Forum programu Dr.WEB
Forum użytkowników programu Dr.WEB

Wirusy komputerowe - Zaszyfrowane pliki z rozszerzeniem .ULTRACODE

megler - 2013-11-17, 22:11
Temat postu: Zaszyfrowane pliki z rozszerzeniem .ULTRACODE
Ostatnio otrzymujemy od Państwa pliki zaszyfrowane z rozszerzeniem .ULTRACODE. Staramy się znaleźć źródło infekcji, oraz deszyfrator na zaszyfrowane pliki. Jeśli tylko pojawi się nowy deszyfrator poinformujemy Państwa.
megler - 2013-11-22, 12:05

Szans na pobranie deszyfratora nie ma i raczej nie będzie. Poniżej oryginalny cytat wiadomości z centrum analiz wirusów.

"It was a variant of Trojan.Encoder.145 that encrypted customer's data-files.

To encrypt files Encoder.145 uses AES-256. AES key is generated randomly and it is unique for each victim machine. After the encryption of victim data-files is finished, Encoder.145 encrypt the used AES key with hacker's RSA-1024 public key and save the result to "HOW TO DECRYPT FILES.txt". To obtain the victim-specific AES-256 key to decrypt files, you need the private RSA key corresponding to the hacker's RSA public key However, the private RSA key never leaves the "hacker's pocket". So, all that is left to do is either crack AES-256 cipher, or factorize the RSA-1024 public key Both things are practically impossible at the modern development level of mathematics and computer hardware technology.

We are unable to help to decrypt files in this case. Sorry.

---

Files are not encrypted entirely.
Only ~30% at the beginning of each file is enciphered (+ 12 extra bytes are added to the tail of file). So, probably some partial data (for example from zip/rar archives) could be retrieved with professional data recovery software. Customer may ask some local IT-company, specialized in data recovery, to help.

---

Encoder.145 is launched manually, by the attacker himself. Attacker needs to log-in into the system to activate this malware The attacker targets Windows systems running the Remote Desktop or Terminal Services If the brute-force attack (or some "social engineering" trick, or so) is successful and a set of valid user (Administrator) credentials is found, the attacker will remote log in into the system where he will then execute the Encoder.145 When encryption is finished, Encoder.145 delete itself.

You may suggest the customer to inspect a security eventlog and look for the suspicious RDP connections at the probable time of attack. At least he/she might be able to find the user account with a weak password. Also he/she may save RDP-access logs, ask provider for RDP-access logs and report to the Police. The police might be able to capture the hacker."

megler - 2013-11-22, 13:27

Poniżej angielskie tłumaczenie angielskiej części poprzedniej wiadomości:

To był wariant Trojan.Encoder.145 że dane - Zaszyfrowane pliki klienta.

Aby zaszyfrować pliki Encoder.145 wykorzystuje AES-256. Klucz jest generowany losowo AES i jest unikalny dla każdego komputera ofiary. Po zakończeniu szyfrowania danych - plików ofiary Encoder.145 szyfrowania używany klucz AES z kluczem RSA - 1024 publicznej hakera i zapisać wynik do "Jak rozszyfrować files.txt". Aby uzyskać specyficzne ofiary AES-256 klucz do odszyfrowania plików, trzeba klucz prywatny RSA odpowiadający klucz publiczny RSA hakera. Jednak klucz prywatny nigdy nie opuszcza "RSA kieszeni hakera". Tak, wszystko, co jest do zrobienia jest albo złamać szyfr AES - 256 , lub rozłożyć klucza publicznego RSA - 1024 Obie rzeczy są praktycznie niemożliwe w nowoczesnym poziomie rozwoju matematyki i technologii sprzętu komputerowego .

Nie jesteśmy w stanie pomóc odszyfrować pliki w tej sprawie. Przepraszam.

---

Pliki nie są szyfrowane w całości.
Jedynie około 30% na początku każdego pliku jest zaszyfrowana (+12 dodatkowe bajty są dodawane do ogona pliku). Tak, prawdopodobnie jakieś częściowe dane (np. z ZIP / RAR archiwum) mogą być pobierane z profesjonalnego oprogramowania do odzyskiwania danych. Klient może poprosić niektórych lokalnych IT - firmy, specjalizujące się w odzyskiwaniu danych, aby pomóc.

---

Encoder.145 jest uruchamiany ręcznie, przez samego napastnika. Atakująca musi zalogować się do systemu, aby uaktywnić tę malware atakujący celuje systemów Windows uruchomienie Pulpitu zdalnego lub usług terminalowych Jeśli atak brute-force (lub "inżynierii społecznej" podstęp, albo tak) jest skuteczne i zestaw ważne użytkownika (administratora) poświadczenia zostanie znaleziony, atakujący zdalnie zalogować się do systemu, w którym będzie on następnie wykonać Encoder.145 po zakończeniu szyfrowania, Encoder.145 usunąć się.

Możesz zaproponować klientowi do wglądu w dziennik wydarzeń bezpieczeństwa i poszukaj podejrzanych połączeń RDP w czasie prawdopodobnego ataku. Przynajmniej może on / ona być w stanie znaleźć konta użytkownika ze słabym hasłem. Ponadto może on/ona zapisać dzienniki RDP- dostępu, zapytaj dostawcę RDP - dzienników dostępu i zgłaszania się do Policji. Policja może być w stanie uchwycić hakera."


Powered by phpBB modified by Przemo © 2003 phpBB Group