Вирусы шифровальщики — HARMA/DHARMA/EBOLA — 2019

Автор: | 25.09.2019

Доброго времени суток, читающей публике!

Данная запись будет к сожалению не о добром, и не о радио хобби…. но рекомендую дочитать до конца.

Работаю я айтишником (читай — компьютерщиком, программистом, эникейщиком или тем чуваком который весь день лупится в монитор и пытается помочь пользователям ОдинЭски к примеру….), короче — занимаюсь я аутсорсом IT, по русски говоря — чиню/настраиваю/подстраиваю комПутеры и соФты своим клиентам.

По «мудрой» затее нашего государства, по вводу онлаин касс в магазинах, работы нам айтишникам… прибавилось.

Теперь мало того, чтобы поставить на учет онлаин кассу в налоговой надо пройти все круги …… (молчу чего), потом еще плати всем «прокладкам» которые передают чеки с кассы….. туда…   Сорри, не буду грузить.

А история вот о чем — утро предыдущего понедельника порадовало ясной, теплой осенней погодой, бабье лето короче! Но счастье было не долгим, первый звонок насторожил.

Аллле Саша….. у меня какая то фигня на компе, все по англицки, ничего не открывается….

Чутье не подвело, сразу крикнул в трубку — вырубай нафиг интернет, ну то-есть роутер из розетки.

Роутер — такая штука через которую раздается интернет в локальную сеть квартиры/офиса и тд и тп. Он же и связывает все компы локальной сети. Выключив роутер — мы предотвратили дальнейшее распространение гадости по внутренней локальной сети. Не, конечно разные варианты бывают, но корп… локальные сети, я тут рассматривать не буду.

Приехал на место (клиенты у меня все на удаленке  (аля ТимВивер), но к своей удаленке, я их подключаю по нужде, поняв что, там что то не так…. я решил приехать и посмотреть в живую, а не подключаться через интернет….), посмотрел и понял….. приплыли…. словили шифровальщика. А именно ту поскудную вирусную гадость, которая тупо зашифровывает все данные на компутере, по стандартному алгоритму шифрования.

Ладно шутки в сторону….

Клиент словил шифровальщика из разновидности Crusis — фоновая программа которая зашифровывает все файлы с данными от фоток до компьютерных баз. Т.е. к имени файла после шифровки добавляется:

1. id — уникальный код

2. адрес электронной почты — куда можно отправить запрос на дешифровку данных

Как правило в папке с зашифрованными файлами присутствует текстовый файл c информацией типа —

all your data has been locked us You want to return?

write email decryptbox@harma.cc

в переводе — все файлы зашифрованы, для расшифровки пишите на указанный адрес. Адрес может быть произвольный.

Клиент резервных копий не хотел делать, денег пожалел на покупку сопутствующего оборудования. Копии баз 1С конечно делал но на тот же жесткий диск компьютера.

Я первым делом посетил замечательный ресурс NO MORE RANSOM. На данном ресурсе можно проанализировать зашифрованный файл в резделе Крипто-Шериф и попробовать подобрать дешифровщик. Но в данном случае разновидность шифровальщика оказалось свежей (HARMA/DHARMA/EBOLA).

Обращения в тех.поддержку касперского и прочих, оказались бесполезными — ответ один — вылечить попробуем, а расшифровать не сможем….

После попробовал, сделав новый почтовый ящик на доступном ресурсе, написал вымогателям…. Через час получил ответ, где в вежливой форме было написано — конечно поможем, пришлите зашифрованный файл размером до 3 мегабайт. Отослал…. Через пару часов пришло письмо со скриншотом, где было видно, что вордовский отправленный зашифрованный файл был успешно открыт. Далее текст — оплата за расшифровку 3000$, если в течении 24 часов сумма в биткоинах не будет переведена на указанные реквизиты, стоимость рашифровки будет от 5000$.

Далее общение с клиентом не буду озвучивать, в итоге — поставили все с нуля, клиент купил внешний HDD для резервных копий и теперь каждый день, копирует данные на внешний носитель…

Проанализировав конкретную ситуацию клиента, увидел:

  1. клиент качал, что то торрентом;
  2. после регистрации на ресурсе где он, что то качал, ему пришло письмо — аля — вы выиграли смартфон…. для получения ткните мышкой сюда и туда…;
  3. после получения данного письма на ПК была создана учетная запись с правами администратора и которой был открыт доступ по RDP;
  4. так как у клиента публичный (постоянный) IP адрес для сети Internet, попасть к нему уже было не проблема….;
  5. а далее в фоновом режиме все тихонько зашифровывалось…. и все по внутренней локальной сети, что было в открытом доступе.

На последок немного информации:

1. Антивирус стоял и тем более купленный, озвучивать какой не буду. В техподдержку антивируса было все отправлено, пусть сами разбираются.

2. Брандмауэр Windows 10 Prof (лицензия) был включен.

2. Принцип работы этой разновидности компьютерного вируса — попробуйте за архивировать любой файл с паролем не менее пяти символов, ну хотя бы в zip стандартными средствами Windows….

Антивирус какой нибудь среагируют на эти действия? — НЕТ!

Попробуйте подобрать пароль… — если подберете — научите как!

Выводы делайте сами!

73!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *