суббота, 30 января 2016 г.

Hi Buddy!

Hi Buddy! Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 0.77756467 биткоинов за расшифровку. Зашифрованные файлы получают расширение .cry

 © Генеалогия: Hidden Tear >> Hi Buddy!

  После запуска в системе вымогатель сканирует все пользовательские директории (MyMusic, Desktop, MyPictures и Personal) в поисках целевых расширений файлов. Записка с требованием выкупа READ_ME.txt создается во всех папках. Другая имеет расширение HTML.



Содержание записки о выкупе:
Hi Buddy!
Hello Buddy! if you see this message all your important files are been crypted :)
What can you do? You can pay with bit coin and wait 10 min for decryption!
It's very easy! Dont you know how to purchase bitcoin"? www.localbitcoins.com it's your place!
If Antivirus block the crypter, youII be unable to decrypt ...
If is this your case, go to : http://www.***.onion.to
1) click on "Download for specific btc adress"
2) Insert the btc addressm, download, pay and wait:)
Thank you
Your btc address is : ***

Перевод на русский язык:
Привет дружище!
Привет дружище! если ты видишь это сообщение все твои файлы зашифрованы :)
Что делать? Ты можешь заплатить биткоин и ждать 10 минут для дешифрования!
Это очень легко! Не знаешь, как купить Bitcoin? www.localbitcoins.com это тут!
Если антивирус заблокирует Crypter, ты не сможет дешифровать ...
Если это твой случай, перейди на: http://www.***.onion.to
1) нажми кнопку "Download for specific btc adress"
2) Вставь BTC-адрес, скачай, оплати и жди :)
спасибо
Твой BTC-адрес: ***

Список расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .js, .mdb,.mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (23 расширения). 

Файлы, связанные с этим Ransomware:
READ_ME.txt 
ransom.exe
t11.exe
sec_check.scr.exe

Hi Buddy! атакует следующие разделы реестра, чтобы закрепиться в системе:
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion
» SOFTWARE\Microsoft\Cryptography\\MachineGuid
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProductName
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CSDVersion

Hi Buddy! создает следующие ключи реестра, чтобы запускаться при каждом старте системы:
» SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Microsoft 

Сетевые соединения и связи:
24fkxhnr3cdtvwmy.onion.to/help.php

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Hi Buddi!)
 Write-up, Topic
 Threat Landscape Dashboard
 Thanks: 
 Mosh
 Michael Gillespie
 McAfee
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 28 января 2016 г.

NanoLocker

NanoLocker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA), а затем требует выкуп в 0,1 Bitcoin (~$43), чтобы вернуть файлы обратно. Активность вымогателя пришлась на конец января - начало февраля 2016 г. 

  Информация о выкупе содержится в файле ATTENTION.RTF и в экране блокировке, который работает как центр управления платежами и дешифровкой. 
Экран блокировки и управления

  Способ распространения: email-спам и фишинговые письма с вредоносным вложением, маскирующимся под PDF-документ. При его открытии выходит сообщение об ошибке, но на самом деле в фоновом режиме начинается процесс сканирования и шифрования файлов. После шифрования никакого специального расширения к файлам не добавляется. Имена зашифрованных файлом и их местонахождение записываются в специальном файле %LocalAppData%\lansrv.ini

  По окончании шифрования и после перезагрузки ПК NanoLocker продолжает работать и демонстрирует экран блокировки, в котором сообщается, что случилось с файлами, какова сумма выкупа, как получить биткоины, как и их вывести и оплатить выкуп, и как использовать экран блокировки для ввода ключа и расшифровки файлов.

Список файловых расширений, подвергающихся шифрованию:
.aaf, .accdb, .aep, .aepx, .aet, .aif, .arw, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .crt, .crw, .csv, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .game, .grle, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg,.jpg, .kdc, .max, .mdb, .mdf, .mef, .mid, .mlx, .mov, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .psd, .pst, .ptx, .raf, .rar, .raw, .rtf, .rwl, .sav, .sdf, .sldm, .sldx, .slot, .spv, .sql, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (138 расширений).

  NanoLocker использует уникальный способ оплаты и передачи ключей извлеченных при оплате выкупа. Для этого в экране блокировке пострадавший должен вставить строку в кодировке Base64 в поле Public Note, когда посылает оплату. Код Public Note привязывается к сделке в Bitcoin и может быть прочитан с помощью программа разработчика-вымогателя. Когда оплата будет получена, он отправит через микро-транзакцию другой код с ключом дешифрования.  

  Жертва должна вставить полученный ключ в самое нижнее поле в программе, чтобы расшифровать свои файлы, нажав кнопку "Decrypt files". 

 Из-за особенностей процесса шифрования, имеется возможность дешифровки файлов без уплаты выкупа. Здесь мы опускаем эти подробности, а желающие могут ознакомиться с ними самостоятельно. 

Файлы, связанные с NanoLocker:
C:\Users\User\AppData\Local\lansrv.exe
C:\Users\User\AppData\Local\lansrv.ini
C:\Users\User\Desktop\ATTENTION.RTF

Записи реестра, связанные с NanoLocker:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LanmanServer    C:\Users\User\AppData\Local\lansrv.exe

Степень распространённости: очень низкая. 
Подробные сведения собираются.

вторник, 26 января 2016 г.

7ev3n

7ev3n Ransomware 

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 13 биткоинов, чтобы вернуть файлы обратно. Название происходит от видоизмененного английского слова "seven" (семь). К зашифрованным файлам добавляется расширение .R5A или, в единичных случаях, .R4A. Активность этого крипто-вымогателя пришлась на январь 2016 г. 

© Генеалогия: 7ev3n > 7ev3n-HONE$T

 Записка с требованием выкупа называется: FILES_BACK.txt

К ней добавляется экран блокировки. 

 Содержание записки о выкупе: 
YOUR PERSONAL INFORMATION ARE ENCRYPTED by 7ev3n

All your documents, photos, databases, office projects and other important files have been encrypted with strongest encryption algorithm and unique key, original files have been overwritten, recovery tools and software will not help. Private key is stored on a server and nobody can decrypt your files until you pay and obtain the private key.

You have only 96 hours to make a payment. If you do not send money within provided time, private key will be destroyed, and all your files will be lost. Follow the instructions:

1. Pay amount of 13 bitcoin (approximately 4980 USD) to address: bitcoin address, this unique address generated only for you.
2. Transaction will take about 50 minutes to accept and confirm the payment, decryption and uninstalling of this software will start automatically. For correct key and decryption, DO NOT: power off computer, disable Internet connection, run antivirus program. Usually decryption will take about 1-3 hours, average decrypt speed 21gb per hour.

Bitcoin is a digital currently that you can buy on ‘eBay.com’, ‘localbitcoins.com’, ‘anxpro.com’, ‘cued.com’ and many other online and physical exchangers through credit card, bank account, using PayPal and many other payment methods.

Warning, do not try to get rid of this program, any action taken will result in decryption key being destroyed, you will lose your files forever, one way to get you files os to follow that instructions. In case of non-payment reserve the right to publicly publish all encrypted files.

 Перевод записки на русский язык: 
Ваша личная информация зашифрована 7ev3n

Все ваши документы, фото, базы данных, офисные проекты и другие важные файлы были зашифрованы с сильным алгоритмом шифрования и уникальным ключом, оригинальные файлы перезаписаны, инструменты восстановления и программы не помогут. Секретный ключ хранится на сервере, и никто не расшифрует файлы, пока не платите и получите секретный ключ.

У вас есть только 96 часов для оплаты. Если не отправите деньги за это время, закрытый ключ будет уничтожен, и все ваши файлы будут потеряны. Следуй инструкциям:

1. Выплати сумму 13 Bitcoin (около $4980 США) по адресу: Bitcoin-адрес, уникальный адрес генерируется только для вас.
2. Сделка займет около 50 минут, чтобы принять и подтвердить платеж, дешифровка и удаление этой программы начнется автоматически. Для правильного ключа и дешифрования, НЕ отключайте питание компьютера, не отключайте подключение к Интернету, не запускайте антивирусную программу. Обычно дешифровка идет 1-3 часа, средняя скорость декрипта 21 Гб в час.

Bitcoin представляет собой современную цифровую валюту, вы можете купить на eBay.com, localbitcoins.com, anxpro.com, cued.com и на мн. др. онлайн и физических обменниках через кредитную карту, банковский счет, используя PayPal и мн. др. способов оплаты.

Внимание, не пытайтесь избавиться от этой программы, любые действия приведут к уничтожению ключа дешифрования, а вы потеряете ваши файлы навсегда, один из способов, чтобы заставить вас вернуть файлы системы, это следовать этой инструкции. В случае неуплаты оставляем за собой право публично выложить все зашифрованные файлы.

 Распространяется с помощью email-спама и вредоносных вложений. 

Запустившись в первый раз в системе шифровальщик сканирует побуквенно все диски в поисках определенных файловых расширений и, зашифровав файлы, переименовывает их согласно цифровому порядку, добавляя расширение .R5A. Например, если папка содержит 10 разных файлов, то они будут переименованы в 1.R5A, 2.R5A, 3.R5A ... 10.R5A.

Закончив шифрование, 7ev3n отображает окно с требованием выкупа и указанием Bitcoin-адреса, на который нужно его отправить. После того, как 7ev3n эффективно заблокирует все возможные варианты восстановления, обойдя экран UAC, он вносит изменения в реестр, отключающие комбинации клавиш, которые обычно используются для устранения проблем Windows, например, такие как Alt + Tab, переключающие между активными процессами. А также меняет специальное значение в реестре, отключающее клавиши: F1, F10, F3, F4, Enter, Escape, левый Alt, Ctrl, Левый Windows, Num Lock, правый Alt, правый Ctrl, правый Shift, правый Windows и Tab. 

Это значение реестра показано ниже.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"

Кроме того, вредонос создает задачу Windows, которая выполняет эти команды каждый раз, когда пользователь входит в систему.

Список файловых расширений, подвергающихся шифрованию: 
 .accdb, .arw, .dbf, .doc, .docm, .docx, .jpe, .jpeg, .jpg, .mdb, .mdf, .odb, .odm, .odp, .ods, .pdf, .rar, .sql, .txt, .xlsb, .xlsm, .xlsx, .zip (23 расширения). 

Файлы, связанные с 7ev3n Ransomware: 
%LocalAppData%\bcd.bat - пакетный файл с разными BCDedit-командами, отключающих варианты восстановления загрузки системы.
%LocalAppData%\del.bat - пакетный файл-чистильщик, зачищающий файлы вымогателя;
%LocalAppData%\system.exe - основной исполняемый файл вымогателя, шифрующий данные и отображающий требование выкупа;
%LocalAppData%\time.e - файл, содержащий временную отметку с началом инфекции;
%LocalAppData%\uac.exe - исполняемый файл, позволяющий компонентам вымогателя работать с повышенными правами без отображения контроля учетных записей;
C:\Windows\System32\Tasks\uac
C:\Windows\System32\elsext.dll

Записи реестра, связанные с 7ev3n Ransomware: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62EC9C46-634C-4957-8A5C-4566462D0CE6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "C:\Users\[login_name]\AppData\Local\system.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" /v "crypted"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 
00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"
HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys "Flags"  = 506
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "System"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" "rgd_bcd_condition"  = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" "EnableLUA"  = 0

Степень распространённости: низкая. 
Подробные сведения собираются.

суббота, 23 января 2016 г.

Magic

Magic Ransomware

Memekap Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Обладателям серверов нужно заплатить 2 биткоина. 

Название получил от добавляемого расширения или исполняемого файла вымогателя. Magic представляет собой копию крипто-вымогателя EDA2 с открытым исходным кодом. В Microsoft (19 декабря 2015 г.) и TrendMicro (26 января 2016) используется название Memekap. 

© Генеалогия: EDA2 >> Memekap ⟺ Magic  > HugeMe

Внимание!!! Microsoft не опубликовали технических деталей. Они есть только у TrendMicro. TM упоминают в своей статье про Memekap о Magic как о другом (обновлённом) образце вымогателя на основе EDA2. 
Таким образом, собрав воедино все сведения, я внёс корректировки в эту статью. 
1) Есть ряд различий в версиях Memekap и Magic: расширение, добавляемое к зашифрованным файлам, другой exe-файл, разное количество типов файлов, подвергающихся шифрованию (у Memekap - 416, у Magic - 473). 
2) Но совпадает текст записок о выкупе, их имена, а самое главное — те же email-адреса и тот же Bitcoin-адрес. Значит за ними стоит одна и та же группа вымогателей. 

К зашифрованным файлам добавляется расширение .magic.

Активность этого криптовымогателя пришлась на декабрь 2015 - январь 2016 (Memekap) и январь-февраль 2016 (Magic). 
На протяжении 2016 года образцы ещё попадаются и, судя по образцам новой версии, найденным в октябре 2016, эта вредоносная разработка продолжается. Ориентирован на англоязычных пользователей.
В феврале 2017 г. появилось ещё одно "продолжение" под названием HugeMe Ransomware. 

Записки с требованием выкупа называются:
DECRYPT.TXT
DECRYPT_ReadMe.TXT.ReadMe
DECRYPT_ReadMe1.TXT.ReadMe

Содержание записки о выкупе:
All your files encrypted with strong encryption.
To unlock your files you must pay 1 bitcoin to address :
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
You can search google for how to buy and send bitcoin in your country.
After you send the bitcoin email to : 
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
use all email to communicate with the information of username and pcname and the time you send bitcoins.
When we will confirme the transaction you will receive decryption key and decryption program.
Price depend on the system. If you have a sql server or server based system send 2 bitcoin.
If your network share or system encrypted with axx extensions email to discuss price to decrypt your system.

Перевод записки на русский язык:
Все твои файлы зашифрованы с сильным шифрованием.
Для разблока файлов ты должен заплатить 1 Bitcoin на адрес:
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
Ты можешь поискать в Google как купить и отправить Bitcoin в твоей стране.
После отправки Bitcoin напиши на email:
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
используй все email для контакта c информацией о пользователе и ПК-имя и времени отправки биткоинов.
Когда мы подтвердим транзакцию ты получишь ключ дешифрования и дешифратор.
Цена зависит от системы. Если у тебя есть SQL сервер или система на базе сервера, отправь 2 биткоина.
Если твои сетевые ресурсы или система зашифрованы с axx-расширениями, то пиши на email, чтобы обсудить цену для расшифровки твоей системы.

Примечательно, что расширения .axx использует AxCrypt Ransomware, значит эти крипто-вымогатели взаимосвязаны. 

Устанавливается через взлом терминальных служб или с использование протокола удаленного рабочего стола. Но вполне может начать распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, если уже не начал. 

После шифрования, чтобы лишить жертву возможности восстановления данных, удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию (в версии Memekap):

.aac, .abk, .abw, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .ccd, .cch, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cpp, .crd, .crt, .crw, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .exif, .faq, .fcd, .fdr, .fds, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gzig, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .plc, .pli, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .shar, .shr, .shw, .slt, .snp, .spr, .sql, .sqx, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .zap, .zip, .zipx, .zoo (416 расширений). 

Список файловых расширений, подвергающихся шифрованию (в версии Magic):
 .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (473 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Во время шифрования пропускаются директории:
C:\Windows
C:\Program

По окончании шифрования дисков выполняется bat-файл, проводящий зачистку исполняемых файлов крипто-вымогателя. 

После чего жертве показываются уведомления — это текстовые файлы DECRYPT.TXT и DECRYPT_ReadMe.TXT.ReadMe, записки с требованием выкупа, которые сохраняются на рабочем столе.

Файлы, связанные с Magic Ransomware:

magic.exe -  исполняемый файл вымогателя;
ransomware.exe - исполняемый файл вымогателя (вариант);
<random_name>.exe - исполняемый файл вымогателя (вариант);
DECRYPT.TXT - записка с требованием выкупа
DECRYPT_ReadMe.TXT.ReadMe - записка с требованием выкупа
DECRYPT_ReadMe1.TXT.ReadMe - добавляется лог
deleteMyProgram.bat - bat-файл, используется для удаления теневых копий и зачистки файлов вымогателя

Расположение: 
%Desktop%\DECRYPT.TXT
%Desktop%\DECRYPT_ReadMe.TXT.ReadMe
%Desktop%\DECRYPT_ReadMe1.TXT.ReadMe
%Desktop%\\deleteMyProgram.bat

Записи реестра, связанные с Magic Ransomware:
***не указаны***

Сетевые подключения:
xxxx://reloaded.orgfree.com/new/my.php
xxxx://reloaded.orgfree.com/new/your.php
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Malwr анализ >>

Обновление: 5 октября:
Использование продолжается.
Версия: 5.4.3.2

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC + Write-up on TM
 Topic on BC
 Моя статья на SZ
 Thanks: 
 TrendMicro
 Lawrence Abrams, Michael Gillespie, 
 Мне самому как SNS-amigo
 *
 

воскресенье, 10 января 2016 г.

CryptoJoker

CryptoJoker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в биткоинах, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .crjoker. Активность этого криптовымогателя пришлась на январь-март 2016 г. Ориетирован на англоязычных и русскоязычных пользователей. 

На русском языке название звучит как КриптоДжокер. Не путайте с CryptoLocker (КриптоЛокер). 

 Записки с требованием выкупа называются: README!!!.txt, GetYouFiles.txt, crjoker.html. Последний фактически является экраном блокировки с отсчетом оставшегося времени. Текст написан на русском и английском языках. 

Содержание записки о выкупе: 
ENGLISH:
Your personal files were encrypted using RSA key cryptographically!
It decrypts files can be knowing a unique, private RSA key length of 2048 bits, which is only for us.
Write to us at mail: file987@sigaint.org Spare mails: file9876@openmail.cc or file987@tutanota.com
Instructions for payment will be sent in the opposite letter.
After payment we will send your key and decoder.
And remember, you only have 72 hours to make a payment, then the price will rise to decipher.
Attempts to decipher on their own will not lead to anything other than irretrievable loss of information.
Your unique key that is required to send to the specified email:
Good luck.

RUSSIAN:
Ваши личные файлы были зашифрованы при помощи криптостойкого RSA ключа!
Расшифровать файлы можно зная уникальный, закрытый RSA ключ длиной 2048 бит, который есть только у нас.
Напишите нам на мейл: file987@sigaint.org Запасные мейлы: file9876@openmail.cc или file987@tutanota.com
Инструкция для оплаты будут высланы в обратном письме.
После оплаты мы вышлем ваш ключ и дешифратор.
И помните, у вас есть только 72 часа, чтобы произвести оплату, потом цена на расшифровку поднимется.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Ваш уникальный ключ, который обязательно вышлите на указанный email:
Удачи.

Перевод записки на русский язык: 

Не требуется, т.к. уже сделан самими вымогателями.

  Распространяется с помощью email-спама и вредоносных вложений. Установщик CryptoJoker маскируется под PDF-файл. После запуска установщика на выполнение будет докачано и сгенерировано нужное количество исполняемых файлов в папке %Temp% и один в папке %AppData%. Каждый из них будет выполнять определенные задачи, например, такие, как отправка информации на C&C-сервер, поиск и завершение важных системных задач, блокировка экрана и демонстрация вымогательского окна поверх всех открытых приложений.

  Когда CryptoJoker шифрует данные, он сканирует все диски на компьютере жертвы, в том числе сетевые, выполняя поиск файлов с определенными расширениями.

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .doc, .docx, .docm, .xls, .xlsx, .xlsb, .xlsm, .ppt, .pptx, .pptm, .odt, .jpg, .png, .jpeg, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .db

Во время шифрования данных CryptoJoker отправляет информацию на сервер свой управляющий C&C-сервер, расположенный вserver6.thcservers.com. Отправляемая информация включает в себя дату, имя хоста, имя пользователя, имя компьютера.

Код, используемый для отправки такой информации, приведён ниже.


В процессе установки CryptoJoker также создает в %Temp% папке пакетный файл new.bat, который удаляет теневые копии файлов и отключает автоматическое исправление загрузки Windows. Это делает невозможным использование теневых копий оригинальных файлов, чтобы восстановить зашифрованные файлы.

С помощью этого пакетного файла выполняются следующие команды:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe delete shadows /all /quiet

Экран блокировки отображает инструкции на английском и русском языках. В них указаны адреса электронной почты file987@sigaint.org, file9876@openmail.cc, file987@tutanota.com для получения платежных инструкций. [Для сведения: Экран блокировки будет оставаться поверх других приложений, пока вы не завершите Temp-процесс WinDefrag.exe].




Экран блокировки

При отправке письма вымогателям пострадавшая сторона должна скопировать строку текста, зашифрованную с алгоритмом RSA, из этого окна, или продублированную в файле README!!!.TXT в папке %Temp%.

Файлы, связанные с 
CryptoJoker Ransomware: 
%Temp%\crjoker.html
%Temp%\drvpci.exe
%Temp%\GetYouFiles.txt
%Temp%\imgdesktop.exe
%Temp%\new.bat
%Temp%\README!!!.txt
%Temp%\sdajfhdfkj
%Temp%\windefrag.exe
%Temp%\windrv.exe
%Temp%\winpnp.exe
%AppData%\dbddbccdf.exe
%AppData%\README!!!.txt22

Записи реестра, связанные с CryptoJoker Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winpnp    %Temp%\winpnp.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvpci     %Temp%\drvpci.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windefrag    %Temp%\windefrag.exe

Ранний детект на VirusTotal >>>
Июльский детект на VirusTotal >>>

Степень распространённости: средняя.
Подробные сведения собираются.

четверг, 7 января 2016 г.

LowLevel04

LowLevel04 Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы обратно. 

  К зашифрованным файлам добавляется не расширение, а приставка oor., которая присоединяется к началу файла. Ранняя активность этого крипто-вымогателя пришлась на октябрь 2015 г. Тогда LowLevel04 был замечен в атаках только на греческих и болгарских пользователей. Позже атаки повторились. 

Записка с требованием выкупа называется: help recover files.txt

Содержание записки о выкупе:
Good day, isn’t it?
What happened to your files?
All your files were protected by a strong encryption with RSA-2048
More information about the encryption keys using rsa-2048 can be found heres
https://en.wikipedia.org/RSA
What does this mean?
This mean that the structure and data within your files have been irrevocably change and only we can help you to restore it.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private
All your files were encrypted with the public key, which has been transferred to your computer via internet.
Decrypting of your files is only possible with the help of the private key and decrypt program which is on our server
You can buy our tool with private key that will recover all your files, it cost's 4 bitcoins and you need send it to bitcoin address 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf . 1 bitcoin ~= 240 US $.
You can make bitcoin payment without any bitcoin software. For this you can use one of this bitcoin exchanger from this exchange list to send us bitcoins
https://crypto.bg
bitcoini.com
https://bitpay. com
www.plus500.bg/Trade-Bitcoins
bitcoinexchangerate.org/c/BGN
https://local bitcoins.com/country/BG
www.btc-e.com
Our contact mail entry122717@gmail.com . Additional contact mail entry123488@india.com (email us here if we don’t answer from gmail.com).
Your own personal key: *****. Send us your own personal key after payment and we will send you decryption tool.
You can send one small file (not bigger than 1 megobyte) before payment and we will recover it. It will be proof that we have decryption tool.

Перевод записки на русский язык:
Хороший день, не так ли?
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным шифрованием RSA-2048
Более подробную информацию о ключах шифрования RSA-2048 можно найти здесь:
https://ru.wikipedia.org/RSA
Что это значит?
Это значит, что структура и данные в ваших файлах были безвозвратно изменены, и только мы можем помочь вам восстановить их.
Как это произошло?
Специально для вас на нашем сервере была сгенерирована секретная пара ключей RSA-2048 - открытый и закрытый
Все ваши файлы были зашифрованы открытым ключом, который был передан на ваш компьютер через Интернет.
Расшифровать ваши файлы можно только с помощью закрытого ключа и программы дешифрования, которые есть на нашем сервере.
Вы можете купить наш инструмент с закрытым ключом, который восстановит все ваши файлы, он стоит 4 биткойнов, и вам нужно отправить его на биткойн-адрес 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf. 1 биткойн ~= 240 долларов США.
Вы можете сделать биткойн-платеж без софта биткойнов. Для этого вы можете использовать один из этих биткойнов-обменников из этого списка, чтобы отправить нам биткойны:
https://crypto.bg
Bitcoini.com
https: // bitpay. Ком
Www.plus500.bg/Trade-Bitcoins
Bitcoinexchangerate.org/c/BGN
https://local bitcoins.com/country/BG
www.btc-e.com
Наш контактный email entry122717@gmail.com. Дополнительный entry123488@india.com (напишите на него, если мы не ответим на gmail.com).
Ваш личный ключ: *****. Отправьте нам свой личный ключ после оплаты, и мы вышлем вам инструмент для расшифровки.
Перед отправкой вы можете отправить один небольшой файл (не более 1 Мб), и мы его восстановим. Это будет доказательством того, что у нас есть инструмент дешифрования.


Распространяется с помощью email-спама и вредоносных вложений, а также проводит брутфорс-атаку по Remote Desktop. 

Когда файл уже зашифрован, то он содержит различные слои информации, которые могут быть использованы в декриптере для расшифровки файлов. Вот они: зашифрованная версия оригинального файла, оригинальный размер файла, зашифрованный ключ шифрования, размер ключа и LowLevel04 строка, которая идентифицирует, что это файл был зашифрован с помощью этой конкретной инфекции. Эти слои данных в зашифрованном файле представлены также в таблице ниже.

В каждой папке с зашифрованными файлами, LowLevel04 оставляет записку о выкупе с инструкцией об уплате выкупа и получения программы для дешифровки (декриптера). 

После того, как вредонос завершил процесс шифрования, он выполняет зачистку — удаляет все созданные файлы, журналы работы приложений, журналы безопасности и системы, чтобы они не могли быть использованы для анализа и проведения расследований.

Как оказалось, LowLevel04 не удаляет теневые копии файлов. Поэтому пострадавшим можно использовать recovery tool для восстановления файлов или спецпрограмму, такую как Shadow Explorer (см. также его Руководство), чтобы восстановить файлы из теневых копий файлов. Информацию о том, как восстановить файлы из теневых копий можно найти в руководстве по CryptoLocker.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .arw, .automaticDestinations-ms, .backup, .bad, .bay, .bck, .bcp, .bkp, .bkup, .bmp, .cdr, .cer, .com, .cr2, .crt, .crw, .dat, .database, .dbf, .dcr, .der, .desklink, .dll, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .ico, .ie5, .ie6, .ie7, .ie8, .ie9, .indd, .inf, .ini, .jpe, .jpeg, .jpg, .kdc, .lnk, .lpa, .mapimail, .mdb, .mdf, .mef, .mid, .mp3, .mp4, .mrw, .msi, .nef, .nrw, .odb, .odc, .odm, .ods, .odt, .opd, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .rar, .raw, .rtf, .rw2, .rwl, .scr, .search-ms, .sql, .sr2, .srf, .srw, .sys, .wav, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (109 расширений). 

E-mail вымогателей: 
entry122717@gmail.com

entry123488@india.com

Файлы, связанные с этим Ransomware:
help recover files.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.

среда, 6 января 2016 г.

ToxCrypt, Tox

ToxCrypt Ransomware

Tox Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES и библиотеки Crypto ++, а затем требует выкуп в 0.23 биткоина, чтобы вернуть файлы обратно.  Для генерации ключей шифрования используется Microsoft CryptoAPI. К зашифрованным файлам добавляется расширение  .toxcrypt. Подробно описан TrendMicro в мае 2015 года. 

Записка о выкупе называется tox.html

  Распространяется ToxCrypt в виде вложений в email-спам под видом Word-документа, используя его значок. Но на самом деле там файл с расширением .scr. После запуска Tox будет загружать TOR и другие файлы в C:\Users\ User_Name\AppData\Roaming\. 

  В браузере TOR откроется специальный сайт Toxicola, где будет предложено подключиться к партнерской программе по распространению этого вымогателя и получить 70% от выкупа, тогда как разработчик получит только 30%. Свежеиспеченный партнер будет также нести ответственность за его распространение. У них также есть чат, где партнеры общаются между собой. 

Установленные фалы вымогателя: 
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\tox.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\Tox.scr
%AppData%\tor\
%AppData%\tor\cached-certs
%AppData%\tor\cached-microdesc-consensus
%AppData%\tor\cached-microdescs.new
%AppData%\tor\lock
%AppData%\tor\state
%AppData%\tox.log
%AppData%\tox_tor\
%AppData%\tox_tor\Data\
%AppData%\tox_tor\Data\Tor\
%AppData%\tox_tor\Data\Tor\geoip
%AppData%\tox_tor\Data\Tor\geoip6
%AppData%\tox_tor\Tor\
%AppData%\tox_tor\Tor\libeay32.dll
%AppData%\tox_tor\Tor\libevent-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_core-2-0-5.dll
%AppData%\tox_tor\Tor\libevent_extra-2-0-5.dll
%AppData%\tox_tor\Tor\libgcc_s_sjlj-1.dll
%AppData%\tox_tor\Tor\libssp-0.dll
%AppData%\tox_tor\Tor\ssleay32.dll
%AppData%\tox_tor\Tor\tor.exe
%AppData%\tox_tor\Tor\zlib1.dll
%AppData%\tox_tor\tor.zip

Список файловых расширений, подвергающихся шифрованию:
 .3fr, .3gp, .accdb, .aep, .aepx, .ai, .arw, .asf, .asp, .aspx, .bay, .blend, .bmp, .cad, .cdl, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dss, .dwg, .dxf, .dxg, .eml, .eps, .erf, .hpp, .indd, .java, .jpe, .jpeg, .jpg, .js, .kdc, .mdb, .mdf, .mef, .mrw, .mswmm, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pps, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .ptx, .pub, .py, .qbb, .qxd, .r3d, .raf, .raw, .rmvb, .rtf, .rw2, .rwl, .sit, .sitx, .sql, .sr2, .srf, .srw, .ss, .swf, .tif, .txt, .veg, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml (112 расширений). 

Степень распространенности: средняя.
Подробные сведения собираются. 

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *