Операционные системы

CTB Locker как расшифровать файлы

CTB Locker как расшифровать файлы

Шифрование файлов — EFS

Здравствуйте Друзья! В этой статье будем разбираться с системой шифрования данных EFS и как с ее помощью можно производить шифрование файлов. Данные обычно шифруют для ограничения доступа к ним третьим лицам. И, специально для этого Microsoft разработала систему шифрования данных EFS. Начиная с Windows 2000 и во всех более поздних версиях операционных систем присутствует система шифрования данных. В отличие от BitLocker с помощью EFS можно шифровать отдельные файлы и папки. Что бы использовать все ее преимущества необходима операционная система с рангом Профессиональная или выше. EFS это надстройка над файловой системой NTFS. На других файловый системах EFS работать не будет. При копировании шифрованных данных на диск с файловой системой отличной от NTFS вся информация автоматически расшифровывается.

Немного про EFS

Система шифрования данных EFS шифрует информацию прозрачно для пользователя. То есть пользователь сказал, — «Зашифровать папку» и вся информация находящаяся в ней будет зашифрована автоматически. При обращении к зашифрованным файлам они автоматически расшифруются. В этом и заключается одно из преимуществ EFS перед созданием архива с паролем.

Нет, архив это конечно, удобно. Но не так универсально. Архив необходимо распаковать, поработать с файлами и не забыть заново запаковать. + ко всему, когда вы удаляете файлы из которых создали архив с паролем, они то физически не удаляются. А это брешь в обороне.

Как взломать архив можно прочитать и посмотреть тут.

Работает EFS следующим образом. Когда необходимо зашифровать файл система генерирует случайный ключ называемый FEK — File Encryption Key. Этим ключом с помощью симметричного алгоритма шифрования кодируется файл. Симметричный — значит файл шифруется и расшифровывается одним ключом — FEK.

При первой необходимости шифрования информации Windows создает два ключа пользователя: открытый и закрытый. FEK шифруется с помощью асимметричного алгоритма с использованием открытого ключа пользователя. Асимметричный алгоритм шифрования значит, что файл шифруется одним ключом (в нашем случае открытым), а расшифровывается другим (закрытым). Зашифрованный ключ FEK записывается рядом с зашифрованным файлом.

Закрытый ключ шифруется с помощью пароля пользователя. Поэтому защищенность вашей информации на прямую зависит от сложности вашего пароля. Поэтому и рекомендуется задать его более чем из 8-ми символов, включая буквы в нижнем и верхнем регистрах, цифры и специальные символы

Для расшифровки данных необходимо зайти под учетной записью пользователя, который зашифровал файлы. При этом автоматически при вводе правильного пароля расшифровывается закрытый ключ. С помощью последнего расшифровывается FEK — File Encryption Key, которым расшифровывается нужный файл.

Шифрование файлов

Зашифровать файл можно следующим образом. С помощью правой кнопки мышки на файле вызываете контекстное меню и выбираете Свойства. На вкладке Общие в разделе Атрибуты нажимаем Другие…

В открывшемся окошке ставим галочку Шифровать содержимое для защиты данных. И ОК

Нажимаем Применить или ОК в окошке свойств документа. Высвечивается предупреждение при шифровании, где рекомендуется вместе с файлом зашифровать и содержащую его папку. Выбираете рекомендуемый вариант и жмете ОК

В этом же окошке поясняется зачем необходимо шифровать папку вместе с файлом — так как программы при редактировании создают временные файлы, которые не будут шифроватся. Обычно временные файлы удаляются, но возможен сбой программы или сбой в подаче питания к компьютеру, а вы без ИБП. В этом случае временный файл останется и он будет не зашифрован, а это еще одна брешь во защите. Поэтому рекомендуется шифровать файл вместе с содержащей его папкой или шифровать полностью папку со всем содержимым.

Зашифрованные файлы обычно помечаются зеленым цветом если это указано в настройках

Проверить это можно следующим образом. В проводнике на панели инструментов нажимаем Упорядочить и выбираем Параметры папок и поиска

В окошке Параметры папок переходим на вкладку Вид и устанавливаем галочку Отображать сжатые или зашифрованные файлы NTFS другим цветом

Стоит отметить что в операционный системах Windows возможно или зашифровать файл или сжать его для экономии места. Сомневаюсь, что кто то будет экономить в эпоху 3-х, 4-х и 5-ти терабайтных жестких дисков.

Расшифровать файл можно скопировав его в не зашифрованную папку и сняв соответствующий флажок в окошке Другие атрибуты.

Для удобства шифрования и де-шифрования файлов можно включить в контекстном меню соответствующий пункт

Делается этого редактированием реестра. Вызываете утилиту regedit из поиска в меню Пуск

Переходите в раздел

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced

и создаете параметр

Для того что бы создать параметр кликаем правой кнопкой мышки на пустом месте и выбираем Создать > Параметр DWORD (32 бита)

У меня работает не смотря на то, что Windows 7 64-разрядный.

Теперь у вас в меню включены соответствующие пункты и шифровать станет еще проще.

Сертификаты

При первом шифровании чего-либо создается два ключа: открытый и закрытый. Отрытым происходит шифрация ключа FEK, а закрытым де-шифрация. Оба этих ключа (открытый и закрытый) помещаются в сертификат. Соответственно эти сертификаты можно экспортировать для расшифровки данных на другом компьютере.

Делается это следующим образом.

С помощью поиска в меню Пуск запускаем консоль mmc.exe

В открывшейся консоли нажимаете CTRL+M или переходите в меню Файл > Добавить или удалить оснастку…

В открывшемся окошке в разделе Доступные оснастки выбираем Сертификаты и нажимаем Добавить >

В окошке проверяем что эта оснастка всегда будет управлять сертификатами моей учетной записи пользователя и жмем Готово

Нажимаем ОК в приведенном ниже окошке

В дереве консоли слева переходим по пути Сертификаты > Личное > Сертификаты. Выбираем созданный сертификат и вызываем на нем контекстное меню. Раскрываем раздел все задачи и выбираем Экспорт…

Открывается Мастер экспорта сертификатов. Нажимаем Далее >

Выбираем Да, экспортировать закрытый ключ и жмем Далее >

Вы сможете экспортировать только свои ключи для расшифровки своих файлов. То есть, если другой пользователь для вас установил свой сертификат с ключами для расшифровки своих файлов, вы его закрытый ключ не сможете экспортировать

В следующем окошке ничего не меняю жму Далее >

Задаем пароль для защиты сертификата и вводим подтверждение пароля

Далее необходимо указать расположение и имя экспортируемого файла. Жмем Обзор…

Выбираем например на Рабочий стол или на флешку. Задаем имя и жмем Сохранить

Нажимаем Далее >

В заключительном окошке нажимаем Готово

Экспорт сертификата успешно выполнен в файл .pfx

Теперь его желательно спрятать в доступное только для вас место и не забыть пароль от него. Без пароля не получится импортировать сертификат на другой компьютер для расшифровки данных.

Для импорта сертификата на другом ПК достаточно запустить файл .pfx и следовать инструкциям мастера.

Без сертификата у вас не получится ни открыть файл, ни скопировать его. Будет возможность только удалить зашифрованный файл.

Заключение

Попытаюсь объяснить свое видение работы системы шифрования данных EFS. Допустим, что файловая система NTFS представляет собой дорогу с прилегающей к ней тротуарной дорожкой. Все файлы записываются на основную дорогу в том числе шифрованные и сжатые. После этого ключ, которым зашифрован файл (FEK) — шифруется открытым ключом пользователя и записывается рядом с файлом на тротуарную дорожку. При открытии файла зашифрованный ключ FEK расшифровывается с помощью закрытого ключа пользователя (который находится в сертификате и при условии, что последний установлен), а затем с помощью ключа FEK расшифровывается сам файл и открывается. Все это делается автоматически не задавая пользователю дополнительных хлопот.

Сделаю предположение, что при сжатии файла на тротуарную дорожку, рядом с самим файлом, записываются контрольные суммы необходимые для корректной распаковки. По сути сжатие это тоже шифрование, только не защищенное и преследует другую цель. То есть файл, что при шифровании, что при сжатии представляется в не читаемом виде. В случае сжатия система автоматически преобразовывает файл в исходный вид без использования ключей в отличие от шифрования. Естественно эта простота займет незначительную частью вычислительной мощности процессора.

Если у вас есть более простое объяснение процесса работы системы шифрования файлов EFS пожалуйста поделитесь им в комментариях.

Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!

Внимание! Опасный локер-шифровальщик CTB-LOCKER

И жалобы на то что не открываются фотографии на ноуте.
Пошарив в инете пришел к выводу что это вирус-вымогатель. Распространяется в качестве трояна в письмах в виде вложений.
И вот что про него пишут:

Мы уже несколько раз писали про различные семейства троянов-шифровальщиков. Речь идет о модификациях семейства вредоносных программ FileCoder, а также вымогателе Win32/Virlock. Несколько дней назад наша антивирусная лаборатория начала получать сообщения о вредоносной кампании, направленной на пользователей Латинской Америки и Восточной Европы. Фишинговые сообщения электронной почты содержали информацию о «прибывшем факсе». Вложения таких сообщений содержали вредоносное ПО, которое специализируется на шифровании файлов пользователя и требовании выкупа за расшифровку в биткоинах.

Пример такого вредоносного сообщения показан ниже на скриншоте.

Вымогатель поддерживает отображение текста на разных языках, включая, немецкий, голландский, итальянский, английский. В списке поддерживаемых языков отсутствует испанский, хотя мы наблюдали заражения этой вредоносной программой и в тех странах, для которых этот язык является основным.

CTB-Locker отличает тот факт, что злоумышленники используют специальный метод для убеждения пользователя оплатить выкуп. Они демонстрируют ему, что произойдет после его оплаты, т. е. убеждают пользователя в том, что его не обманут и расшифруют файлы.

После этого пользователю будет продемонстрировано каким образом образом он сможет расшифровать файлы и на какой счет ему нужно будет перевести биткоины для этого.

Как видно выше на скриншоте, CTB-Locker может демонстрировать курс обмена биткоинов исходя из той валюты, которая соответствует расположению заблокированного компьютера. На момент снятия скриншота восемь биткоинов стояли $1680.

С технической точки зрения, сам даунлоадер вымогателя, который обнаруживается как Win32/TrojanDownloader.Elenoocka.A, представляет из себя довольно небольшую по размерам и простую с технической точки зрения вредоносную программу. Мы наблюдали использование этого даунлоадера злоумышленниками и в других вредоносных кампаниях. В одной из этих кампаний использовались фишинговые сообщения электронной почты, к которым прилагались вредоносные файлы с названиями invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr (напр. invoice_2015_01_20-15_33 .scr). Для маскировки своего запуска в системе, исполняемый файл содержит у себя в ресурсах фальшивый документ Word, который будет показан пользователю в фоне исполнения вредоносного файла.

Вредоносное ПО CTB-Locker относится к тому типу вымогателей, после деятельности которого невозможно расшифровать файлы без ключа, полученного от злоумышленников. Как мы уже неоднократно подчеркивали, использование резервного копирования является основным методом, который может использоваться для восстановления данных после деятельности такого вредоносного ПО, кроме этого своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.

В моем случае зашифрованы оказались все картинки, архивы, базы данных 1С все документы MS Office, и текстовые файлы на всех логических дисках компа.

Будьте очень аккуратны соблюдайте как минимум такие правила:

  • Не открывайте подобные письма и тем более не распаковывайте вложенный архив.
  • Удалите такое письмо.
  • В случае заражения и вымогания денег не платите мошенникам, поскольку Ваши данные никто на самом деле расшифровывать не будет.
  • Пользуйтесь антивирусом, с помощью которого проверяйте подозрительные файлы.

И по возможности делайте резервные копии важных данных на внешних носителях или облачных сервисах

Удаление CTB-Locker: Удалите CTB-Locker Навсегда

Что такое CTB-Locker

Скачать утилиту для удаления CTB-Locker

Удалить CTB-Locker вручную

Получить проффесиональную тех поддержку

Читать комментарии

Описание угрозы

Имя исполняемого файла:

CTB-Locker

(randomname).dll

Ransomware

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

Метод заражения CTB-Locker

CTB-Locker копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (randomname).dll. Потом он создаёт ключ автозагрузки в реестре с именем CTB-Locker и значением (randomname).dll. Вы также можете найти его в списке процессов с именем (randomname).dll или CTB-Locker.

Если у вас есть дополнительные вопросы касательно CTB-Locker, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите CTB-Locker and (randomname).dll (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить CTB-Locker в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Удаляет все файлы, созданные CTB-Locker.

Удаляет все записи реестра, созданные CTB-Locker.

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно – если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления CTB-Locker от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления CTB-Locker.. Утилита для удаления CTB-Locker найдет и полностью удалит CTB-Locker и все проблемы связанные с вирусом CTB-Locker. Быстрая, легкая в использовании утилита для удаления CTB-Locker защитит ваш компьютер от угрозы CTB-Locker которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления CTB-Locker сканирует ваши жесткие диски и реестр и удаляет любое проявление CTB-Locker. Обычное антивирусное ПО бессильно против вредоносных таких программ, как CTB-Locker. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с CTB-Locker и (randomname).dll (закачка начнется автоматически):

Удаляет все файлы, созданные CTB-Locker.

Удаляет все записи реестра, созданные CTB-Locker.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно – если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с CTB-Locker и удалить CTB-Locker прямо сейчас!

Оставьте подробное описание вашей проблемы с CTB-Locker в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с CTB-Locker. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления CTB-Locker.

Как удалить CTB-Locker вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с CTB-Locker, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены CTB-Locker.

Чтобы избавиться от CTB-Locker, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления CTB-Locker для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи иили значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления CTB-Locker для безопасного решения проблемы.

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

CTB-Locker иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию „Сбросить настройки браузеров“ в „Инструментах“ в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие CTB-Locker. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: „inetcpl.cpl“.

Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: „inetcpl.cpl“.

Выберите вкладку Дополнительно

Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.

Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Google Chrome

Найдите папку установки Google Chrome по адресу: C:Users“имя пользователя“AppDataLocalGoogleChromeApplicationUser Data.

В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.

Запустите Google Chrome и будет создан новый файл Default.

Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Mozilla Firefox

В меню выберите Помощь > Информация для решения проблем.

Кликните кнопку Сбросить Firefox.

После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Слава Україні — Героям Слава!

Или как процесс “заражения”/шифрования выглядит в динамике

Все начинается с небольшого вложения к письму из SPAM-рассылки, которое содержит якобы важный документ. На самом деле внутри архивного вложения с произвольным именем (.CAB, .RAR, .ZIP либо .7Z) содержится запускной файл формата .SCR (“весом”от 30 до 50 Кбайт ), который является т.н. dropper`ом, т.е. модулем, который обеспечивает загрузку основного тела вируса.

Если жертва оказалась настолько любопытной чтобы распаковать и запустить .SCR файл, ей демонстрируется .RTF документ бессмысленного содержания. Примеры документов из различных образцов представлены ниже:

(обратите внимание на имена файлов, которые шли в комплекте с различными образцами)

Пока ничего не подозревающая жертва с удивлением изучает документ, в фоне происходит докачка основной “полезной” нагрузки (payload). Основной модуль сохраняется с произвольным именем по пути %temp%*.EXE

  • для NT 5.x Documents and Settings%name%Local SettingsTemp
  • для NT 6.x Users%name%AppDataLocalTemp

(!) Важный момент: отсутствие административных привилегий не является препятствием для запуска .SCR и активации основного модуля вируса. Грубо говоря, если на данном этапе активность вируса не будет остановлена защитными мерами – заражения, а фактически шифрования файлов не избежать.

Что же происходит при активации основного модуля? Во-первых он закрепляется в системе – добавляет запуск самого себя скрытой задачей в системный планировщик:

И дополнительно копирует свое тело с произвольным именем в том же каталоге по пути %temp%

А дальше события развиваются по такому сценарию: процесс вируса развивает бурную деятельность по поиску файлов определенного типа, как правило это документы MS Office, PDF файлы, изображения и т.д. Как только вирус обнаруживает такие файлы, он шифрует их используя асимметричное шифрование при этом удаляя оригиналы файлов. В первых образцах вируса (появление которых было зафиксировано в начале-середине июля 2014) файлы можно было восстановить через механизм теневых копий (System Protection). В текущих версиях авторы исправили этот момент – параллельно с процессом шифрования вирус пытается отключить System Protection и удалить существующие точки восстановления. Если система будет перезагружена либо пользователь выйдет из системы – процесс шифрования будет продолжен вновь при включении (входе в систему) – это обеспечивается за счет задачи в планировщике. Параллельно с шифрованием файлов вирус также пытается найти подключенные сетевые диски. Если в системе таковые имеются – не трудно догадаться о том, какая участь их постигнет. Пока вирус занят шифрованием он не подает особых признаков жизни, и если пользователь не заглядывает в дерево запущенных процессов, единственное что ему может броситься в глаза – файлы постепенно будут обретать новое расширение и перестанут открываться. Пример ниже:

Когда все полезное содержимое диска до которого вирус смог получить доступ будет зашифровано, вирус соединится с командным центром, выгрузит закрытый ключ шифрования на сервер, создаст два файла в каталоге “Документы” – текст и изображения с инструкциями для жертвы, которое в последствии будет использовано для подмены фона Рабочего стола.

В конце пользователь скомпрометированной системы получит окно, которое будет развернуто поверх запущенных приложений: Жертве ставят ультиматум – либо в течении 96 часов на электронный кошелек злоумышленника попадает требуемая сумма (1,5 – 3 Bitcoin

340$ – 700$), либо закрытый ключ будет уничтожен и файлы останутся зашифрованными. На самом деле, злоумышленники предусмотрели возможность расшифровки в случае оплаты по истечении 96 часов, в данном случае это просто попытка запугать пользователя зараженной системы. Жертве предлагают ознакомиться со списком файлов, которые были зашифрованы. Ради подтверждения того, что процесс обратим и файлы не просто испорчены, а зашифрованы, CTB-Locker предлагает расшифровать 5 произвольно выбранных файлов. В конечном итоге все сводится к вымогательству криптовалюты на один из кошельков злоумышленников.

Детальный анализ и рекомендации по защите от CTB-Locker и подобных ему Ransomware будут рассмотрены в следующей заметке.

Подводя промежуточные итоги следует помнить главное:

  1. на данный момент способа восстановить зашифрованные файлы (помимо выплаты BTC) нет;
  2. в первые часы активности и сейчас в случаях полиморфизма, от заражения может спасти ряд факторов:
    • запрет запуска исполняемых файлов из каталогов временных файлов;
    • наличие актуальных резервных копий;
    • фильтр .SCR вложений на почтовых шлюзах;
    • очистка web-траффика (отмечены попытки заражения через URL);
    • наличие т.н. “песочницы” которая бы позволила безопасно изучить поведение файла до его открытия на рабочих станциях.

О мерах предосторожности и о роли “песочницы” в борьбе с неизвестными угрозами читайте в следующей заметке.

ps

Будьте осторожны при использовании высоких технологий, не попадайтесь на уловки злоумышленников.

Лаборатория Касперского может расшифровать файлы, зашифрованные MarsJoke

Недавно обнаруженный шифровальщик MarsJoke, как оказалось, имеет слабость в алгоритме шифрования. Это позволило экспертам Лаборатории Касперского создать дешифратор, чтобы помочь пользователям расшифровать файлы бесплатно.

Этот вымогатель был впервые обнаружен в августе, а привлек к себе внимание на прошлой неделе, когда была замечена крупная кампания по его распространению. MarsJoke, также известный как Polyglot, копирует ранее обнаруженный CTB-Locker и атакует главным образом государственные учреждения и учебные заведения.

MarsJoke/ Polyglot распространяется через спам-письма, в которых содержится либо ссылка на вредоносный файл, либо во вложении прикреплен исполняемый файл или RAR-архив. Сразу после заражения вымогатель копирует себя сразу в несколько мест и записывается в папку Автозагрузка и в Планировщик задач (TaskScheduler).

В процессе шифрования вредонос не изменяет имя зашифрованных файлов, но делает их содержание недоступным для пользователей. После того, как файлы зашифрованы, вымогатель меняет обои рабочего стола (уникальные для каждой жертвы) и выводит сообщение с требованиями. Как объясняют исследователи Лаборатории Касперского, злоумышленники позволяют пользователям расшифровать несколько файлов бесплатно.

Пользователям нужно будет заплатить выкуп в биткоинах. Шифровальщик связывается с командным центром, расположенным в сети Tor, чтобы получить информацию о сумме выкупа и адресе, на который сумма должна быть переведена. Если оплата не будет произведена в течение определенного периода времени, вредоносная программа уведомляет пользователя о том, что файлы уже не могут быть расшифрованы.

Проанализировав MarsJoke, эксперты пришли к выводу, что он имитирует все особенности CTB-Locker, включая графический интерфейс, обои рабочего стола и последовательность действий. Однако код у них разный, говорят исследователи.

Дальнейший анализ показал, что вредоносная программа выполняет трехступенчатое шифрование: он помещает файл в защищенный паролем ZIP-архив с именем исходного файла и расширением „A19“; шифрует архив с алгоритмом ECB AES-256 и меняет расширение на „ap19“; удаляет исходный файл и A19 архив и меняет расширение на то, что было у исходного файла.

Вымогатель генерирует отдельный AES-ключ для каждого файла, каждый ключ основан на случайно сгенерированном массиве символов. Слабая реализация генератора привела к тому, что ключи оказалось легко подобрать.

Хотя полученный файл представляет собой архив, защищенный паролем, исследователи обнаружили, что этот пароль также слаб. Ключ всего 4 байта и эти байты были выбраны из строки MachineGuid, уникального идентификатора, который операционная система присваивает компьютеру.

Возможности расшифровки файлов, зашифрованных MarsJoke уже были включены в утилиту Лаборатории Касперского RannohDecryptor.

Читайте также

Компания McAfee объявила о заключительной стадии переговоров по приобретению компании Light Point Security, признанного лидера в области изоляции браузерных систем. После завершения сделки команда Light Point Security присоединится к McAfee.

Стремительное развитие Интернета и освоение компаниями облачных систем сделали браузер одним из наиболее уязвимых ИТ-активов для современных атак. Однако если использовать технику веб-изоляции, ни один зловредный объект никогда не попадёт на компьютер пользователя. В этом случае вся обработка осуществляется за пределами ПК и веб-обозревателя в специальной изолированной среде. Gartner рекомендует использовать технологию веб-изоляции как одну из функций для реализации SASE. Согласно Gartner: «удаленный просмотр всё больше завоевывает доверие, ведь веб-браузинг выносится за пределы уязвимого». Также Gartner рекомендует организациям рассмотреть возможность веб-изоляции для максимального снижения рисков, где это возможно.

Основанное специалистами, ранее работавшими в сфере государственной безопасности, решение Light Point Security может защитить пользователей от уязвимостей «нулевого дня», вредоносных программ, вроде вирусов-вымогателей и фишинговых атак, целью которых является получение вашей конфиденциальной информации. Для этого осуществляется перенос веб-сессий браузера с корпоративного ПК в изолированную инфраструктуру. Light Point Security использует запатентованную технологию для обеспечения высокой производительности и гарантированной изоляции, предотвращая доступ компонентов на веб-странице к браузеру на АРМ.

Компания McAfee планирует интегрировать технологию веб-изоляции Light Point Security в своё передовое решение в области веб-защиты — McAfee Secure Web Gateway, дополняя и расширяя существующую комплексную защиту веб-трафика. Благодаря этому сочетанию организациям не нужно выбирать между эффективной защитой и удобством использования. Теперь всё самое передовое в части защиты веб-доступа есть в одном решении. В дополнение к этому компания McAfee планирует интегрировать технологию веб-изоляции в недавно выпущенное решение MVISION UCE, которое включает модули McAfee Secure Web Gateway, McAfee Data Loss Prevention и MVISION Cloud (CASB), что обеспечит полноценное и максимально простое внедрение архитектуры SASE. Это позволит клиентам применять единую политику защиты от угроз в своей сети и SaaS-приложениях, таких как — Office 365 и т.п.

«Веб-браузер — один из наиболее распространенных источников угрозы для конечных точек. Добавление возможностей Light Point Security в наших продуктах создаст решение, которое позволит клиентам устранить веб-угрозы, не мешая удобству работы пользователей», — сказал Аш Кулкарни, исполнительный вице-президент и директор по продукту Enterprise Business Group, McAfee. — Мы постоянно работаем над тем, чтобы помочь нашим клиентам безопасно внедрять новейшие технологии для повышения производительности, не испытывая при этом беспокойств по поводу кибератак. Технология веб-изоляции Light Point Security усилит McAfee Unified Cloud Edge, сделав его отличным решением для предприятий, ориентированных на безопасность».

«Технология Light Point Security позволяет просматривать любой веб-контент безопасно и без ограничений. Атака на браузер исключается в принципе, ведь она уже изолирована еще до того, как она попала в сеть компании, и могла бы нанести ущерб пользователю или компании“, — сказал Зули Гонсалес, соучредитель и генеральный директор Light Point Security. — «Мы стали настоящими революционерами в области кибербезопасности; теперь мы присоединимся к ведущему игроку на рынке, чтобы стать частью следующей революции. Вместе мы будем продвигать миссию McAfee по защите мира от киберугроз и поддерживать клиентов в развитии бизнеса, взяв на себя заботу об их информационной безопасности».

Соглашение между McAfee и Light Point Security о приобретении последней говорит о том, что компания продолжает развивать свои продукты с помощью инноваций, а также успешных коммерческих сделок. McAfee обеспечивает своих клиентов надежными решениями в области кибербезопасности для предотвращения любых угроз.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Schaltfläche "Zurück zum Anfang"