную рекламу, либо же текст письма вынуждает пройти по указанной рядом ссылке.

Не доверяйте слепо таким письмам! Как правило, их подлинность также получится проверить с помощью почтового сервера: домены должны совпадать с названием сервера отправителя. Поможет настройка сортировки антиспам-фильтра.

Зачастую в качестве спама классифицируются определенные элементы текста. Чтобы действовать наверняка, позвоните своему знакомому. Скорее всего, он будет вам благодарен за предупреждение о вирусе, который высылает подобные письма.

Признаки подлинного письма

В свойствах письма вы найдете в том числе сервер (1) , имя которого должно подходить отправителю. В идеале также присутствует сигнатура (2) , которую проверяют современные почтовые клиенты.