Попался на крипто-вирус

[Design_Nick]

Вчера словил гада.

 

Пришло письмо от поставщика с которым изредка работаем. Реально занимается поставками.

В теле письма:

 

Уже более двух месяцев оплата по счету СФ-362123-14 (за поставку лестниц) отсутствует.

В продолжение телефонного разговора с Вашим руководством, высылаю Вам скан указанного счета для оплаты (в приложении).

 

Прошу предпринять меры для погашения долга.

 

-- 

с ув., ФИО ДИРЕКТОРА

Компания «НАЗВАНИЕ»

 

Во вложении zip архив с файлом.

 

Письмо прилетело вечером, я как раз собирался домой. Быстро открыл данные бухгалтерии, обнаружил что все в порядке.

Открыл архив, там jar, удивился (старший сын мне вчера сдал в тестирование написанную под меня программу расчета) что они что-то генерируют и запустил файлик.

Открылся word, что-то началось. Одновременно открылась ссылка в браузере на страницу с интервью создателей вируса.

 

Ссылка на интервью

 

Интервью под спойлером:

 

 

 

Эксклюзив: Создатели нашумевшего трояна отвечают на мои вопросы.

Если вы пропустили историю про этот супер-вирус, то ее можно прочитать вот здесь (она в двух частях). Вирус уже заразил тысячи компьютеров по всей стране. Если кратко, то вирус шифрует все личные личные файла на компьютере.

 

Так как я сам попал под это мошенничество, у меня накопилось множество вопросов к "разработчикам". Не поленившись, я нашел контакты этой хакерской группы, и задал им несколько вопросов. Если вы хотите тоже у них что-нибудь спросить, то вот их адрес: BM-NBQtPZpj4vKeGfSNq4em8j8zjcHRPTKf (BitMessage), гарантии, что они ответят нет.

Я понимаю, что после публикации этого материала, вероятно, ко мне будет множество вопросов от правоохранительных органов. Все мои контакты есть в моем блоге (ссылка в конце поста), но я уверяю вас, все что здесь опубликовано, эта вся информация которая у меня есть.

Итак, поехали. Полужирным шрифтом выделены мои вопросы. Орфографию ответов сохранил.

- Артем, логично полагать, что на большинство вопросов мы не ответим в полной мере, так как это может нести некого характера слив информации.

-Как мне вас называть?
-Как угодно. Господа злоумышленники. Вы.

-Вы один человек или группа людей?
-(пусто)

-Откуда вы? (хотя бы страна или континент).
-Вопрос в том, откуда или где находимся. К сожалению для пользователей, мы не новички, а это означает большой нанесённый ущерб. Адекватно оценив ситуацию, находится на одном месте не есть правильным. Путешествуем, скажем так.

-Что такое keybtc?
-Для восстановления данных по факту нужны две составляющие. BitCoin и Private.key. "Получи ключ за btc". После оплаты ключи отправляются. Иногда с задержкой, так как есть фактор загрузки работы робота-автоответчика.

-Правильно ли называть этот вирус bat.encoder.23? Это ваша разработка или вы ее где-то позаимствовали?
-Многократно был опубликован его открытый код, любой может его под себя отредактировать.
Господа злоумышленники специально код не прячут, так как для правоохранительных органов будет гораздо сложнее найти начальную точку отправления зловреда.

-Объясните обывателям, что делает вирус? На собственном опыте могу сказать, он изменил все документы (Word, Excel) на 2-х компьютерах, точнее поменял расширение и как-то зашифровал их. Теперь их невозможно открыть.
-Исходя из детальной инструкции, которую получают наши "клиенты" цитирую:
1.3. Проведем паралель работы вируса-шифровальщика на примере материального предмета (=Вашего файла)
Вирус берет Ваш чемодан с документами.
Используя 1024 битный ключ выполняет его шифрование(это не кладет его под замок-оболочку, нет).
Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных
Вы сможете из пыли собрать чемодан с документами? Нет.
Восстановить данные можно имея только специальный ключ.
Взломать/подобрать/восстановить данный ключ невозможно
Представьте себе архиватор WinRar или 7-zip. Архивируя данные под пароль, Вы используете симметричный ключ. Им шифруете данные, им же и дешифруете их.
Ассиметричное шифрование основано на принципе Публичного ключа и Приватного ключа. Зашифровывается одним, дешифровывается другим. На этом построен весь принцип работы.
Главный Приватный ключ находится только у нас, а на подбор его не хватит человечеству времени. К тому же он 2048 битный. Итого мы имеем нулевые шансы на восстановление данных без приватной части ключа.

-Интересна работа антивирусов. Avast пропустил ваш вирус, читатели так же пишут, что и NOD 32 поступает так же. А вот dr.web и Kaspersky заблокировал ссылку. Это случайность, или какие-то антивирусы лучше работают?

-На самом деле, на момент начала распространения шифровальщика keybtc не обнаруживали его ни Kaspersky ни Dr. Web
Скрипты с открытым кодом легко поддаются обфусцированию. По факту через часов 15-20 начинаются понемногу реакции, но скажем честно, это никак не влияет на количество "установок", так как пользователи если и имеют антивирус, чаще всего он даже не активирован, даже в компаниях. А бывают случаи, когда письмо "от директора по поводу изменения распорядка рабочего дня" заставляет отключить антивирус.

-Это ваша первая "разработка" или вы давно этим занимаетесь?
-Да, это наша первая разработка.. Да, занимаемся этим давно ;-)

-Когда вы запустили в сеть bat.encoder.23?
-Подобная информация есть в антивирусных лабораториях. Конец июля.

-Мне интересно, сколько времени вы потратили на все это? Ведь вы подготовились очень хорошо, чувствуется, что делали не на коленке.
-Довольно долго. В любом случае, рынок настолько велик, что читать данный блог будут в основной массе только пострадавшие, поэтому скрывать нечего.
Основное время занимает грамотное составления писем, формирование адресатов, обход анти-спам фильтров. А обходятся все на ура. Яндекс пишет - "почта без спама". Как раз на Яндекс заходит лучше всего, труднее всего доставляется на mail.ru (не то что в спам падают, у них даже от легитимных адресатов письма часто не доходят. Почитайте о антиспаме mail.ru на хабре). 
Вопрос не в сложности кода, а в его применимости в конкретной ситуации. В основном мы используем доверенные утилиты для меньшего обнаружения антивирусами. Так сложнее бороться с зловредом. 

-А вы располагаете данными, сколько компьютеров вы заразили?
-Конечно, у нас подключена подробная статистика с графиками. Статистика формируется при работе вируса на компьютере жертвы. Статистика позволяет проводить анализ.
Статистика касается как установок, так и прочитавших/открывших вложения на разную тематику. Затем происходит анализ результатов, начинаем понимать какой рынок на что лучше реагирует. Иногда автораспространения вируса выходит за пределы целевой аудитории, на программном уровне это регулируется.

-Я понимаю, что вопрос некорректный, но все же задам. Сколько денег успели заработать?
-(пусто).

-Вы принимаете к оплате только биткоины. Получается наше правительство право, что хотят запретить эту валюту?
-Подобных форков много, криптовалюта не в интересах нашего государства. В интересах нашего государства полный контроль всего. Криптовалюта позволяет совершать анонимные платежи, которые не контролируются центральным органом. К тому же, разумно многократно использовать разные миксеры при выводе средств (прим. в сети Tor). Доказать что средства тебе пришли в результате подобной деятельности практически невозможно. Итого: правительство работает в своих интересах. К 2015 году планируют ввести уголовное за использование криптовалют.

-Меня поразило то, что за дешифровку, вы не берете деньги с тех людей, кто не в состоянии вам заплатить. Почему так?
-Есть свои взгляды и принципы. Вирус в основном нацелен на компании, а не частных людей. Глупо полагать, что во всем полностью виноват сотрудник. Виноват отдел или СЕО, так как не уделили должного внимания информационной безопасности. Ты можешь быть отличным бухгалтером, но не знать даже основ информационной безопасности - это нормально. Прискорбно читать, когда сотрудника увольняют за то, что он открыл письмо от их же зараженного клиента о просьбе выслать ему счет-фактуру. Платить должна компания, в любом случае. К сожалению, учитывая вышенаписанное письма на почте keybtc не читаются (жалобы что уволили и прочее). С писем на почте принимается к обработке только адресат и вложения. Затем вложения проходят многослойную фильтрацию, затем производится анализ, генерация счета, формирование письма, вносится в базу данных, формируется письмо и отправляется результат. Система паралельно проверяет платежи, как платеж поступил - автоматически отправляется ключи на дешифрование.

-А много таких людей? (У кого нет денег на дешифровку).

-На данный момент мы читаем письма только в сети BitMessage. В целом, подобных людей не много. В любом случае, мы имеем полную информацию о зараженных компьютерах, соответственно можем проанализировать владельца, ценность информации, иногда даже его платежеспособность. Индивидуальный подход позволяет существенно увеличить доходность.
Вопрос в том, что многие люди не испытывают особого доверия к нашему ценообразованию.

-По сети гуляют разные суммы, одни пишут, что вы высылаете дешифратор за 1000 рублей, другие, что за 150$. У вас фиксированная ставка, или решается в индивидуальном порядке?
-Нет, подобных сумм в 1000 рублей или 150 долларов никогда не было. Цену формирует робот. Он анализирует компьютер пострадавшего, в зависимости от этого выставляется стоимость.
Стоимость формируется по 17-ти разным факторам. Уникальные случаи проверяются человеком. Цена не берется с потолка - это точно. 

-Вы используете CRM для учета “клиентов”? Бывают ли сбои, что люди платят, а в ответ ничего не получают?
-Ведем базу данных. Нет, не бывает подобных случаев. Вполне логично полагать, учитывая большое количество зараженных машин, большой объем проделанной работы, автоматизированная система будет отправлять ключи. Если бывают некие казусы, мы сами заинтересованы в их решении, обычно казусы обсуждаются в BitMSG.
Вполне логично полагать, что если 1 человек, заплативший 200 рублей за дешифровку всему интернету расскажет что мы обманщики. Поэтому это не в наших интересах.
Человек в любом случае получает после оплаты ключ и необходимое ПО, а если не получит - он вправе рассказать это всей сети Интернет. Абсолютно согласны. Мы никак не реагируем на остального рода угроз.

-А вам не стыдно заниматься таким “бизнесом”?
-Подобным занимаются и политики и большие бизнесмены - вытягиванием денег с населения. Только их никто не винит. Президент США продает оружие на млрд $. Он способствует убийству миллионов людей и при этом его в этом никто не обвиняет
Как найдется один человек, скрыто производящий оружие, тут уже все новости кричат, что он способствует убийству сотен наших детей и его нужно наказать. Тут вопрос в сравнении с чем? Вы представляете, люди у нас просятся на работу, что бы работать и получать больше. Вот до такого состояния наше государство доводит население. Вы думаете, если анонимно предложить получать 50 тыс $ в месяц определённой группе людей, при этом не делать того, что наносит непосредственный урон здоровью другим, они не согласятся? Да больше 90% будут согласны, вопрос в том, в состоянии ли они это делать. Наши идут за меньшие деньги убивать людей.

-Вероятно, что после публикации этого интервью, ко мне придут из соответствующих органов. Не боитесь разоблачения?
-(пусто)

-Если я правильно понимаю, можно не платить вам, достаточно дождаться дешифратора от антивирусной компании? Если они его сделают.
-Некие товарищи опубликовали в открытый доступ те самые приватные ключи для дешифрования KEY.PRIVATE от почт paycrypt и еще каких-то. Это предоставило отличную возможность антивирусным лабораториям (таким как Dr Web & Kaspersky) подзаработать на лицензиях при обращении в ТП. У keybtc подобных планов (отправка приватной части) нет и не будет.

-Как часто Вы обновляете/дополняете вирус?
-Сейчас стоит вопрос в автораспространении, учитывая таргетинг на аудиторию. keybtc@gmail.com довольно устаревшая версия, есть гораздо новее версии, они выйдут в свет чуть позже и не там, где их ждут.

-Есть какой-то способ обезопасить свои компьютеры от вас? Вирус работает на Mac?
-Резервные копии, облачные хранилища, антивирусы, минимальное ознакомление работников, правильная конфигурация оборудования. Нет, вирус не работает с Mac. Оболочка Windows есть оболочкой для вирусов.

-У вас есть что сказать простым людям?
-Убеждать и агитировать к спонсорству нашего бизнеса никто не будет. Вопрос заключается в принятии решения для конкретной особи. Вы должны установить баланс между затраченными усилиями на информацию, соответственно её ценности, и заплаченными средствами. Возможно стоит просто всю информацию восстановить путем повторной работы, хотя при этом можно потерять много нервов и времени (соответственно тех же денег). Иногда стоит принимать свои недочеты и ошибки в работе, нежели полностью сбрасывать вину на остальных.

Также стоит понимать, не стоит ждать от нас некой лояльности в работе (из за этот интервью). Все проходят один и тот же процесс. Работает система.

 

Я понял что начинаю "попадать". Cработал Norton Internet Security, я дернул (отключился от кабеля) локальной сети (на всякий случай).

Продолжение следует.

[Homer]

 

 

мышку давно уже ни кому не советую-изжила.

 

заразные?

[sergey_rad]

@Василич, что за плагины на проверку от вирусов? Thunderbird'ом недавно стал пользоваться, даж не знал, что плагины есть.

 

 

@Design_Nick, Самый главный для меня вопрос - вирус был в исполняемом файле? Или он может быть в *.doc в виде макросов? И чем опасны пришедшие на почту архивы, если они не самораспаковывающиеся?

[old_fox]

 

 

не у меня

 

Ты цитировал - тебе ответил.

А читать или писать - тут уж я как-нибудь сам, извини... 

[Василич]

@Василич, что за плагины на проверку от вирусов? Thunderbird'ом недавно стал пользоваться, даж не знал, что плагины есть.

плагин для проверки ссылок от DrWeb.он проверяет ссылки на файлы, но не прикрепленные(для этого должен быть установленный антивирус)

а так всевозможные плагины находятся тут

советую основные:

MinimizeToTray

ThunderBrowse.com

Signature Switch

Dr.Web LinkChecker

 

так же у меня к буревестнику привязан гугль календарь, очень удобно

[Курмаев]

В связи с такими вирусяками, как вариант, просить контрагентов присылать не архивы и вордовские документы, а пдфки. В них то вирусяки не появится, хотя я не настоящий сварщик. И вообще не сварщик.

[yellow_rabbit]

 

 

а пдфки

 

всякие аналитические зануды нашли бреши даже в формате jpg, т.е. открывая картинку можно вызвать запуск произвольного кода.

я тоже не настоящий сварщик.

 

 

любой архив сначала нужно проверить правильным антивирусом, имхо является ли Norton правильным антивирусом спросите у Andy

какой, по твоему мнению, антивирус, является правильным?

[Design_Nick]

Для внимательных: drweb добавил в базу этот вирус после того, как @Andy переслал им полученный мной вирус.

 

Мне пришел архив с Java скрипом.

 

Далее, pdf тоже не панацея. Даже хром, при сохранении pdf предупреждает о потенциальной опасности.

 

ПС. Я то вообще не настоящий Сварщик.

ПС2. DrWeb и сейчас не распознает архив как вирус. Только сам скрипт!

[Курмаев]

форум недосварщиков каких-то)))

 

внимательнее, вообщем, надо быть. Всем бобра)))

[Design_Nick]

Именно. Только внимательнее!

 

ПС. Бобра не надо.

[Design_Nick]

Оставил ноут на ночь на проверку Касперским… а он зараза через 20 минут после моего ухода по плану энергосбережения уснул! Эх.

 

Хочу выразить респект Dropbox, для тех кто его использует - может помочь.

Итак мой вопрос в ТП:

Добрый день.

 

Ситуация следующая: я пострадал от криптовируса. При начале шифрации данных вирусом я успел отключиться от своего эккаунта dropbox и файлы, находящиеся в эккаунте нормальные.

Файлы, находящиеся на HDD частично повреждены.

 

Каким образом я могу при синхронизации данных указать утилите dropbox, что при наличии разногласий по размеру или дате файлов считать верными файлы из dropbox?

 

Развернутый ответ из dropbox (справедливости ради прямого ответа я не услышал):

 

Привет Николай,

Спасибо за письмо в - мои извинения за вопросов, которые вы испытываете с потенциальным вируса. Вполне возможно, что ваш компьютер был заражен вредоносными программами, которые уже зашифрованном файлы заставляя их стать недоступными. К счастью, вы можете использовать Dropbox, чтобы легко отменить изменения, что это вредоносная программа, сделанные.

Чтобы восстановить предыдущие версии файла, пожалуйста, следуйте этим инструкциям:

    https://www.dropbox.com/help/11

Обратите внимание, что для восстановления файла необходимо сделать это в течение 30 дней с момента изменения, если вы не заплатили за функции Packrat.

При восстановлении файла вы также можете также проверить, какой пользователь и компьютер может быть заражен основе файла "предыдущей истории версий." Вы можете отсоединить этот компьютер, а затем сканировать на предмет вредоносного. Инструкции по отсоединить устройство с веб-сайта Dropbox здесь:

    https://www.dropbox.com/help/25

Если количество файлов для восстановления большой, Dropbox может помочь. Чтобы восстановить файлы, мы можем откатить состояние вашего Dropbox, чтобы до внесения изменений. Пожалуйста, перейдите на http://www.dropbox.com/events и выбрать события, которые показывают событий (я), где вредоносные программы зашифрованный файлов.

Подробные инструкции по получению правильные ссылки, пожалуйста, посетите:

    https://www.dropbox.com/help/400

(1) Если событие содержит изменения в нескольких файлах, пожалуйста, отправьте ссылку событий в этом формате: https://www.dropbox.com/event_details/####/####/#####/ где # 'ы все цифры. Пожалуйста, обратите внимание, что любой текст после третьего ряда чисел не должны быть включены в ссылке вы посылаете.

(2) Если событие произошло изменение в одном файле, то вы должны быть в состоянии восстановить файл самостоятельно, используя вышеуказанные инструкции.

(3) Если вредонос затронуты файлы в общей папке вам нужно будет предоставить ссылки для каждой общей папки, а также свою личную папку Dropbox.

После того как вы обеспечили надлежащие ссылки я могу быть уверен, чтобы отменить соответствующие события. Опять же, имейте в виду, из 30 дневного срока, если он относится к вам и избежать задержек.

Спасибо.

С уважением,

Сэм

-----------– 

Пожалуйста, простите нас за качество нашего перевода. Данный перевод был выполнен с помощью онлайн переводчика. Мы были бы рады поддерживать все возможные языки, но на данный момент не в силах сделать это. Вот английская версия:

 

Итого на сейчас:

1. Идет скачивание всех файлов из dropbox

2. Идет проверка Kaspersky Virus Removal Tool

 

После окончания я с помощью утилитки синхронизации проверю изменения старых файлов из dropbox и на компе.

[Влад]

Оставил ноут на ночь на проверку Касперским… а он зараза через 20 минут после моего ухода по плану энергосбережения уснул! Эх.

 

Не огорчайся Николай, это старинный прокол ноутбушников, у нас тож люди Гарант на ночь ставят на обновление и он засыпает, теперь мы в памятку добавили фразу, отключите спящий режим при работе от сети.

[Vuru]

 

 

он зараза через 20 минут после моего ухода по плану энергосбережения уснул!

 

ты запусти нова. Он предложит продолжить проверку

[Design_Nick]

@Влад, да жаль потерянного времени Но не смертельно.

 

@Vuru, ты не понял. Ноутбук уснул Я его разбудил и проверка продолжается.

[Vuru]

 

 

Я его разбудил и проверка продолжается.

 

а. Ну да. Не так понял

[Yustik]

Все мои потери в виде удаленных файлов. Попробовал восстановить Starus File Recovery 3.2, но файлы не читаются.

R-Studio можно попробовать

[Design_Nick]

@Yustik, да я думаю что эти удаленные файлы уже зашифрованы, потому и не открываются.

[Василич]

я думаю что эти удаленные файлы уже зашифрованы, потому и не открываются.

а если выслать зашифрованный файл касперскому, а если еще и оригинал этого файла, то шанс того что будет подобран код для расшифровки очень большой!!!

в том году был такой же примерно случай от наших конкурентов, неопытная девушка бухгалтер взяла и запустила такой файл))) в итоге все договора и бухгалтерия превратились в головную боль. 3 бессонных ночи, но все удалось восстановить.отсылал зашифрованные файло в службу касперского,сообщили что может занять время(с намеком что долго возиться ни кто не будет), попросили найти оригинал хоть какого нибудь файла.в 3 часа ночи звонит директор и говорит что на флешке как то переносил один договор, но он удален))ночь в надежде его восстановить. в восьмом часу все таки удалось восстановить один договор, найти его зашифрованную копию и выслать касперам... в итоге через 4 часа получаем заветный ключь...день на восстановление в плавно переходящий в попойку.

в итоге на фирме новый бухгалтер, у бухгалтера и у директора по буку+у меня теперь есть работа по вечерам в определенные дни по резервному сохранению базы...

эх такой бы файлик сейчас отослать нашим "бывшим" конкурентам   а то пади давно коллективно не пировали

[yellow_rabbit]

 

 

а если выслать зашифрованный файл касперскому, а если еще и оригинал этого файла, то шанс того что будет подобран код для расшифровки очень большой!!!

 

мои прошлые 3 раза не помогли.

[ChelSI]

может и гармошка конечно, но все же

 

 

 

 

Эксклюзив: Создатели нашумевшего трояна отвечают на вопросы Артема Бардижа

Если вы пропустили историю про этот супер-вирус, то ее можно прочитать вот здесь (она в двух частях). Вирус уже заразил тысячи компьютеров по всей стране. Если кратко, то вирус шифрует все личные личные файла на компьютере.

 

Так как я сам попал под это мошенничество, у меня накопилось множество вопросов к «разработчикам». Не поленившись, я нашел контакты этой хакерской группы, и задал их им. Если вы хотите тоже у них что-нибудь спросить, то вот их адрес: BM-NBQtPZpj4vKeGfSNq4em8j8zjcHRPTKf (BitMessage), гарантии, что они ответят нет.

 

Я понимаю, что после публикации этого материала, вероятно, ко мне будет множество вопросов от правоохранительных органов. Все мои контакты есть в моем блоге (ссылка в конце поста), но я уверяю вас, все что здесь опубликовано, эта вся информация которая у меня есть.

 

Итак, поехали. Полужирным шрифтом выделены мои вопросы. Орфографию ответов сохранил.

 

 - Артем, логично полагать, что на большинство вопросов мы не ответим в полной мере, так как это может нести некого характера слив информации.

 

-Как мне вас называть?

 

-Как угодно. Господа злоумышленники. Вы.

 

-Вы один человек или группа людей?

 

-(пусто)

 

-Откуда вы? (хотя бы страна или континент).

 

-Вопрос в том, откуда или где находимся. К сожалению для пользователей, мы не новички, а это означает большой нанесённый ущерб. Адекватно оценив ситуацию, находится на одном месте не есть правильным. Путешествуем, скажем так.

 

-Что такое keybtc?

 

-Для восстановления данных по факту нужны две составляющие. BitCoin и Private.key. «Получи ключ за btc». После оплаты ключи отправляются. Иногда с задержкой, так как есть фактор загрузки работы робота-автоответчика.

 

-Правильно ли называть этот вирус bat.encoder.23? Это ваша разработка или вы ее где-то позаимствовали?

 

-Многократно был опубликован его открытый код, любой может его под себя отредактировать. Господа злоумышленники специально код не прячут, так как для правоохранительных органов будет гораздо сложнее найти начальную точку отправления зловреда.

 

-Объясните обывателям, что делает вирус? На собственном опыте могу сказать, он изменил все документы (Word, Excel) на 2-х компьютерах, точнее поменял расширение и как-то зашифровал их. Теперь их невозможно открыть.

 

-Исходя из детальной инструкции, которую получают наши «клиенты» цитирую:

 

1.3. Проведем паралель работы вируса-шифровальщика на примере материального предмета (=Вашего файла)

 

Вирус берет Ваш чемодан с документами.

 

Используя 1024 битный ключ выполняет его шифрование(это не кладет его под замок-оболочку, нет).

 

Вирус перетирает содержимое в пыль, фактически затирая и перезаписывая каждый байт данных

 

Вы сможете из пыли собрать чемодан с документами? Нет.

 

Восстановить данные можно имея только специальный ключ.

 

Взломать/подобрать/восстановить данный ключ невозможно

 

Представьте себе архиватор WinRar или 7-zip. Архивируя данные под пароль, Вы используете симметричный ключ. Им шифруете данные, им же и дешифруете их.

 

Ассиметричное шифрование основано на принципе Публичного ключа и Приватного ключа. Зашифровывается одним, дешифровывается другим. На этом построен весь принцип работы.

 

Главный Приватный ключ находится только у нас, а на подбор его не хватит человечеству времени. К тому же он 2048 битный. Итого мы имеем нулевые шансы на восстановление данных без приватной части ключа.

 

-Интересна работа антивирусов. Avast пропустил ваш вирус, читатели так же пишут, что и NOD 32 поступает так же. А вот dr.web и Kaspersky заблокировал ссылку. Это случайность, или какие-то антивирусы лучше работают?

 

-На самом деле, на момент начала распространения шифровальщика keybtc не обнаруживали его ни Kaspersky ни Dr. Web

Скрипты с открытым кодом легко поддаются обфусцированию. По факту через часов 15-20 начинаются понемногу реакции, но скажем честно, это никак не влияет на количество «установок», так как пользователи если и имеют антивирус, чаще всего он даже не активирован, даже в компаниях. А бывают случаи, когда письмо «от директора по поводу изменения распорядка рабочего дня» заставляет отключить антивирус.

 

-Это ваша первая «разработка» или вы давно этим занимаетесь?

 

-Да, это наша первая разработка.. Да, занимаемся этим давно ;-)

 

-Когда вы запустили в сеть bat.encoder.23?

 

-Подобная информация есть в антивирусных лабораториях. Конец июля.

 

-Мне интересно, сколько времени вы потратили на все это? Ведь вы подготовились очень хорошо, чувствуется, что делали не на коленке.

 

-Довольно долго. В любом случае, рынок настолько велик, что читать данный блог будут в основной массе только пострадавшие, поэтому скрывать нечего.

 

Основное время занимает грамотное составления писем, формирование адресатов, обход анти-спам фильтров. А обходятся все на ура. Яндекс пишет — «почта без спама». Как раз на Яндекс заходит лучше всего, труднее всего доставляется на mail.ru (не то что в спам падают, у них даже от легитимных адресатов письма часто не доходят. Почитайте о антиспаме mail.ru на хабре).

 

Вопрос не в сложности кода, а в его применимости в конкретной ситуации. В основном мы используем доверенные утилиты для меньшего обнаружения антивирусами. Так сложнее бороться с зловредом.

 

-А вы располагаете данными, сколько компьютеров вы заразили?

 

-Конечно, у нас подключена подробная статистика с графиками. Статистика формируется при работе вируса на компьютере жертвы. Статистика позволяет проводить анализ.

 

Статистика касается как установок, так и прочитавших/открывших вложения на разную тематику. Затем происходит анализ результатов, начинаем понимать какой рынок на что лучше реагирует. Иногда автораспространения вируса выходит за пределы целевой аудитории, на программном уровне это регулируется.

 

-Я понимаю, что вопрос некорректный, но все же задам. Сколько денег успели заработать?

 

-(пусто).

 

-Вы принимаете к оплате только биткоины. Получается наше правительство право, что хотят запретить эту валюту?

 

-Подобных форков много, криптовалюта не в интересах нашего государства. В интересах нашего государства полный контроль всего. Криптовалюта позволяет совершать анонимные платежи, которые не контролируются центральным органом. К тому же, разумно многократно использовать разные миксеры при выводе средств (прим. в сети Tor). Доказать что средства тебе пришли в результате подобной деятельности практически невозможно. Итого: правительство работает в своих интересах. К 2015 году планируют ввести уголовное за использование криптовалют.

 

-Меня поразило то, что за дешифровку, вы не берете деньги с тех людей, кто не в состоянии вам заплатить. Почему так?

 

-Есть свои взгляды и принципы. Вирус в основном нацелен на компании, а не частных людей. Глупо полагать, что во всем полностью виноват сотрудник. Виноват отдел или СЕО, так как не уделили должного внимания информационной безопасности. Ты можешь быть отличным бухгалтером, но не знать даже основ информационной безопасности — это нормально. Прискорбно читать, когда сотрудника увольняют за то, что он открыл письмо от их же зараженного клиента о просьбе выслать ему счет-фактуру. Платить должна компания, в любом случае.  К сожалению, учитывая вышенаписанное письма на почте keybtc не читаются (жалобы что уволили и прочее). С писем на почте принимается к обработке только адресат и вложения. Затем вложения проходят многослойную фильтрацию, затем производится анализ, генерация счета, формирование письма, вносится в базу данных, формируется письмо и отправляется результат. Система паралельно проверяет платежи, как платеж поступил — автоматически отправляется ключи на дешифрование.

 

-А много таких людей? (У кого нет денег на дешифровку).

 

-На данный момент мы читаем письма только в сети BitMessage. В целом, подобных людей не много. В любом случае, мы имеем полную информацию о зараженных компьютерах, соответственно можем проанализировать владельца, ценность информации, иногда даже его платежеспособность. Индивидуальный подход позволяет существенно увеличить доходность.

 

Вопрос в том, что многие люди не испытывают особого доверия к нашему ценообразованию.

 

-По сети гуляют разные суммы, одни пишут, что вы высылаете дешифратор за 1000 рублей, другие, что за 150$. У вас фиксированная ставка, или решается в индивидуальном порядке?

 

-Нет, подобных сумм в 1000 рублей или 150 долларов никогда не было. Цену формирует робот. Он анализирует компьютер пострадавшего, в зависимости от этого выставляется стоимость.

 

Стоимость формируется по 17-ти разным факторам. Уникальные случаи проверяются человеком. Цена не берется с потолка — это точно.

 

-Вы используете CRM для учета “клиентов”? Бывают ли сбои, что люди платят, а в ответ ничего не получают?

 

-Ведем базу данных. Нет, не бывает подобных случаев. Вполне логично полагать, учитывая большое количество зараженных машин, большой объем проделанной работы, автоматизированная система будет отправлять ключи. Если бывают некие казусы, мы сами заинтересованы в их решении, обычно казусы обсуждаются в BitMSG.

 

Вполне логично полагать, что если 1 человек, заплативший 200 рублей за дешифровку всему интернету расскажет что мы обманщики. Поэтому это не в наших интересах.

 

Человек в любом случае получает после оплаты ключ и необходимое ПО, а если не получит — он вправе рассказать это всей сети Интернет. Абсолютно согласны. Мы никак не реагируем на остального рода угроз.

 

-А вам не стыдно заниматься таким “бизнесом”?

 

-Подобным занимаются и политики и большие бизнесмены — вытягиванием денег с населения. Только их никто не винит. Президент США продает оружие на млрд $. Он способствует убийству миллионов людей и при этом его в этом никто не обвиняет

 

Как найдется один человек, скрыто производящий оружие, тут уже все новости кричат, что он способствует убийству сотен наших детей и его нужно наказать. Тут вопрос в сравнении с чем? Вы представляете, люди у нас просятся на работу, что бы работать и получать больше. Вот до такого состояния наше государство доводит население. Вы думаете, если анонимно предложить получать 50 тыс $ в месяц определённой группе людей, при этом не делать того, что наносит непосредственный урон здоровью другим, они не согласятся? Да больше 90% будут согласны, вопрос в том, в состоянии ли они это делать. Наши идут за меньшие деньги убивать людей.

 

-Вероятно, что после публикации этого интервью, ко мне придут из соответствующих органов. Не боитесь разоблачения?

 

-(пусто)

 

-Если я правильно понимаю, можно не платить вам, достаточно дождаться дешифратора от антивирусной компании? Если они его сделают.

 

-Некие товарищи опубликовали в открытый доступ те самые приватные ключи для дешифрования KEY.PRIVATE от почт paycrypt и еще каких-то. Это предоставило отличную возможность антивирусным лабораториям (таким как Dr Web & Kaspersky) подзаработать на лицензиях при обращении в ТП. У keybtc подобных планов (отправка приватной части) нет и не будет.

 

-Как часто Вы обновляете/дополняете вирус?

 

-Сейчас стоит вопрос в автораспространении, учитывая таргетинг на аудиторию. keybtc@gmail.com довольно устаревшая версия, есть гораздо новее версии, они выйдут в свет чуть позже и не там, где их ждут.

 

-Есть какой-то способ обезопасить свои компьютеры от вас? Вирус работает на Mac?

 

-Резервные копии, облачные хранилища, антивирусы, минимальное ознакомление работников, правильная конфигурация оборудования. Нет, вирус не работает с Mac. Оболочка Windows есть оболочкой для вирусов.

 

-У вас есть что сказать простым людям?

 

-Убеждать и агитировать к спонсорству нашего бизнеса никто не будет. Вопрос заключается в принятии решения для конкретной особи. Вы должны установить баланс между затраченными усилиями на информацию, соответственно её ценности, и заплаченными средствами. Возможно стоит просто всю информацию восстановить путем повторной работы, хотя при этом можно потерять много нервов и времени (соответственно тех же денег). Иногда стоит принимать свои недочеты и ошибки в работе, нежели полностью сбрасывать вину на остальных.

 

Также стоит понимать, не стоит ждать от нас некой лояльности в работе (из за этого интервью). Все проходят один и тот же процесс. Работает система.

 

Конец.

 

Поделитесь этим постом с друзьями. Возможно это спасет их данные.

 

Этот пост стоит и в моем блоге. Там есть все мои контакты.

 

 

сдернул тут http://apps.plushev.com/2014/08/14/2829/ 

[killer-x]

Серега на первой странице это превью было уже

[mishkgun]

 

 

Василич сказал(а) 27 Авг 2014 - 12:18: а если выслать зашифрованный файл касперскому, а если еще и оригинал этого файла, то шанс того что будет подобран код для расшифровки очень большой!!!   мои прошлые 3 раза не помогли.

 

именно так.

у нас была копия недельной давности.

соответственно высылали файлы парами.

зашифрованный и нормальный.

не помогло.

[Yustik]

именно так.

у нас была копия недельной давности.

соответственно высылали файлы парами.

зашифрованный и нормальный.

не помогло.

недельная давность - куча различий, можно считать, что совсем другой файл

[mishkgun]

 

 

недельная давность - куча различий, можно считать, что совсем другой файл

 

неа, специально подбирали файлы которые не менялись.

фотки,  документы старые.

не смогли сделать дешифратор.

о, у меня 3 333 сообщения надо обмыть

[Yustik]

неа, специально подбирали файлы которые не менялись.

фотки,  документы старые.

не смогли сделать дешифратор.

тогда уточнение про недельную давность излишне

воюем сейчас с парой шифровальщиков, пока тоже безуспешно

[LeXXX]

вчера был подвегнут атаке . с разных имен пришло 5 писем с одним содержанием. открывать не стал.

во всех письмах файл 164-165кб под названием "Avito.com _zakaz ot avito.com_18137.rar"

Изменено 3 сентября, 2014 пользователем LeXXX