войти через Google+ войти через VK
Компьютерный вирус-шифровальщик (Enigma) - лечения нет!!
28.02.2015 8915
изображение: arctech.ru

Компьютерный вирус-шифровальщик (Enigma) - лечения нет!!

Предупреждаю всех о новом вирусе. Эта сволочь шифрует все файлы на ваших дисках. восстановить невозможно (пока). просит от 200 до 5000 рублей. вроде даже говорят что помогает заплатить злоумышленнику, но шифровальщика никто не обязывает скидывать Вам пароль для дешифровки, тем более пароль индивидуальный. Так что ставьте минимум Дрвеб, Касперский, Нод с них хоть можно будет спросить за утерю данных (призрачно но возможность восстановления есть).

На компьютере все фалы переименовались с дебильными названиями и расширением *.*xtbl 
На компе который попал ко мне стоял Microsoft secur.ess. Он заразу убил, но файлам кирдык. После переустановки системы файлы как ожидалось остались с тем же расширением и зашифрованы, тупо переименовать расширение не помогает. Сайты поддержки антивирусов молчат как рыбы. Шифровальщик походу на уровне Энигмы.

Повышенная вирусная опасность! Речь пойдет о так называемом вирусе вымогателе-шифровальщике под названием Enigma, Ransom.Gpcode, Ransom.CryFile и др. (это целая группа вирусов Ransom), заражение которым участились в последнее время. При попадании на компьютер данный вирус шифрует все файлы (Microsoft Word “doc”, Microsoft Excel “xls”, картинки и фотографии “jpg, jpeg, png, gif”, файлы базы данных 1С Бухгалтерии, видео файлы “avi, mkv, mov”, аудио файлы “mp3, wav”).

Антивирусы Вам не помогут. Многие популярные антивирусные программы, к сожалению, пропускают данный вирус.

Проблема в том, что когда Ваш компьютер уже будет заражен, тогда только антивирус может отреагировать, а может отреагировать и через 1 или 3 дня. Но Вам это уже не поможет. Почему так происходит? Все просто. Те, кто создают данный тип вируса и его модификации, меняют его, а антивирусним программам необходимо время, чтобы начать распознавать новый тип вируса. И то, они это делают после того, когда уже кто-то заразился и отослал им «тело» вируса для анализа. А отославшему «тело» вируса уже ничего не остается, кроме, как отложить зараженный винчестер в ящик и ждать, когда ключ RSA1024 взломают (а это может случиться через эн...ное количество лет) или найдут уязвимость в нем. Второй вариант: отформатировать винчестер и установить новую систему. А данные ведь потеряны!

 

Я думаю, Вам уже стоит задуматься: стоит ли рисковать, какова вероятность того, что Ваш компьютер не заразится вирусом-шифровальщиком? Так рассмотрим по-подробнее данный вирус.

 

Вирус-шифровальщик проникает на компьютер 3-мя способами:

 

1 - Через вложение к письму.
В письме он может иметь вид: «акт.doc.....................exe» или «Благодарственное письмо.hta», «Вы видите только акт.doc, а остальная часть Вам не видна и Вы думаете это файл Microsoft Word». Дважды нажав, Вы запускаете программу Акт.doc.....................exe, которая начинает шифровать файлы на Вашем компьютере.

2 - Через файл взломанной программы.

Вы решили скачать программу, за которую не желаете платить деньги, и поэтому в поисковике набрали типа: «программа версия 2.0 взломанная версия скачать». Поисковик выдает Вам целую кучу ссылок, Вы нажимаете на них и в конце концов видите картинку, в которой Вы узнаете нужную вам программу. Вы нажимаете кнопку на сайте «скачать». После того, когда файл закачается на Ваш компьютер, Вы нажимаете на данный файл и ожидаете начала установки данной программы.
Все. Вирус запущен. Началось шифрование Ваших файлов.

3 - Через самораспаковывающийся архив.

Возможно проникновение как через вложение к письму, так и путем скачивания каких- либо неизвестных программ или утилит с непроверенных сайтов.

При попадании на компьютер данный вирус шифрует все файлы.

После того, когда все файлы упакованы, вирус может выдать окно с текстом типа:

 

«Все файлы на Вашем компьютере зашифрованы, желаете их расшифровать — пишите письмо по адресу ..... и мы вышлем Вам дальнейшие инструкции» или

«Заплатите 150USD на кошелек 2334344454 и перешлите нам на адрес ..... код и время транзакции. После этого мы вышлем Вам программу, которая распакует Ваши файлы».

 

Или в корне диска C Вы обнаружите файл КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt. Внутри данного файла будет текст (приведён реальный пример):

 

"Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024. Восстановить файлы можно только зная уникальный для вашего пк пароль и дешифратор.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать их даже нам будет не под силу.

Напишите нам письмо на адрес ..... чтобы узнать как получить дешифратор и пароль. Среднее время ответа специалиста 2-10 часов.

К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt, который находится в папке C:\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt". Не изменяйте это файл, иначе расшифровать ваши файлы мы не сможем!

Если Вы хотите убедится в том, что мы действительно можем расшифровавать ваши файл в сообщение также можете прикрепить документ с известным вам содержанием и мы его расшифруем.

Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!"

И вся проблема в том, что если Вы даже пойдете на переговоровы с вымогателями, то нет никакой уверенности, что они Вам пришлют программу-расшифровщик.

 

Мне самому пришлось столкнуться с вирусом-шифровальщиком. У знакомого на компьютере стоял антивирус Avira (бесплатная версия), там же стояла 1С бухгалтерия. После того, как вирус «поработал» на данном компьютере, ничего не осталось. При запуске 1С выдавал ошибку на файл 1cv7.md. На диске D появилась папка 1С_Архив, а внутри десяток файлов с расширением zip, каждый файл по 5 Мб. Все графические файлы, файлы mp3, видео файлы не запускаются - все зашифрованы. При попытке отправить письмо вымогателю для выяснения требований - получили возврат письма с указанием того, что почтовый ящик более не существует.

В общем, это сравнимо с ситуацией из фантастического рассказа, как-будто у Вас есть свой частный дом, но пришел кто-то, обнес этот дом силовым полем и вовнутрь этого дома Вы уже не попадёте. Даже если у Вас есть супер-оружие - Вы только всё разрушите безвозвратно. Если у Вас только нет устройства, которое выключит это силовое поле или, хотя бы, сделает брешь в нем.

Алгоритм шифрования (RSA1024) — RSA 1024 бит, который применяет данный вирус, не взламывается! Точнее, его можно взломать, но для этого надо будет взять в аренду все суперкомпьютеры, которые есть в мире (и неизвестно, сколько десятилетий или столетий они будут пытаться взломать данный ключ). И опять похоже на фантастику. Но математика такова: чтобы взломать RSA длинной 768 бит, т.е. подобрать ключ методом перебора (так называемый brute force), необходимо иметь 1 000 000 USD и 1 год вычислений. В 2008 году кто-то заявлял, что ключ взломан, но до сих пор (2013 год) никто не предоставил доказательства взлома ключа.

 

"Лаборатория Касперского" ранее уже сталкивалась с другими версиями вируса Gpcode (см. статью «Шантажист» http://www.viruslist.com/ru/analysis?pubid=188790045), и экспертам компании во всех случаях удавалось получить секретный ключ путем детального криптографического анализа имеющихся данных.

До сих пор максимальная длина ключа RSA, который удалось «взломать» специалистам «Лаборатория Касперского», составляла 660 байт. На подбор ключа такой длины при помощи машинного перебора требуется около 30 лет работы одного ПК с частотой процессора 2,2Ghz.

После этого инцидента автор Gpcode выждал почти 2 года, прежде чем создать новую, усовершенствованную версию своего вируса, лишенную старых ошибок и использующую еще более длинный ключ.
На данный момент расшифровать пострадавшие файлы не удалось, поскольку новый вирус использует ключ длиной 1024 бит.

Расшифровать зашифрованное вирусом Virus.Win32.Gpcode.ak сообщение можно, лишь располагая секретным ключом, которым в настоящее время, вероятно, обладает только автор данного вируса."

 

То есть, реальных шансов взломать данный ключ пока нет.

Чтобы добавить комментарий необходимо
ЕЩЁ ПУБЛИКАЦИИ