вторник, 17 ноября 2015 г.

Chimera

Chimera Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует все файлы, которые находит на всех подключенных дисках, а затем требует 0,939 биткоинов, чтобы вернуть файлы обратно. 

Зашифрованные файлы получают расширение .crypt

  После того, как файлы будут зашифрованы, Chimera отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как произвести оплату и получить ссылку на декриптер, который нужно запустить для расшифровки файлов, когда платеж будет сделал и вымогатель получит подтверждение. 

  Записки о выкупе называются: 
YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT

  На обои ставится изображением с именем <random>.gif
  Внизу html-сообщения можно видеть, что Chimera также набирает новых аффилиатов в партнерскую программу по распространению самой себя. 

Список файловых расширений, подвергающихся шифрованию:
.jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf (226 расширений). 

 Распространяется через email-спам, содержащий ссылки на веб-страницу Dropbox. В отличие от других вымогателей Chimera не использует Tor-сайт для управления платежами и загрузки декриптера. Вместо этого в качестве способа связи с разработчиком вымогателя используется Bitmessage, криптографический мессенджер для обмена сообщениями, использующий децентрализованную P2P-сеть. Bitmessage, как нельзя лучше подходит для обмена данными между компьютером жертвы и сервером управления вредоносного ПО разработчика. Преимущество Bitmessage в том, то его сеть работает по принципу шифрования всех входящих и исходящих сообщений каждого пользователя, используя сильные алгоритмы шифрования таким образом, что только получатель сообщения способен его расшифровать.

  Когда Chimera заражает ПК жертвы, он использует встроенное приложение PyBitmessage, чтобы отправить разработчику сообщение, содержащее следующую информацию: секретный ключ жертвы, ID "железа" машины и Bitcoin-адрес для оплаты. 

  Декриптер от вымогателей поставляется как msi-установщик. Он имеет понятный интерфейс и направляет жертву через весь процесс дешифровки файлов. 

  Когда пользователь загружает и устанавливает декриптер в папку C:\Program Files (x86)\Chimera Decrypter, вместе с ним ставится Bitmessage. После запуска Bitmessage работает в режиме ожидания поступления платежа на указанный Bitcoin-адрес. 

Подробности работы приложения и метод получения ключа от вымогателей опускаем. Желающие могут ознакомиться с ними самостоятельно в статье Лоуренса Абрамса.

Детект на VirusTotal >>>

Дополнение
Имеются сведения, что теперь расширение, добавляемое после шифрования, может иметь вид .[4 random characters] — случайный четырехбуквенный разнорегистровый код, например, MnDf, PzZs, RThY. 

Степень распространенности: низкая.
Подробные сведения собираются. 

воскресенье, 15 ноября 2015 г.

Troldesh, Shade

Troldesh Ransomware

Shade Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (CBC-режим), затем требует отправить на email вымогателя код из записки о выкупе, чтобы получить дальнейшие инструкции. В ответном письме сообщается сумма выкупа в сотнях долларов. Ориентирован на русскоязычных пользователей и их адресатов из других стран (Россия, Украина, Германия, Турция и пр.). Другие названия: Shade, XTBL, Trojan.Encoder.858

  Обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы. Это bmp-изображение может размещаться в директории %APPDATA%\Roaming, например, так C:\Users\User\AppData\Roaming\0ED528EB0ED528EB.bmp

 Когда этот вредонос выполняется, он создает следующие файлы:
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp

Затем создает следующую запись в реестре, чтобы выполняться при каждом запуске Windows,:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Client Server Runtime Subsystem" = "%Windir%\csrss.exe"

Затем соединяется со следующими удаленными адресами, чтобы загрузить и выполнить другие вредоносные файлы: 
gxyvmhc55s4fss2q.onion/reg***
gxyvmhc55s4fss2q.onion/prog***
gxyvmhc55s4fss2q.onion/err***
gxyvmhc55s4fss2q.onion/cmd***
gxyvmhc55s4fss2q.onion/sys***

Для каждого зашифрованного файла генерируется два случайных 256-битных ключа AES: один для шифрования содержимого файла, второй для шифрования имени файла. Эти ключи помещаются в служебную структуру key_data, которая шифруется выбранным ключом RSA и помещается в конец кодируемого файла. Подробнее >>>

 Troldesh зашифровывает пользовательские файлы, меняет их набором из случайных символом, а расширение на .xbtl или .cbtl, изменяет записи в реестре системы для автозапуска при включении компьютера. На рабочем столе и в каждой папке с зашифрованными файлами Troldesh разбрасывает до 10 файлов с вымогательским текстом: README.txt

После шифрования удаляются все теневые копии файлов на всех дисках.

  Распространяется через email-спам и вредоносные вложения (фейк-PDF-файл), фишинг-письма со ссылками на заражённые набором эксплойтов Axpergle или Neclu (Nuclear) сайты. Поставщиками шифровальщика могут выступать ботнеты, в частности Kelihos (Waledac) осенью 2016. Нередки случаи установки другого вредоносного ПО: Pony, Teamspy RAT, банковских троянов и других. 

Зараженный сайт способствует запуску вредоносного кода на ПК, а эксплуатируемая уязвимость способствует инфицированию системы шифровальщиком Troldesh. Попав на компьютер создает в системе файлы %APPDATA%\windows\csrss.exe (копия вредоноса) и %TEMP%\state.tmp (временный файл для шифрования).

  Фишинг-письма и email-спам могут иметь следующие заголовки (темы письма): Жалоба, Уведомление, Сообщение из банка (суда, налоговой, от кредиторов), Задолженность, Уголовное производство, Счет-фактура, Доставка, Посылка, Предложение любого типа и пр... Это далеко не весь список. 


   Ни в коем случае не загружайте их, не открывайте вложение, не переходите по ссылкам в письме, каким бы особенно важным не казалось содержимое письма!!!

Список файловых расширений, подвергающихся шифрованию:  
.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx, .avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf, .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp, .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda, .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef, .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm, .pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl, .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .srw, .ssi, .st, .stm, .svg, .svgz, .swf, .tab, .tar, .tbb, .tbi, .tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wav, .wb2, .wbm, .wbmp, .wim, .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, .zip (342 расширения). 

Email, использованные вымогателями в предыдущее время:
decode00001@gmail.com
decode00002@gmail.com
...
decode77777@gmail.com
...
decode99999@gmail.com
files000001@gmail.com
...
files640@gmail.com
...
files08880@gmailcom
files08881@gmailcom


Файлы и ключи реестра, связанные в этим Ransomware:
%All Users%\Application Data\Windows\csrss.exe
%All Users%\Application Data\Windows\csrss.exe
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
C:\ProgramData\Windows\csrss.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp
См. также ниже результаты анализов.

Сетевые подключения и связи:
См. ниже гибридный анализ.

Дополнение №1, декабрь 2015:
Email: files000001@gmail.com
Расширения: .breaking_bad и .heisenberg
Время использования: сентябрь - декабрь 2015, январь 2016

Дополнение №2, март 2016:
Email: decode99999@gmail.com, decode77777@gmail.com, files640@gmail.com
Расширение: .better_call_saul
Время использования: январь 2016 - март 2016

Дополнение №3, июнь 2016
Email: Ryabinina.Lina@gmail.com
Расширение: .windows10
См. отдельное описание Windows10 Ransomware

Обновление от 14 июля 2016:
Новые расширения: .da_vinci_code и .magic_software_syndicate
Email: Lukyan.Sazonov26@gmail.com
Записки о выкупе получили ссылки на Tor-сайт (ранее был email-адрес);
Имеется □-ошибка в тексте с требованиями выкупа на изображении обоев;
Теперь вредонос доставляется на ПК жертв с помощью трояна Mexar.
Подробнее: в блоге Technet Microsoft, в статье Threat Encyclopedia.

Обновление от 24 ноября 2016:
Файлы: csrss.exe, <random_name>.exe
Записка: README.txt и с цифрами
Новое расширение: .no_more_ransom
Email: vladimirscherbinin1991@gmail.com
Результаты анализов:  VTHA, RE
Образец от 17.02.17 на VT





***************************
Обновление от 14 апреля 2017:
Пост в Твиттере >>
Файл: <random>.exe и др. 
Фальш-имя: Microsoft Office Outlook
Фальш-копирайт: Microsoft Corporation
Записки: README1.txt, README1.txt ... README10.txt
Расширение: .dexter
Шаблон зашифрованных файлов: <base64>.<id>.dexter
Примеры зашифрованных файлов:
vwX3Xh9UAXWRwRX8ZgUll-IjflDCC6Bs087177GtWeo=.0123456789ABCDEF0123.dexter
WxJbT7+shAWVwbQ2aYvfwhZ2rNGqMrNcDuGZ7hSFxP8=.0123456789ABCDEF0123.dexter
yE8U-ykICrqPLXu5TgP0vPbScejpC8VFDLumlldsqMg=.0123456789ABCDEF0123.dexter
Email: Ryabinina.Lina@gmail.com
URL: cryptsen7fo43rr6.onion.to , cryptsen7fo43rr6.onion.cab
Результаты анализов: VT
Скриншот записки и обоев рабочего стола:
 
***************************
Обновление от 1 и 5 мая 2017:
Пост в Твиттере >>
Записки о выкупе: README1.txt, README1.txt ... README10.txt 
<< Пример записки
Файлы: csrss.exe, TPVCGateway.exe, <random>.exe
Версия файла:  8,6,239,2
Фальш-имя: TPVCGateway (ThinPrint Virtual Channel Gateway)
Фальш-копирайт: Cortado AG

Расширение: .crypted000007
<< Пример зашифрованных файлов



<< Пример вложения email 
Сетевые связи: 
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
xxxx://whatsmyip.net/
xxxx://whatismyipaddress.com/
whatismyipaddress.com/ip/
whatsmyip.net
128.31.0.39:9101 - США
86.59.21.38:443 - Австрия
5.148.175.35:9001 - Швейцария
62.210.90.164:9001 - Франция
37.200.98.5:443 - Германия
163.172.133.54:443 - Великобритания
163.172.165.6:9001 - Великобритания
217.12.210.95:9001 - Украина
141.138.200.249:80 - Нидерланды

Результаты анализов: HA+VT
Скриншоты рабочего стола:

Скриншот страницы Tor-сайта вымогателей:
Содержание текста с Tor-сайта:
Вы можете отправить сообщение через форму обратной связи:
You can send the message using the following feedback form:
Ваш e-mail / Your e-mail: 
Мой код из Readme.txt (вида 0011223344556677AAFF|0):
My code from Readme.txt (it looks like 0011223344556677AAFF|0):
Я потерял все Readme.txt либо не смог найти ни одного
I lost all my Readme.txt files or did not find any of them
Текст сообщения / The text of the message:
Пожалуйста, введите текст с картинки:
Please enter the text from the image:
Отправить / Send
Информация: на данный момент используется алгоритм шифрования RSA-3072. Он является одним из самых криптостойких методов, и данные, зашифрованные им, не могут быть расшифрованы без приватного ключа. Подробнее...
Information: the current encryption algorithm is RSA-3072. It is one of the most cryptographically strong methods and the data encrypted by it can not be decrypted without the private key. More... 
***************************

Обновление от 10 мая 2017:
Пост в Твиттере >>
Файл: fan.EXE
Email: selenadymond@gmail.com
Расширения: .crypted000007, .crypted000078
Результаты анализов: VT

Обновление 15 мая 2017:
Примеры вложений: (якобы обновления от Microsoft)
Update_MS17_010.zip
Security_Update_MS17_010.js

Степень распространённости: очень высокая и перспективно высокая.
Подробные сведения собираются регулярно.



Внимание!

Для ранних версий есть декриптор

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *