Подцепили троян от paycrypt@gmail_com

disasm · 19.08.2014, 12:38

Здравствуйте уважаемые эксперты.

Сегодня утром на работе два сотрудника прочли "письмо счастья" с криптиком от paycrypt@gmail_com.
Локальные документы зашифрованы, до сетевого диска с файлами вроде не дошло, или скрипт не успел дойти до него. Диск отрубили.
В инете почитал инфу, все печально.
Файлов PRIVATE.KEY и DECODE.ZIP не нашел, файлы со скрипта скопировал отдельно.
Вроде в памяти еще должен висеть ключ, с которым шифровали, где искать если?

Есть смысл выкладывать сам скрипт и куда. Если найдем файлы зашифрованные и не зашифрованные ( в архивах), есть вероятность расшифровать?

Лог uvs

safety · 19.08.2014, 12:51

если есть лицензия на антивирус ESET NOD32 откройте тему на техническом форуме
http://forum.esetnod32.ru/forum35/

если зашифрованы файлы: что делать?
http://vmartyanov.ru/encrypted-files-what-to-do/

----------
покажите содержимое этого файла

Цитата:

C:\TMP\PAYBTC.BAT

послушать позновательную беседу про paybtc
http://cdn.echo.msk.ru/snd/2014-08-15-osoboe-1708.mp3

disasm · 19.08.2014, 13:10

Цитата:

Сообщение от safety

покажите содержимое этого файла
Цитата:
C:\TMP\PAYBTC.BAT

http://rghost.ru/57548735
зархивировал 7z с паролем 123 на всякий случай, с хостинга можете сразу же удалить

Лицензия то есть, только на форуме вроде результатов нет.

safety · 19.08.2014, 13:27

там оф. техподдержка есета с шифрованием_расшифрованием работает. я не работаю в оф. техподдержке есета.

не получится в есете, пробуйте на другом форуме запросить помощь, на вирусинфо например.

да, с keybtc похоже тяжелый случай. только бэкапы спасут.

disasm · 19.08.2014, 13:31

Спасибо, будем писать в ESET.

Посмотрел на втором компе, уже нету файлов PAYBTC.BAT и других, т.е. уже отработал и удалился.
По коду, все файлы после себя удаляет с затиранием данных?

Если найду зашифрованный и чистый файл, поможет делу?
Или каждый файл шифруется отдельным каким то ключом?

на вирус инфо
http://virusinfo.info/showthread.php?t=162092 без шансов

safety · 19.08.2014, 13:42

судя по этим строкам можно найти публик_кей, видимо pgp используют для шифрования

Цитата:

"%temp%\sdelete.exe" -accepteula -p 4 -q "%temp%\pubring.gpg"
"%temp%\sdelete.exe" -accepteula -p 4 -q "%appdata%\gnupg\pubring.gpg"

поищи этот файл, может пригодится для расшифровки
-----------
pgp - ассиметричное шифрование. шифруется паблик ключом, а расшифровка должна выполняться приват-ключом, который только у злоумышленников

safety · 19.08.2014, 14:36

вот еще информация на дрвебе

Цитата:

Признаки заражения: Файлы зашифрованы, дополнительные расширения *.paycrypt@gmail_com, *.unstyx@gmail_com и *.unblck@gmail_com, *.keybtc@gmail_com. Если у вас другие расширения - вам в другую тему.

Информация по трояну: BAT.Encoder.2. Распространение этого трояна началось в середине мая 2014 года, но модификация с расширением *.paycrypt@gmail_com могла появиться позже.

Расширение *.keybtc@gmail_com к файлам дописывает BAT.Encoder.23, его распространение началось 06.08.2014

Криптография: GPG. Для paycrypt@gmail_com известны такие ключи: F107EA9F/E578490A и F05CF9EE/3ED78E85. Для unblck@gmail_com известен ключ F107EA9F/E578490A. Для unstyx@gmail_com известны ключи F107EA9F/E578490A и 01270FE6/F3E75FD0

Для *.keybtc@gmail_com известен ключ A3CE7DBE

Расшифровка: возможна для некоторых вариантов, которые идентифицируются по ID ключа:

F05CF9EE/3ED78E85 - нет расшифровки.

A3CE7DBE/AAB62875 - нет расшифровки. Но известен 1 случай, когда с этим ключом и *.keybtc@gmail_com расшифровка получилась!

AAB62875 - нет расшифровки.

F107EA9F/E578490A - есть расшифровка

3DF229D3 - есть расшифровка

01270FE6/F3E75FD0 - есть расшифровка

http://forum.drweb.com/index.php?showtopic=318074

disasm · 19.08.2014, 16:15

Подскажите еще, как проверить и почистить из памяти?
И стоит это делать, или ждать рекомендация от ESET?
Стоит перегрузить компьютер? Сейчас опасно продолжать работать с документами?

Как узнать ID ключа?

С первого компьютера файл pubring.gpg выцепил, на втором уже все чисто.

safety · 19.08.2014, 16:42

насколько я понял, процесс шифрования идет до перезагрузки системы

safety · 19.08.2014, 16:44

ID ключа можно узнать с помощью оболочки под gnupg

вышлите в мою почту safety@chklst.ru ключ pubring.gpg
посмотрю его.

safety · 19.08.2014, 17:07

вот такой открытый ключ

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1

mI0EU/LadgEEALMLw7rcmV1LGwIvnquvIOftCuO6KXMEYOgzwRMpdU/HRFhiSiNp
w3N5qzQNdCm6kD6BP67kdRtXdOhq1TJ1gLI1wvhPUDPRGroQDf otB/z5DuH4IViN
MS3/kBNpCKskLenumg77J/UryLTKSZowOGrptKDwTf09JaZC94yqjsnPABEBAAG0
KGNyeXB0cGF5IChjcnlwdHBheSkgPHBheWNyeXB0QGdtYWlsLm NvbT6IuAQTAQIA
IgUCU/LadgIbLwYLCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQdUbB DzMO7eYU
0gP/c7sy8BUU2QgxAMPSzPuXwu/nSJzbZ2/2sZAKOw6b49+L5Ch8J4sE0NRjdQbR
oDgClMB8qgmSyYTSaqxuDD/thidUXr7do9jH80COinfC8cud7nvSWuE47gecP+um
x6xIiiTURv7NDt0K865qtlDth+uhEfHFbiPLWWReFFfWaeM=
=Sjb0
-----END PGP PUBLIC KEY BLOCK-----

Цитата:

ID
0x330EEDE6
отпечаток
97AD 5C16 A89C B89A 500D 0FB5 7546 C10F 330E EDE6
первичный идентификатор пользователя
cryptpay (cryptpay) <paycrypt@gmail.com>

safety · 19.08.2014, 17:42

а этого ключа уже нет?

Цитата:

del /f /q "%temp%\secring.gpg"

но в любом случае, это ключ будет с паролем

safety · 20.08.2014, 09:52

сайт спеца из ДрВеб, который занимается энкодерами
http://vmartyanov.ru/

Цитата:

BAT.Encoder.23
07.08.2014

Дальнейшее развитие BAT.Encoder.2. Начал распространяться 06.08.2014 после спада активности семейства BAT.Encoder.* Распространяется при помощи JS.Downloader.300 под видом счета в email-рассылках. Вторая волна распространения началась 19.08.2014

Основное отличие в том, что таскает публичную часть мастер-ключа прямо в BAT-файле. В остальном все то же самое: криптография на GPG, при запуске создает машинную ключевую пару, шифрует ее приватную часть мастер-ключом, потом шифрует машинным ключом файлы. Способен рассылаться по найденным на машине адресам email. Модификация от 19.08.2014 уже не убивает установленный GPG.

Существует интересный метод защиты: создание специального файла в каталоге %temp%, который применяется трояном для защиты от повторного запуска. Список файлов для разных модификаций:

%temp%\crypta.bin
%temp%\crypti.bin
%temp%\paycrpt.bin

На данный момент известны две модификации с дополнительным расширением keybtc@gmail_com и одна с paycrypt@gmail_com

http://vms.drweb.com/virus/?i=4049648

safety · 20.08.2014, 11:02

метод защиты от енкодера.23

начальные строки скрипта

Цитата:

if exist "%temp%\paycrpt.bin" goto autoreply

последние строки

Цитата:

del %0
:autoreply
exit

судя по скрипту, секретный ключ создается у локального юзера, затем он шифруется ключом и результат переименовывается в KEY.PRIVATE

видимо в дальнейшем этот ключ будет выслан на адрес злоумышленников с прочей инфо. после чего данный файл будет удален.

Цитата:

"%temp%\sdelete.exe" -accepteula -p 10 -q "%temp%\secring.gpg"
echo paycrypt>"%temp%\secring.gpg"
echo %line1%>"%temp%\secring.gpg"
echo %line2%>"%temp%\secring.gpg"
del /f /q "%temp%\secring.gpg"
RENAME "%temp%\secring.gpg.gpg" KEY.PRIVATE
set line4=xpUP46l432Qu7Lr
md "%temp%\PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%appdata%\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%temp%\PRIVATE\KEY%RANDOM%.PRIVATE"

lohudra · 12.11.2014, 17:06

У меня вопрос такой, не подскажите, нарыл:

Цитата:

и это:

Цитата:

19.08.2014, 12:38	#1 (ссылка)
disasm Новичок Регистрация: 04.08.2011 Сообщений: 198 Репутация: 0	Подцепили троян от paycrypt@gmail_com Здравствуйте уважаемые эксперты. Сегодня утром на работе два сотрудника прочли "письмо счастья" с криптиком от paycrypt@gmail_com. Локальные документы зашифрованы, до сетевого диска с файлами вроде не дошло, или скрипт не успел дойти до него. Диск отрубили. В инете почитал инфу, все печально. Файлов PRIVATE.KEY и DECODE.ZIP не нашел, файлы со скрипта скопировал отдельно. Вроде в памяти еще должен висеть ключ, с которым шифровали, где искать если? Есть смысл выкладывать сам скрипт и куда. Если найдем файлы зашифрованные и не зашифрованные ( в архивах), есть вероятность расшифровать? Лог uvs

19.08.2014, 13:31	#5 (ссылка)
disasm Новичок Регистрация: 04.08.2011 Сообщений: 198 Репутация: 0	Спасибо, будем писать в ESET. Посмотрел на втором компе, уже нету файлов PAYBTC.BAT и других, т.е. уже отработал и удалился. По коду, все файлы после себя удаляет с затиранием данных? Если найду зашифрованный и чистый файл, поможет делу? Или каждый файл шифруется отдельным каким то ключом? на вирус инфо http://virusinfo.info/showthread.php?t=162092 без шансов Последний раз редактировалось disasm; 19.08.2014 в 13:41.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Зашифровали файлы .paycrypt@gmail_com 30,06,2014 помогите	leonidya	Безопасность	9	30.08.2014 16:29
Подцепили вирус в интернете .Система заблокирована	bobr	Безопасность	2	07.07.2012 18:51
Троян	JeTTa	Безопасность	16	03.10.2011 13:47
Троян	AaronKadler	Безопасность	6	23.08.2011 21:43
Троян!!!	andrew ch.	Безопасность	6	20.08.2010 00:12

19.08.2014, 13:27	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	там оф. техподдержка есета с шифрованием_расшифрованием работает. я не работаю в оф. техподдержке есета. не получится в есете, пробуйте на другом форуме запросить помощь, на вирусинфо например. да, с keybtc похоже тяжелый случай. только бэкапы спасут.

19.08.2014, 16:15	#8 (ссылка)
disasm Новичок Регистрация: 04.08.2011 Сообщений: 198 Репутация: 0	Подскажите еще, как проверить и почистить из памяти? И стоит это делать, или ждать рекомендация от ESET? Стоит перегрузить компьютер? Сейчас опасно продолжать работать с документами? Как узнать ID ключа? С первого компьютера файл pubring.gpg выцепил, на втором уже все чисто.

19.08.2014, 16:42	#9 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	насколько я понял, процесс шифрования идет до перезагрузки системы

19.08.2014, 16:44	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	ID ключа можно узнать с помощью оболочки под gnupg вышлите в мою почту safety@chklst.ru ключ pubring.gpg посмотрю его.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads