Если вы не видите здесь изображений, то используйте VPN.

пятница, 30 декабря 2016 г.

MerryChristmas

MerryChristmas Ransomware

MRCR1 Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться с вымогателями, чтобы вернуть файлы. Оригинальное название MicrRp, другие: MerryChristmas, Merry X-Mas или сокращенно MRCR. Разработчик: MicrRp. Фальш-имя: Advanced Malware Protection. Написан на Delphi. Обновления и изменения см. в конце статьи. 

© Генеалогия: MerryChristmas. Начало.

К зашифрованным файлам добавляется одно из следующих расширений: 
.MRCR1
.PEGS1
.RARE1
.RMCM1
.MERRY - (вариант от 17 января)

Активность этого крипто-вымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных и итальянских пользователей, что не мешает распространять его по всему миру. Замечен в атаках на пользователей Великобритании и Италии. Целью являются компьютеры пользователей, организаций и серверов. 

Спам-сообщение "Уведомление о жалобе потребителя" (Consumer complaint notification) приходит якобы от Федеральной торговой комиссии США (Federal Trade Commission), которая не имеет никакого отношения ни к Великобритании, ни тем более к Италии. К нему прилагается файл Complaint.PDF, имеющий скрытое EXE-расширение. 

Записки с требованием выкупа размещаются в каждой папке с зашифрованными файлами и называются: YOUR_FILES_ARE_DEAD.HTA
 

Содержание записки о выкупе:
ALL SERVER DATA ENCRYPTED! // ALL COMPUTER DATA ENCRYPTED
03 days 23:57:30 0109
TIME AFTER ALL FILES WILL BE DELETED
YOUR ID
NOW YOU NEED TO PAY TO RECOVER YOUR DATA
AFTER MONEY TRANSFER YOU WILL RECIEVE THE DECRYPTOR
CONTACTS
TELEGRAM @comodosecunty
EMAIL comodosec@yandex.com
Any attempts to return your files with the third-party tools can be fatal for your encrypted files! The most part of the third-party software change data within the encrypted file to restore it but this causes damage to the files.
Finally it will be impossible to decrypt your files! There are several plain steps to restore your files but if you do not follow them we will not be able to help you!

Перевод записки на русский язык:
Все данные сервера зашифрованы! // Все данные компьютера зашифрованы!
03 дня 23:57:30 0109
После времени все файлы будут удалены
ВАШ ID
Теперь вам нужно заплатить, чтобы восстановить данные
После передачи денег вы получите декриптор
КОНТАКТЫ
TELEGRAM @comodosecunty
E-MAIL comodosec@yandex.com
Любые попытки вернуть файлы чужими инструментами могут быть фатальными для ваших зашифрованных файлов! Большая часть сторонних инструментов изменяет данные внутри зашифрованного файла, чтобы восстановить его, но это приводит к повреждению файлов.
В итоге будет невозможно расшифровать файлы! Есть несколько шагов для простого восстановления ваших файлов, но если вы не следуете им, мы не сможем вам помочь!


Примеры ID: 
пример ID для MRCR1: 8483CE4927234AEF310A6843407FBEB2
пример ID для RARE1: 5DBB73D6E3DF3EB39190AF05175F9714
пример ID для RMCM1: AAED4F4B621E5EFE5B582A8486ABD6C3

Примечательно, что ранее контакт "TELEGRAM @comodosecunty" использовали вымогатели, создавшие Globe2 Ransomware. Вряд ли они его кому-то передали. Выводы очевидны.
Это также подтверждает описанную мною ранее модель командной работы вымогателей. Подробнее см. в статье "Шифровальщики — чума Интернета". 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (в том числе фальшивых PDF-документов), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. Не исключен взлом с помощью программ удаленного управления, работающих по протоколу RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования теневые копии файлов удаляются командой:
cmd /c vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
.001, .1cd, .3d, .3d4, .3df8, .3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .3gp2, .3mm, .3pr, .7z, .7zip, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .a2c, .aa, .aa3, .aac, .aaf, .ab4, .abk, .abw, .ac2, .ac3, .accdb, .accde, .accdr, .accdt, .ace, .ach, .acr, .act, .adb, .ade, .adi, .adp, .adpb, .adr, .ads, .adt, .aep, .aepx, .aes, .aet, .afp, .agd1, .agdl, .ai, .aif, .aiff, .aim, .aip, .ais, .ait, .ak, .al, .allet, .alphacrypt, .amf, .amr, .amu, .amx, .amxx, .ans, .aoi, .ap, .ape, .api, .apj, .apk, .apnx, .app, .arc, .arch00, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asm, .asmx, .asp, .aspx, .asr, .asset, .asx, .automaticdestinations-ms, .avi, .avs, .awg, .azf, .azs, .azw, .azw1, .azw3, .azw4, .b2a, .back, .backup, .backupdb, .bad, .bak, .bank, .bar, .bat, .bay, .bc6, .bc7, .bck, .bcp, .bdb, .bdp, .bdr, .bfa, .bgt, .bi8, .bib, .bic, .big, .bik, .bin, .bkf, .bkp, .bkup, .blend, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpk, .bpl, .bpw, .brd, .bsa, .bsk, .bsp, .btoa, .bvd, .bz2, .c, .cag, .cam, .camproj, .cap, .car, .cas, .cat, .cbf, .cbr, .cbz, .cc, .ccd, .ccf, .cch, .cd, .cdf, .cdi, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1,.ce2, .cef, .cer, .cert, .cfg, .cfm, .cfp, .cfr, .cgf, .cgi, .cgm, .cgp, .chk, .chml, .cib, .class, .clr, .cls, .clx, .cmd, .cmf, .cms, .cmt, .cnf, .cng, .cod, .col, .con, .conf, .config, .contact, .cp, .cpi, .cpio, .cpp, .cr2, .craw, .crd, .crt, .crw, .crwl, .crypt, .crypted, .cryptra, .cryptXXX, .cs, .csh, .csi, .csl, .cso, .csr, .css, .csv, .ctt, .cty, .cue, .cwf, .d3dbsp, .dac, .dal, .dap, .das, .dash, .dat, .data, .database, .dayzprofile, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbb, .dbf, .dbfv, .db-journal, .dbx, .dc2, .dc4, .dch, .dco, .dcp, .dcr, .dcs, .dcu, .ddc, .ddcx, .ddd, .ddoc, .ddrw, .dds, .default, .dem, .der, .des, .desc, .design, .desklink, .dev, .dex, .dfm, .dgc, .dic, .dif, .dii, .dim, .dime, .dip, .dir, .directory, .disc, .disk, .dit, .divx, .diz, .djv, .djvu, .dlc, .dmg, .dmp, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .drf, .drw, .dsk, .dsp, .dtd, .dvd, .dvi, .dvx, .dwg, .dxb, .dxe, .dxf, .dxg, .e4a, .edb, .efl, .efr, .efu, .efx, .eip, .elf, .emc, .emf, .eml, .enc, .enx, .epk, .eps, .epub, .eql, .erbsql, .erf, .err, .esf, .esm, .euc, .evo, .ex, .exf, .exif, .f90, .faq, .fcd, .fdb, .fdr, .fds, .ff, .ffd, .fff, .fh, .fhd, .fla, .fla, .flf, .flp, .flv, .flvv, .for, .forge, .fos, .fpenc, .fpk, .fpp, .fpx, .frm, .fsh, .fss, .fxg, .gadget, .gam, .gbk, .gbr, .gdb, .ged, .gfe, .gfx, .gho, .gif, .gpg, .gpx, .gray, .grey, .grf, .groups, .gry, .gthr, .gxk, .gz, .gzig, .gzip, .h, .h3m, .h4r, .hbk, .hbx, .hdd, .hex, .hkdb, .hkx, .hplg, .hpp, .hqx, .htm, .html, .htpasswd, .hvpl, .hwp, .ibank, .ibd, .ibooks, .ibz, .ico, .icxs, .idl, .idml, .idx, .ie5, .ie6, .ie7, .ie8, .ie9, .iff, .iif, .iiq, .img, .incpas, .indb, .indd, .indl, .indt, .ink, .inx, .ipa, .iso, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jac, .jar, .jav, .java, .jbc, .jc, .jfif, .jge, .jgz, .jif, .jiff, .jks, .jnt, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .jsp, .just, .k25, .kc2, .kdb, .kdbx, .kdc, .kde, .key, .kf, .klq, .kml, .kmz, .kpdx, .kwd, .kwm, .laccdb, .lastlogin, .lay, .lay6, .layout, .lbf, .lbi, .lcd, .lcf, .lcn, .ldb, .ldf, .lgp, .lib, .lit, .litemod, .lngttarch2, .localstorage, .locky, .log, .lp2, .lpa, .lrf, .ltm, .ltr, .ltx, .lua, .lvivt, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .mag, .man, .map, .mapimail, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .mcrp, .md, .md0, .md1, .md2, .md3, .md5, .mdb, .mdbackup, .mdc, .mdf, .mdl, .mdn, .mds, .mef, .menu, .meo, .mfd, .mfw, .mic, .mid, .mim, .mime, .mip, .mjd, .mkv, .mlb, .mlx, .mm6, .mm7, .mm8, .mme, .mml, .mmw, .mny, .mobi, .mod, .moneywell, .mos, .mov, .movie, .moz, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpq, .mpqge, .mpv2, .mrw, .mrwref, .ms11(Securitycopy), .ms11, .mse, .msg, .msi, .msp, .mts, .mui, .mxp, .myd, .myi, .nav, .ncd, .ncf, .nd, .ndd, .ndf, .nds, .nef, .nfo, .nk2, .nop, .note, .now, .nrg, .nri, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .number, .nvram, .nwb, .nx1, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .oil, .opd, .opf, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pack, .pages, .pak, .paq, .pas, .pat, .pbf, .pbk, .pbp, .pbs, .pcd, .pct, .pcv, .pdb, .pdc, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkb, .pkey, .pkh, .pkpass, .pl, .plb, .plc, .pli, .plugin, .plus_muhd, .pm, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prf, .priv, .privat, .props, .prproj, .prt, .ps, .psa, .psafe3, .psd, .psk, .pspimage, .pst, .psw6, .ptx, .pub, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qel, .qic, .qif, .qpx, .qt, .qtq, .qtr, .r00, .r01, .r02, .r03, .r3d, .ra, .ra2, .raf, .ram, .rar, .rat, .raw, .rb, .rdb, .rdi, .re4, .res, .result, .rev, .rgn, .rgss3a, .rim, .rll, .rm, .rng, .rofl, .rpf, .rrt, .rsdf, .rsrc, .rss, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rvt, .rw2, .rwl, .rwz, .rzk, .rzx, .s3db, .sad, .saf, .safe, .sas7bdat, .sav, .save, .say, .sb, .sc2save, .sch, .scm, .scn, .scx, .sd0, .sd1, .sda, .sdb, .sdc, .sdf, .sdn, .sdo, .sds, .sdt, .search-ms, .sef, .sen, .ses, .sfs, .sfx, .sgz, .sh, .shar, .shr, .shw, .shy, .sid, .sidd, .sidn, .sie, .sis, .sitx, .sldm, .sldx, .slk, .slm, .sln, .slt, .sme, .snk, .snp, .snx, .so, .spd, .spr, .sql, .sqlite, .sqlite3, .sqlitedb, .sqllite, .sqx, .sr2, .srf, .srt, .srw, .ssa, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stt, .stw, .stx, .sud, .suf, .sum, .svg, .svi, .svr, .swd, .swf, .switch, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t01, .t03, .t05, .t12, .t13, .tar, .tar.bz2, .tarbz2, .tax, .tax2013, .tax2014, .tbk, .tbz2, .tch, .tcx, .teslacrypt, .tex, .text, .tg, .tga, .tgz, .thm, .thmx, .tif, .tiff, .tlb, .tlg, .tlz, .tmp, .toast, .tor, .torrent, .tpu, .tpx, .trp, .ts, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .uea, .umx, .unity3d, .unr, .unx, .uop, .uot, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uu, .uud, .uue, .uvx, .uxx, .val, .vault, .vb, .vbox, .vbs, .vc, .vcd, .vcf, .vcxpro, .vdf, .vdi, .vdo, .ver, .vfs0, .vhd, .vhdx, .vlc, .vlt, .vmdk, .vmf, .vmsd, .vmt, .vmx, .vmxf, .vob, .vp, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wab, .wad, .wallet, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpe, .wpk, .wpl, .wps, .wsf, .wsh, .wtd, .wtf, .wvx, .x11, .x3f, .xcodeproj, .xf, .xhtml, .xis, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xps, .xpt, .xqx, .xsl, .xtbl, .xvid, .xwd, .xxe, .xxx, .yab, .ycbcra, .yenc, .yml, .ync, .yps, .yuv, .z02, .z04, .zap, .zip, .zipx, .zoo, .zps, .ztmp (1085 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, обычные архивы, бэкапы, разные сохранения, серверные папки, файлы и тарбол-архивы и пр.

Файлы, связанные с этим Ransomware:
MicrRp.exe и другие (см. обновления). 
YOUR_FILES_ARE_DEAD.HTA
<random_text>.pdf.exe, например, в данном случае COMPLAINT.pdf.exe
%TEMP%\<random>.tmp
%TEMP%\<random>.tmp.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 
"Adobe2" = %UserProfile%\Desktop\YOUR_FILES_ARE_DEAD.HTA
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Adobe = {Malware Path}\{Malware Name}.exe
См. также ниже результаты анализов.

Сетевые подключения и связи:
***onion1.host (81.4.123.67:443) Нидерланды
***onion1.host/cd/copy/gate.php
***portableapps.com
***onion1.pw 168.235.98.160 (США)
***crl4.digicert.com 66.225.197.197 (США)
***crl3.digicert.com 93.184.220.29 (Евросоюз)
TELEGRAM @comodosecunty
comodosec@yandex.com

См. больше в результатах анализов.

Результаты анализов:
Гибридный анализ MRCR1 >>
Гибридный анализ RARE1 >>
Гибридный анализ RMCM1 >>
VirusTotal анализ MRCR1 >>
VirusTotal анализ RARE1 >>
VirusTotal анализ на 'YOUR_FILES_ARE_DEAD.HTA' от MRCR1>>
VirusTotal анализ на 'YOUR_FILES_ARE_DEAD.HTA' от RMCM1 >>
Malwr анализ >>

Обновление от 8 января:
Версия: 2.70.312
Файлы: roaming.exe (Roaming.eXe), PGPClient.exe
PlaintNote_12545_copy.zip (PlaintNote_12545_copy.doc)
Фальш-имя: Advanced Malware Protection
Записка: YOUR_FILES_ARE_DEAD.HTA
Образ персонажа: Robot Santa Claus
Расширение: .RMCM1
Доставка вредоноса: DiamondFox 
Распространение: по миру, где празднуют Рождество 7 января. 
Результаты анализов: VT, HA
Статьи: от "IT Security News" и "InfoSec Handlers Diary Blog", см. по ссылкам ниже.

Обновление от 17 января 2017:
Пост в Твиттере >> 
Записка: MERRY_I_LOVE_YOU_BRUCE.HTA
Расширение: .MERRY
Файлы: flashplayer.exe, Chrome_font.exe и другие.
Фальш-имя: Adobe Download Manager
Сетевые адреса: ***onion2.space:443/chat/index.php (168.235.78.247:443 - США)

Обновление от 27 января 2017:
Записка: MERRY_I_LOVE_YOU_BRUCE.HTA
Email: comodosec@india.com
Результаты анализов: VT

Обновление от 6 февраля 2017:
Файл: file6.exe
Фальш-имя: AdwCleaner is a free Adware/PUP removal tool
Фальш-дэв: Malwarebytes
Результаты анализов: VT

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер.
Чтобы начать процесс дешифровки вам понадобится файловая пара, состоящая из зашифрованного файла и незашифрованные версии того же файла. Файлы должны иметь размер от 64 Кб и 100 Мб. Выберите оба, наибольшего размера, и перетащите их на исполняемый файл декриптера, чтобы начать процесс дешифровки. Если в системе зашифрованы все нужные файлы, поищите на флешках, дисках... Один файл всё же найти можно. 



 Read to links: 
 Tweet on Twitter + Topic on BC + Tweet
 ID Ransomware (ID as MRCR1)
 Write-up (n/a)
 Write-up (Added on January 4, 2017)
 Write-up (Added on January 4, 2017)
 Video review (Added on January 6, 2017)
 Write-up (Added on January 9, 2017)
 Write-up (Added on January 9, 2017)
 Thanks: 
 xXToffeeXx, Michael Gillespie,
 Thyrex, GrujaRS, Fabian Wosar,
 Karsten Hahn, Lawrence Abrams ...

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 29 декабря 2016 г.

Seoirse

Seoirse Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Разработчик: Ricardo. Этимология названия: Seoirse - это Джордж по-ирландски, Георгий по-русски. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .seoirse

Изображение не принадлежит шифровальщику

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
***
Содержание записки о выкупе:
***
Перевод записки на русский язык:
***
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Seoirse Ransom.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://127.0.0.1/add.php - C2

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 28 декабря 2016 г.

KillDisk

KillDisk Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 222 биткоина (более $200000) в обмен на ключ дешифрования. Каждый файл шифруется со своим собственным AES-ключом, а затем AES-ключ шифруется с помощью открытого ключа RSA-1028. Название оригинальное. Разработка: TeleBots (Sandworm). Фальш-имя: Update center, Microsoft Update center.

Для связи с операторами используется протокол Telegram. Пострадавший должен связаться с TeleBots по email, заплатить выкуп и получить закрытый RSA-ключ для расшифровки файлов. Компонент KillDisk Malware используется для операций с файлами, чтобы повредить загрузку системы. 

© Генеалогия: KillDisk Malware + encryption > KillDisk Ransomware

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на ноябрь-декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок с надписью, встающий обоями рабочего стола. 

Содержание записки о выкупе:
We are so sorry, but the encryption of your data has been successfully completed, so you can lose your data or pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org

Перевод записки на русский язык:
Нам очень жаль, но шифрование ваших данных было успешно завершено, так что вы можете потерять свои данные или заплатить 222 BTC на 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF с blockchain.info
Контактный email-адрес: vuyrk568gou@lelantos.org

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (под видом документов MS Office), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
pay.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
vuyrk568gou@lelantos.org

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>


Этот шифровальщик-вымогатель главным образом ориентирован на промышленные предприятия. До этого модифицированный KillDisk Malware, еще без функционала шифрования, был замечен в атаках на украинские банки. Модифицированный вредонос использовал Windows GDI (Graphics Device Interface) и рисовал как визитную карточку картинку из Mr. Robot TV, используемую хакерской группой FSociety, а также известную нашим читателям-старожилам по ряду других Ransomware, описанных в этом блоге. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Write-up
 Write-up
 *
 *
 Thanks: 
 Phil Neray (CyberX)
 Catalin Cimpanu
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 27 декабря 2016 г.

PHP Ransomware

PHP Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем даже НЕ требует выкуп, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Nemucod > PHP Ransomware.

К зашифрованным файлам добавляется расширение .crypted

Активность этого крипто-вымогателя пришлась на декабрь 2016 г. 

Записки с требованием выкупа не создаются. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3gp, .7z, .accdb, .ai, .als, .arc, .arj, .asf, .asm, .aup, .avi, .backup, .bak, .bas, .blend, .bz, .bz2, .bza, .bzip, .bzip2, .cad, .cdr, .class, .cpp, .cpr, .cpt, .cs, .csv, .djvu, .doc, .docx, .dsk, .dwg, .eps, .fb2, .flv, .gpg, .gz, .gzip, .h, .ice, .img, .indd, .iso, .java, .jpeg, .jpg, .kdb, .kdbx, .lwo, .lws, .m3u, .m4v, .max, .mb, .mdb, .mdf, .mid, .midi, .mkv, .mov, .mp3, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .ogg, .pas, .pdf, .pgp, .php, .pl, .pps, .ppt, .pptx, .psd, .pub, .py, .r00, .r01, .r02, .r03, .rar, .raw, .rm, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .sql, .ssh, .svg, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .vob, .wav, .wdb, .wma, .wmf, .wmv, .xls, .xlsx, .zip (122 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Если размер файла меньше 2048 байт, то он будет зашифрован полностью. Если больше, то у файла будут зашифрованы только 2048 байт. 

Файлы, связанные с этим Ransomware:
<random>.exe
PHP script & PHP code

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://med-lex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать декриптер для PHP Ransomware >>
 Read to links: 
 Tweet on Twitter + Tw + Tw
 ID Ransomware (n/a)
 Write-up (add. December 30, 2016)
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Fabian Wosar
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 26 декабря 2016 г.

DeriaLock

DeriaLock Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 20-30 долларов, чтобы вернуть файлы. Название оригинальное, есть другое: Generator. Разработчик: arizonacode. 

© Генеалогия: DeriaLock: Начало.

К зашифрованным файлам добавляется расширение .deria (в версии, найденной 26 декабря 2016). 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ранняя версия была простым блокировщиком экрана и не трогала сами файлы. У новой версии есть функционал шифрования. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Сначала опишу версию с функционалом блокировщика, а потом с функционалом шифровальщика, т.к. это одна разработка. 

Записками с требованием выкупа выступает экран блокировки

При нажатии на кнопку соответствующего языка появляется текстовое сообщения на этом языке (на немецком и испанском языках). Я сделал анимированное изображения для демонстрации этого процесса. Записки полны орфографических ошибок.

Содержание записки о выкупе:
Your System has Locked!
If you try to restart you PC ALL data will delete.
If you want your data back, pay 30 USD.
Instuctions:
Is give no other way to get you computer/data back exdcept to pay a special Key.
You can buy the Key at the following Skype account: "arizonacode".
If you contact the bellow named Skype account send him you HWID the bottom left is to be seen.
If you Spamming the skype account,  you can't get you data back
After you buy the key, paste him into the textbox.

Перевод записки на русский язык:
Ваша система заблокирована!
При попытке перезагрузить свой ПК ВСЕ данные будут удалены.
Если хотите вернуть данные, заплатите 30 долларов.
Инструкции:
Есть не дают никакого другого способа, чтобы заставить вас компьютер / данные обратно exdcept заплатить специальный ключ.
Вы можете купить ключ на следующий Skype-аккаунт: "arizonacode".
Если вы обратитесь к этому Skype-аккаунту, то отправьте ваш HWID, увидите его в левом нижнем углу.
Если вы будете спамить Skype-аккаунт, то вы не получите данные обратно.
После того, как вы купите ключ, вставьте его в текстовое поле.

Для того, чтобы пользователи не могли закрыть окно блокировщика экрана, DeriaLock будет искать и завершать следующие процессы:
taskmgr, procexp, procexp64, procexp32, skype, chrome, steam, MicrosoftEdge, regedit, msconfig, utilman, cmd, explorer, certmgr, control, cscript.

Комбинация клавиш ALT + F4 также не сможет закрыть окно блокировщика.

Если жертва захочет заплатить выкуп, то нужно скопировать HWID, связаться с автором DeriaLock через Skype, и отправить мошеннику $ 30 через неизвестный способ оплаты.

Оператор DeriaLock принимает этот HWID и размещает его на своем сервере в виде текстового файла с именем: xxxx://server-address/[full_MD5_hash].txt

Этот файл содержит код разблокировки DeriaLock. Когда компьютер жертвы  отправит новый запрос на C&C-сервер, он обнаружит этот файл, определит, что потерпевший заплатил выкуп, возьмёт код и разблокирует компьютер, как показано на фрагменте кода ниже.

DeriaLock также проверяет сервер на наличие следующего специального текстового файла.

Для работы DeriaLock на компьютере требуется наличие установленного .NET Framework 4.5, это означает, что DeriaLock не будет работать на компьютерах с ОС Windows XP.

На момент написания обзора серверы DeriaLock ещё и работали, это означает, что угроза ещё распространяется среди ничего не подозревающих жертв.

Версия с функцией шифрования имеет следующий экран блокировки (в заголовке окна нецензурная фраза "YOU ARE F*CKED").

Содержание текста с экрана:
YOU ARE INFECTED WITH DERIALOCK
1. ALL YOUR FILES HAVE BEEN ENCRYPTED!
2. DONT TRY TO DELETE DERIALOGK!
3. PAY 20 USD/EUR TO THE SKYPE ACCOUNT BELOW!
5. IF YOU MADE THE PAYMENT YOU GET YOUR COMPUTER BACK!
6. IF THE PROGRESS IS 100% ~1 DAY~ THEN I WILL DELETE ALL PRIVATE...
7. FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES!
8. IF YOU TRY TO DELETE ARIZONA THEN I DELETE ALL YOUR PRIVATE...
EXPECT ~ARIOZNACODE AND COMPL3X =]
ID:
KEY:

Перевод на русский язык:
Вы заражены DeriaLock
1. Все файлы были зашифрованы!
2. Не пробуйте удалить DeriaLock!
3. Оплатите 20 долларов / евро на Skype-аккаунт ниже!
5. Если вы сделали оплату, вы получите ваш компьютер обратно!
6. Если прогресс 100% ~1 день~ тогда я буду удалять все частные...
7. При каждой попытке что-то сделать я буду удалять файлы!
8. Если вы попытаетесь удалить Аризону, то я удалю все частные...
Ждите ~arioznacode и compl3x =]
ID:
KEY:

27 декабря 2016 DeriaLock обновился
Экран с текстом о выкупе
Использованное изображение

Содержание обновленного экрана блокировки:
YOU ARE INFECTED WITH DERIALOCK!
1. ALL YOUR FILES HAVE BEEN ENCRYPTED!
2. DONT TRY TO DELETE DERIALOGK!
3. PAY 20 USD/EUR TO THE SKYPE ACCOUNT "ARIZONACODE"!
5. IF YOU MADE THE PAYMENT YOU GET YOUR COMPUTER BACK!
6. IF THE TIMER OVER ~1 DAY~ THEN I WILL DELETE ALL PRIVATE FILES!
7. FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES!
8. IF YOU RESTART YOUR COMPUTER I WILL DELETE ALL FILES!
EXPECT ~ARIOZNACODE AND COMPL3X =]
button 'VIEW ALL MY ENCRYPTED FILES!'   ID: ***
button 'I MADE A PAYMENT!, SUBMIT KEY!'   KEY: ***

В принципе, отличий совсем немного. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
C:\Users\AppData\Roaming\Microsoft\Windows\Start menu\Programs\Startup\SystemLock.exe
LOGON.exe  
Ransom.exe
downloader.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: arizonacode.bplaced.net
C2 IP: 144.76.167.69 (Германия)
bplaced.net (5.9.107.19 Германия)
***GommeHD.net
***wallup.net

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >> Ещё >>
Malwr анализ >>


Внимание!
Есть возможность дешифровки файлов


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as DeriaLock)
 Write-up
 *
 *
 Thanks: 
 Karsten Hahn
 Daniel Gallagher
 Catalin Cimpanu
 JaromirHorejsi
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 25 декабря 2016 г.

BadEncript

BadEncript Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует заплатить на Bitcoin-адрес, чтобы вернуть файлы. Название оригинальное, другое: HappyBadEncript. Сумма выкупа неизвестна. 

© Генеалогия: BadEncript.

К зашифрованным файлам добавляется расширение .bript

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: More.html

Содержание записки о выкупе:
Your files were encrypted by the BadEncript ransomware! 
To unlock your files you need to pay to the bitcoin address 
 1M2Wwtiuo9yC2fXygKoytTVye5Y7a58pvx. 
 After the payment was done, press "Check Wallet". 
 It will check if you have payed or not. 
If you did pay, your password will be automatically entered into the input box.
After that, just press "Decrypt" and all your files will be decrypted.

Перевод записки на русский язык:
Ваши файлы были зашифрованы BadEncript ransomware!
Для разблокировки файлов вы должны заплатить на Bitcoin-адрес
  1M2Wwtiuo9yC2fXygKoytTVye5Y7a58pvx.
  После сделанной оплаты нажмите кнопку "Check Wallet".
  Будет проверено, заплатили вы или нет.
Если вы заплатили, ваш пароль будет автоматически введён в поле ввода.
Потом просто нажмите кнопку "Decrypt" и все ваши файлы будут расшифрованы.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Ключ дешифрования нигде не сохраняется, окно программы закрывать нельзя. Сумма выкупа неизвестна. Уплата выкупа бесполезна. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
BadEncript.exe
HappyBadEncript.exe
More.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BadEncript)
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *