Криптовымогатель-обманщик Ranscam просто удаляет файлы, ничего не шифрует



    Криптовымогатели сейчас повсюду. Программы, шифрующие файлы пользователя, а затем требующие выкуп за расшифровку данных приносят большие деньги своим создателям. Среди такого рода программного обеспечения есть поистине гениальные программы. Во многих случаях разработчики таких зловредов выполняют обещание: если пользователь платит, он получает ключ для расшифровки файлов. Но так бывает далеко не всегда — иногда ключ после оплаты и не приходит.

    Случается и так, что нет не только ключа, но и файлов. Ranscam — зловред, который только притворяется криптовымогателем. ПО делает вид, что файлы зашифровываются, хотя на самом деле все, что пользователь видит на экране — командная строка со списком удаляемых файлов. Как только файлы удаляются, программа показывает всплывающее окно с требованием заплатить деньги за получение ключа шифрования.



    В появившемся информационном окне пользователь видит сообщение о том, что все файлы перенесены на скрытый раздел диска и зашифрованы; все важные программы заблокированы; компьютер не сможет работать нормально. Также указывается, что при проведении платежа в биткоинах все вернется на свои места — пользователь получит свои файлы обратно.

    Чуть ниже в окне размещается поле, куда нужно вводить свои данные после совершения платежа. Зловред якобы должен «проверить» платежные данные жертвы. При этом говорится, что нажатие на кнопку без проведения платежа чревато полным удалением всех файлов. Все, что делает это ПО — выполняет HTTP GET запрос для получения PNG картинок, демонстрирующих пользователю процесс верификации. На самом деле программа ничего не проверяет.

    Кроме того, оплата не поможет — все файлы удаляются криптовымогателем при заражении ПК. Автор же зловреда пытается обмануть жертву, чтобы та заплатила деньги. Само программное обеспечение довольно простое — над ним явно поработали не слишком опытные злоумышленники.

    На компьютер пользователя вирус проникает в виде исполняемого .NET файла. Файл подписан цифровым сертификатом, выданным reca[.]net. Дата выдачи сертификата — 6 июля 2016 года.



    Когда жертва открывает файл, ПО выполняет несколько действий. Сначала программа копирует себя в %APPDATA%\, а также прописывается в автозагрузке. Кроме того, она распаковывается в %TEMP%\.





    Программа создает и запускает исполняемый файл, который находит ряд папок в системе жертвы, и делает вид, что «шифрует» эти файлы. На самом деле все безвозвратно удаляется.



    Зловред в этом случае полностью оправдывает свое название, поскольку выполняет еще ряд действий, убивающих систему пользователя:
    • Удаление всех файлов Windows, отвечающих за резервное копирование данных (System Restore);
    • Удаляет теневые копии;
    • Удаляет ряд ключей реестра, отвечающих за запуск системы в Safe Mode.

    После всего этого система запрашивает JPEG файл для демонстрации сообщения о необходимости внесении оплаты за расшифровку файлов.



    Как только все это выполнено, скрипт выключает компьютер. Все шаги, описанные выше, будут выполняться каждый раз при включении ПК. И каждый раз зловред удаляет все новые и новые файлы и показывает сообщение о необходимости заплатить



    Вот список файлов, которые загружаются при работе Ranscam с сервера злоумышленника. Он даже не потрудился обфусцировать данные.

    Специалисты по информационной безопасности, изучающие зловреда, отправили по указанному в сообщении вируса адресу e-mail. «Жертва» запросила помощи у создателя вируса, рассказав, что не смогла выполнить правильно транзакцию с Bitcoin. Почти сразу после запроса пришел ответ.



    Последовала еще одна просьба помочь: «Я ничего не понимаю в этих штуках. Я не понимаю, что все это значит или сколько стоит, но я хочу заполучить свой компьютер обратно. У меня много фотографии моей семьи и я не могу и просмотреть. Есть ли какое-то место, куда я могу отправить мои данные, или, возможно, есть номер телефона, по которому можно позволить, чтобы вы мне помогли? Я не знаю, что я сделал, но компьютер моей дочери не показывает это гадкое сообщение, что я должен делать? Пожалуйста, помогите вернуть мои фото, они важны!».

    Спустя пару часов после запроса злоумышленник прислал ответ, где дал подробную инструкцию по оплате. После этого автор вируса не стал продолжать общение. Тем не менее, он предоставил тот же адрес кошелька Bitcoin, который был указан в информационном окне, показываемом вирусом. Этот адрес 1G6tQeWrwp6TU1qunLjdNmLTPQu7PnsMYd. Эксперты, изучающие проблему, проверили транзакции по этому кошельку, и увидели, что общая сумма переведенных средств достигает уже $277.61. Правда, эти деньги поступали на кошелек раньше, до 20 июня. После этой даты нет ни одной транзакции.

    Пока что этот зловред не слишком распространился. Ranscam может быть одним из первых зловредов, чьи создатели не хотят выполнять лишнюю работу, а хотят только денег. Зачем создавать сложный криптовымогатель, тратить время и средства на его создание, если можно замаскировать под него обычный вирус, который удаляет файлы и требует деньги? Вопрос риторический.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 47

      –2
      Это уже просто свинство — удалять файлы и требовать деньги. А жертвы куда смотрят? Неужели ещё есть люди, считающие что антивирус «совсем не нужное ПО, лишь жрущее ресурсы компьютера»?
      • UFO just landed and posted this here
          +1
          Вирус, удаляющий файлы без вымогательства, не даёт ложной надежды на благополучный исход. Так же, вымогатель, не удаляющий файлы не наносит столь много вреда. Эту ситуацию можно сравнить с такой ситуацией, когда подходит гопник в подворотне и говорит:«Дай денег или я тебя пристрелю!». Потерпевший, конечно, согласится откупиться, но гопник все равно его убивает. Многие скажут:«Файлы на компьютере не корректно сравнивать с человеческой жизнью». Но ведь бывает информация, от которой может зависеть жизнь человека, как, например, в больницах. И бекапы, делают далеко не все.
          Обсуждаемый вымогатель поступает чрезмерно подло.
          • UFO just landed and posted this here
              0
              В том-то и дело, что от независимых этого вполне можно ожидать. При устранении последствий набега заразы, выяснится что налетчиков было двое. Конечно, сильно легче от этого не станет, но все же.
          –1
          Антивирус — это в первую очередь куча дополнительных дыр в безопасности, причем на таком уровне, откуда вся система доступа как на ладони
            0
            Я так считаю. Зачем он мне, если я на соответствующей машине только Steam и Origin запускаю?
              0
              А Steam и Origin таки без дыр? Я, конечно, дилетант в вопросах информационной безопасности, но считаю что 100% гарантии защиты от вирусов не может быть, за исключением, может быть систем, в которых отсутствуют подключение к сети и съемные носители. Но даже в этом случае вирус может содержаться в ПО изготовителя этой системы. Поэтому я считаю — антивирус нужен. Но это моё параноидальное ИМХО.
                0
                В худшем случае переустановлю Windows. Под игры всё равно физически отдельная машина.

                А так-то ведь дыра и в антивирусе оказаться может. Причём, у антивируса-то привилегии повыше, чем у игрушечек, грустнее будет.
                  0
                  Согласен с Вами полностью. Я сам очень долгое время жил без антивирусов. Периодически, конечно, проверял сканером. Удивительно, но лет за пять не было ни одной заразы, не смотря на посещение различных файлопомоек и прон-сайтов. Антивирус активно стал использовать, когда вирус пожрал очень важную информацию на компе.
            0
            Откровенно раздражают люди которые считают что ПК — шайтан коробка, «ничего не хочу знать, я хочу чтобы это работало» а чуточку разобраться в своем инструменте, больше чем запуск ярлычков со стола, не никак.
              +6
              Привыкайте. ПК давно превратился из забавы для гиков в бытовую технику. Тоже самое можно сказать про автомобиль, стиральную машину и телефон. И да, лично я хочу, чтоб мой телефон умел звонить, выполнять прочие функции органайзера и т.п., но меня совершенно не радует обновлять прошивки, ставить софт и шаманить с размещением файлов на разных флэшках, чтоб все это могло взлететь.
                +4
                Я, в целом, с вами согласен. Но, в частности, если проводить параллели с автомобилем, среди массового автовладельца считается откровенным идиотизмом, например, брать в качестве пассажиров цыганский табор, уверяющий что они — три бедных студента из провинции. Да, все сорок, не считая танцующего медведя. И уж точно идиотизм при этом — дать медведю порулить. И пытаться заправить машину тем, что они приволокли с собой в здоровенной мутной бутыли, к горлышку которой намертво прилип остаток перчатки.

                Мы ведь не говорим о разработке софта, ремонте и плановом обслуживании железа — т. е. о том, чем занимаются профессионалы. Мы говорим о повседневной эксплуатации и соблюдении принципа, которого в человека начинают вбивать, как только он научился самостоятельно передвигаться по квартире: «Не трогай всякую гадость!»
                  0
                  Большинство таких троянов подхватывается через электронную почту, когда письмо озаглавлено например как «счёт из налоговой», а в качестве вложения прикреплён файл .doc.exe или doc.js.
                  Человек просто не осознаёт, что это гадость, т.к. он не знает, что такое расширение, а файлы различает по иконкам.
                    0
                    > Человек просто не осознаёт, что это гадость, т.к. он не знает, что такое расширение, а файлы различает по иконкам.

                    Об этом и речь, осознание и понимание такой банальной вещи как расширение файла — не удел профессионалов, это совершенно базовое знание, которое обязан (в идеальном мире) знать каждый. Об этом то и речь.
                      0
                      А многие ли знают про расширение .scr?
                    +1
                    Простите, но огромное количество людей просто не хотят напрягать свой мозг и нарушать привычный уровень комфорта, ибо банально не могут (не хотят) оценивать уровень риска. Вы тут говорите о каких то файлах, компьютерах, и прочей сложной материи, когда люди перебегают оживленные улицы на красный свет ( а то и вообще шоссе перебегают), не пристегиваются в машинах и несутся зимой на лысой резине 120 км/ч. Люди занимаются сексом с незнакомцами без средств предохранения и принимают внутрь огромное количество вещей на которых большими буквами написано «минздрав предупреждает».

                    Если уж это вбить не могут, начиная с малых лет, то что уж говорить о каком то интернете.
                  0
                  del
                  +10
                  Склонен полагать, что авторы криптовымогателей готовы прибить автора этой поделки в тёмном переулке. Ещё несколько таких зверей — и люди просто перестанут платить за расшифровку, считая затею бесполезной.
                    +5
                    Так он в какой-то степени еще и пользы приносит — обучает людей не вестись на такое. Перестанут вестись — отпадет смысл писать шифровальщики-вымогатели.
                      +1
                      Все точно не перестанут: доверчивые находятся. Но доходы у вымогателей упадут.
                      +2
                      Здесь на ГТ в обсуждении одного из криптовмогателей была следующая мысль: все эти вирусы честно расшифровывают данные, так как своеобразный бизнес, а отморозков никто и нигде не любит. Но стоит кому-то создать вирус, которые не расшифровывает и просто кидает, потому еще несколько раз — и платить им больше никто не будет. Таким образом будет сама тема закрыта.
                        0
                        Про это и речь — про подрыв устоев бизнеса. Хотя гарантий расшифровки в любом случае нет даже за деньги при обычном шифровании: нельзя утверждать, что, получив деньги, вымогатель сможет выслать ключ, а не заболеет/умрёт/окажется на нарах.
                          0
                          Значит «бизнесу» выгодно найти и покарать «паршивую овцу». Это было бы славно.
                            +3
                            Наоборот, было бы славно, если бы никто больше никогда не платил вымогателям, тогда и вымогатели сошли бы на нет.
                            Пока существует хоть один платящий вымогателям человек, вымогательство будет оставаться выгодным.
                            Так что это даже очень хорошо, если широкой общественности станет известно, что вымогатель удаляет файлы. Может быть научатся делать бэкапы и не платить вымогателям.
                            +1

                            Как раз я и предложил эту идею: если несколько популярных вирусов не будут ничего расшифровывать, то это обернётся крахом криптовымогателей и они перестанут плодиться с такой скоростью, т.к. профита не будет.
                            https://geektimes.ru/post/274264/#comment_9173562

                          0
                          Комманда (rmdir "%%i" /s /q || del "%%i" /s /q) просто удалит файлы и папки. Не безвозвратно. Их не сложно восстановить, в отличае от шифрованных файлов.
                            –1
                            >2016
                            >не хранить файлы в облаке
                              +3
                              >2016
                              >PRISM, Сноуден, Яровая, дыры, дыры, эксплойты
                              >хранить файлы в облаке

                              Бекапы надо делать, на отдельное устройство или два, а не лечить понос слабительным.
                                +1

                                В облако тоже можно, только защищать всё стойким ключом.

                                  0
                                  Разве что если шифровать у себя и отсылать в облако уже зашифрованным. Но тут подкрадывается ЕУЛА — берут и запрещают хранить в облаке зашифрованное и запароленное, для «борьбы с нелицензионным террористическим контентом» или по еще какой причине, и вся налаженная инфраструктура отправляется прямиком корзину.

                                  Единственное надежное облако — свое, поднятое на своей машине, желательно без доступа наружу в сеть, но тут чем больше у нас звеньев в цепи тем больше шанс что хоть одно да сломается. Бритва Оккама и все такое, наплодили сущностей.
                                    0

                                    Пока никто не запрещает хранить зашифрованные файлы, поэтому я складирую их в своё бесплатное 250 гиговое облако от яндекса. Вот когда запретят, то буду под это отдельно покупать железо и настраивать его, но сейчас особого смысла в этом нет, всё работает, да ещё и бесплатно для меня.

                                    • UFO just landed and posted this here
                                        +1
                                        Тоже реально, но думаю что в таком случае лучше просто сваливать, а то потом придет на почту письмо «мы случайно решили что у вас там шифрованные файлы и все стерли». ЕУЛА пользователей не защищает.
                                        • UFO just landed and posted this here
                                            0
                                            Надо бить на упреждение — валить туда, где с меньшим шансом будут бомбить, например в центральную Австралию. Я слышал там броде-бы даже был проект «гигабит в каждый дом» — для покрытия пустынного центра страны интернетами по оптике.

                                            А минус множества облаков — у каждого свои заморочки, пока нельзя просто по одному API сменить логин-пароль-урл и приконнектиться к другому облаку, плюс каждое тащит свое решето-софт в систему. В идеале бы какой открытый модульный враппер позволяющий легко и более-менее нативно пихать в линукс разные виды облаков в одинаковом виде, в утопичном варианте — одно API для работы с облаками.
                                          0
                                          Кто мешает владельцу сервиса автоматически пережать картинки и видео с потерями? Чтобы у пользователя было больше свободного места и он был счастлив!
                                          • UFO just landed and posted this here
                                      0
                                      А кому вы интересны, если вы не знаменитость, не преступник, и не красавчик который хранит свои обнаженные фото? =)
                                      Вопрос следует понимать буквально =)
                                        0
                                        Это как гигиена, можно и не мыть руки после туалета, но лучше таки мыть, и обучать этому с детства.
                                    0
                                    Спасибо автору сего творения.
                                    Криптовымогатели стали ужасом, потому что это очень удобный способ для злоумышленника получить деньги.
                                    Но появление криптовымогателей, которые ничего не восстанавливают — больно ударит по этому отлаженному бизнесу. А может быть, тьфу-тьфу-тьфу, даже убьет его.
                                      0
                                      Я считаю, что люди сведущие на такое не попадаются, а обычные пользователи не в курсе тенденций.
                                        0
                                        Ну конечно не попадаются. Постоянно проскакивают истории, о том как очередная организация попалась на криптовымогатель.
                                          +1
                                          Ещё как попадаются. Более того, даже были случаи, когда от таких криптовымогателей страдали пользователи Linux, у которых был установлен wine. Потому что последний при каждом запуске автоматически создаёт символьные ссылки на домашнюю директорию и ряд её поддиректорий, а заодно на примонтированные USB-диски. В итоге виндовый троян, загруженный вместе с игрой или кейгеном, спокойно криптует всю хомку.
                                        0
                                        [одеваю шапочку из фольги]
                                        Появление такого зловреда крайне выгодно производителям ПО систем безопасности и/или сервисным центрам по обслуживанию ПК и вредит авторам криптовымогателей. Первые получают деньги за прогон undelete, вторые — отказ малограмотных «терпил» от оплаты, ибо результат всё равно нулевой. По любому заговор
                                        [снимаю шапочку из фольги]

                                        А вообще, уж лучше это, чем сильная криптография. Надеюсь, у авторов хватит природной лени, чтобы не использовать wipedisk.
                                          0
                                          Читал про «нормальные» криптовымогатели,
                                          некоторые предоставляют функцию пробной расшифровки чтобы человек мог убедиться что ключ таки существует.
                                            0
                                            Это повышает «лояльность» жертвы, и шансы получить деньги увеличиваются.

                                          Only users with full accounts can post comments. Log in, please.