суббота, 30 мая 2015 г.

Locker 2015

Locker Ransomware

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. На уплату выкупа давалось 72 часа, после чего сумма выкупа увеличивалась до 1 биткоина. Название оригинальное. На экранах блокировки отображались версии со случайными номерами: Locker 1.7, 1.91, 2.62 и 2.89. 

© Генеалогия: не указана.

К зашифрованным файлам никакое расширение не добавлялось. Во всяком случае, источник его не указал. 

Активность этого крипто-вымогателя пришлась на конец мая 2015 г. (с 25 по 30 мая). Ориентирован был на англоязычных пользователей. 

30 мая 2015 г. разработчик Locker Ransomware выпустил дамп всех закрытых ключей дешифрования вместе с извинениями. 
I'm sorry about the encryption, your files are unlocked for free. Be good to the world and don't forget to smile.
Перевод на русский: 
Я сожалею о шифровании, ваши файлы будут разблокированы бесплатно. Будьте добры к миру и не забывайте улыбаться.

Он также написал 2 июня, что если у кого-то из пользователей ещё имеет место эта инфекция, то будет бесплатно выполняться автоматическая расшифровка зашифрованных файлов. Когда закрытые ключи дешифрования стали доступны, специалистами BleepingComputer был создан декриптор Locker Unlocker для бесплатной дешифровки файлов. 

Записками с требованием выкупа выступал экран блокировки с заголовком Locker v1.7. Я соединил четыре скриншота с окнами в один с анимацией. 

Содержание текста о выкупе:
***
Перевод текста на русский язык:
***

Устанавливался в качестве шифровальщика-вымогателя с помощью Trojan.Downloader, ранее загруженного и тайно установленного в качестве службы Windows в C:\Windows\SysWow64 со случайным именем файла, например, solaraddtogs.exe или twitslabiasends.exe. Известные случаи установки через взломанную версию Minecraft - файл MinecraftChecksumValidator.exe. 

Распространяться мог с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примечательно, что при поиске файлов для шифрования Locker искал только расширения, написанные в нижнем регистре и использовал регистрозависимое сравнение строк, таким образом файлы с расширением .jpg шифровались, а файлы с .JPG - не шифровались. 

Locker Ransomware завершал работу следующих запущенных процессов:
wireshark, fiddler, netmon, procexp, processhacker, anvir, cain, nwinvestigatorpe, uninstalltool, regshot, installwatch, inctrl5, installspy, systracer, whatchanged, trackwinstall

Locker сканировал все буквы дисков на компьютере, включая съемные диски, сетевые ресурсы и подключенные хранилища Dropbox. 

Удалял теневые копии файлов командой:
vssadmin.exe delete shadows /for=C: /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы и папки, связанные с этим Ransomware:
C:\ProgramData\Steg\
C:\ProgramData\Steg\steg.exe
C:\ProgramData\rkcl
C:\ProgramData\rkcl\ldr.exe
C:\ProgramData\rkcl\rkcl.exe 
C:\ProgramData\-
C:\ProgramData\Tor\ 
C:\ProgramData\Digger
C:\Windows\SysWow64\<random>.exe
C:\Windows\SysWow64\<random>.bin 
C:\Windows\SysWow64\<random>.dll
C:\Windows\System32\<random>.bin

В папке rkcl находятся файлы:
data.aa0 - содержит список зашифрованных файлов;
data.aa1 - назначение неизвестно;
data.aa6 - уникальный Bitcoin-адрес жертвы;
data.aa7 - ключ RSA, но не ключ дешифрования;
data.aa8 - содержит номер версии Locker;
data.aa9 - дата запуска вымогателя на ПК;
data.aa11 - назначение неизвестно;
data.aa12 - назначение неизвестно;
priv.key - содержит закрытый ключ дешифрования, который можно использовать для дешифровки файлов; появляется только после уплаты выкупа.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Kaspersky Application Advisor >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (n/a)
 Write-up 
 *
 *
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 25 мая 2015 г.

ToxCrypt, Tox

ToxCrypt Ransomware

Tox Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES и библиотеки Crypto ++, а затем требует выкуп в 0.23 биткоина, чтобы вернуть файлы обратно.  Для генерации ключей шифрования используется Microsoft CryptoAPI. К зашифрованным файлам добавляется расширение  .toxcrypt. Подробно описан TrendMicro в мае 2015 года. 

Записка о выкупе называется tox.html

  Распространяется ToxCrypt в виде вложений в email-спам под видом Word-документа, используя его значок. Но на самом деле там файл с расширением .scr. После запуска Tox будет загружать TOR и другие файлы в C:\Users\ User_Name\AppData\Roaming\. 

  В браузере TOR откроется специальный сайт Toxicola, где будет предложено подключиться к партнерской программе по распространению этого вымогателя и получить 70% от выкупа, тогда как разработчик получит только 30%. Свежеиспеченный партнер будет также нести ответственность за его распространение. У них также есть чат, где партнеры общаются между собой. 

Установленные фалы вымогателя: 
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\tox.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Tox.scr
%AppData%\tor\
%AppData%\tor\cached-certs
%AppData%\tor\cached-microdesc-consensus
%AppData%\tor\cached-microdescs.new
%AppData%\tor\lock
%AppData%\tor\state
%AppData%\tox.log
%AppData%\tox_tor\
%AppData%\tox_tor\Data\
%AppData%\tox_tor\Data\Tor\
%AppData%\tox_tor\Data\Tor\geoip
%AppData%\tox_tor\Data\Tor\geoip6
%AppData%\tox_tor\Tor\
%AppData%\tox_tor\Tor\libeay32.dll
%AppData%\tox_tor\Tor\libevent-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_core-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_extra-2-0-5.dll
%AppData%\tox_tor\Tor\libgcc_s_sjlj-1.dll
%AppData%\tox_tor\Tor\libssp-0.dll
%AppData%\tox_tor\Tor\ssleay32.dll
%AppData%\tox_tor\Tor\tor.exe
%AppData%\tox_tor\Tor\zlib1.dll
%AppData%\tox_tor\tor.zip

Список файловых расширений, подвергающихся шифрованию:
 .3fr, .3gp, .accdb, .aep, .aepx, .ai, .arw, .asf, .asp, .aspx, .bay, .blend, .bmp, .cad, .cdl, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dss, .dwg, .dxf, .dxg, .eml, .eps, .erf, .hpp, .indd, .java, .jpe, .jpeg, .jpg, .js, .kdc, .mdb, .mdf, .mef, .mrw, .mswmm, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pps, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .ptx, .pub, .py, .qbb, .qxd, .r3d, .raf, .raw, .rmvb, .rtf, .rw2, .rwl, .sit, .sitx, .sql, .sr2, .srf, .srw, .ss, .swf, .tif, .txt, .veg, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml (112 расширений). 

Степень распространенности: средняя.
Подробные сведения собираются. 

пятница, 1 мая 2015 г.

AlphaCrypt

AlphaCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  TeslaCrypt 2.x  > AlphaCrypt

К зашифрованным файлам добавляется расширение .ezz

Активность этого крипто-вымогателя пришлась на май 2015 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает текстовый файл, экран блокировки и изображение, встающее обоями Рабочего стола:
HELP_TO_SAVE_FILES.txt
HELP_TO_SAVE_FILES.bmp 


Другим информатором жертвы выступает платежный сайт для Alpha Crypt, который называется Alpha Tool Decryption Service.

Содержание текста о выкупе:
Your personal files are encrypted!
Your files have been safely encrypted on this PC: photos, videos, documents, etc.
Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files...
In order to decrypt the files press button to open your personal page
[File decryption site] and follow the instruction.
in case of "File decryption button" malfunction use one of our gates:
xxxx://qcuikaiye577q3p2.s24f53mnd7w31.com
xxxxs://qcuikaiye577q3p2.tor2web.blutmagie.de
Use your Bitcoin address to enter the site:
15y9NZv59SFbg1zG6iZ5rYALQGJNcbHi24
[Click to copy address to clipboard]
if both button and reserve gate not opening, please follow the steps:
You must install this browser www.torproect.org/proects/torbrowser.html.en
After instalation, run the browser and enter address 3kxwjihmkgibht2s.onion
Follow the instruction on the web-site. We remind you that the sooner you do so, the more chances are left to recover the files.
Any attempt to remove or corrupt this software will result in immediate elimination of the private key by the server. 
[Click for Free Decryption on site]
[Show files] [Enter Decrypt Key]

Перевод записки на русский язык:
Ваши личные файлы зашифрованы!
Ваши файлы были надёжно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Нажмите кнопку "Show encrypted files", чтобы просмотреть полный список зашифрованных файлов, и вы можете лично убедиться в этом.
Шифрование было создано с использованием уникального открытого ключа RSA-2048, сгенерированного для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ после периода времени, указанного в этом окне.
Когда это будет сделано, никто никогда не сможет восстановить файлы...
Чтобы дешифровать файлы, нажмите кнопку, чтобы открыть свою личную страницу.
Нажмите [File decryption site] и следуйте инструкциям.
при несрабатывании "File decryption button" используйте один из наших входов:
xxxx://qcuikaiye577q3p2.s24f53mnd7w31.com
xxxxs://qcuikaiye577q3p2.tor2web.blutmagie.de
Используйте свой Bitcoin-адрес для входа на сайт:
15y9NZv59SFbg1zG6iZ5rYALQGJNcbHi24
[Click to copy address to clipboard]
если обе кнопки и резервные входы не открываются, выполните следующие действия:
Вы должны установить этот браузер www.torproect.org/proects/torbrowser.html.en
После установки запустите браузер и введите адрес 3kxwjihmkgibht2s.onion
Следуйте инструкциям на веб-сайте. Напоминаем, что чем раньше вы это сделаете, тем больше шансов восстановить файлы.
Любая попытка удалить или испортить эту программу приведёт к немедленному удалению сервером закрытого ключа.
[Click for Free Decryption on site]
[Show files] [Enter Decrypt Key]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (Angler EK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Когда Alpha Crypt шифрует файл, он сначала копирует его, шифрует копию и удаляет оригинал. Благодаря этому можно использовать ПО для восстановления файлов, такое как GetDataBack, R-Studio, Photorec и другие, чтобы восстановить некоторые из ваших исходных файлов. 

AlphaCrypt, разработан параллельно с TeslaCrypt, однако принцип его действия соответствует функционалу Cryptowall 3.0.

В него добавлены некоторые улучшения, в частности, возможность удаления теневых копий файлов командой:
vssadmin.exe delete shadows /all /Quiet

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt .sql, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (186 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_TO_SAVE_FILES.txt
HELP_TO_SAVE_FILES.bmp 
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1H66iejHkDY9SZJRrFrnhLjHff6MRMhKu6
15y9NZv59SFbg1zG6iZ5rYALQGJNcbHi24
1376QscZ5svHVpasrFcinn3jZn7nAfRdvi
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support, Malware-traffic-analysis
 Write-up 
 Thanks: 
 Brad Duncan
 Lawrence Abrams
 Webroot blog
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton