среда, 20 апреля 2016 г.

Mobef, Yakes

Mobef (Yakes) Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные, а затем требует 4 Bitcoins (на момент изучения образца ~2000 USD), чтобы вернуть файлы обратно. 

© Генеалогия: CryptoBit ⟺ Mobef  (см. Генеалогия)
© Генеалогия: Mobef > Parisher

По окончании шифрования на Рабочем столе вместо обоев устанавливается чёрный экран, в котором красными буквами написано о том, то случилось с файлами и как связаться с вымогателями. К зашифрованным файлам добавляется расширения .keyh0les или .keyz

 В записке о выкупе указаны контактные данные для связи: emai и идентификатор пользователя Bitmessage: 
momsbestfriend@protonmail.com
torrenttracker@india.com
BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2 

  Посредством этих контактов вымогатели предлагают связаться с ними, чтобы предоставить идентификационный номер компьютера жертвы, указанный в записке о выкупе и в изображение, вставшем в качестве обоев рабочего стола. Если система не позволяет устанавливать обои на Рабочий стол, то информацию дублирует записка с требованием выкупа. 
Информация о выкупе в изображении на Рабочем столе
TXT-вариант записки о выкупе

  Mobef создает TXT-файлы записок о выкупе, начинающиеся с даты и заканчивающиеся словом -INFECTION.TXT, например, файл типа 4-15-2016-INFECTION.TXT говорит о том, то он был создан 15 апреля. Такие файлы находятся в каждой папке, где были зашифрованы файлы. 

  Список создаваемых файлов:
4-15-2016-INFECTION.TXT - записка о выкупе, описание см. выше;
4152016000.KEY - файла ключа, нужный вымогателю для шифрования/дешифрования данных, в начале названия легко узнается дата;
2886098.txt - содержит сведения о файлах, которые были зашифрованы.


Шифро-код в файле 4152016000.KEY

  Mobef использует следующие ключи реестра, которые могут указывать на использование алгоритмов DES, RSA и AES для шифрования информации: 
HKEY_CLASSES_ROOT\interface\{587e8c22-9802-11d1-a0a4-00805fc147d3}
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider 

  Mobef работает в системе как процесс tmp.exe, иногда в этом название процесса может быть еще несколько случайных чисел. К сожалению, завершение этот исполняемого файла и удаление всех компонентов вымогателей не решает проблему зашифрованных файлов. 

 Список файловых расширений, подвергающихся шифрованию:
.3ds, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .arj, .axx, .bak, .bpw, .cdr, .cer, .crp, .crt, .csv, .db, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .hid, .idx, .ifx, .iso, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp, .ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rpt, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sqllite, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip 

Файлы, связанные с Mobef Ransomware:
<random>.tmp.exe
<random>.exe
<4_hex_chars>.tmp.exe
Cancel Autoplay 2.exe
4-15-2016-INFECTION.TXT или другие [date]-INFECTION.TXT

Ещё файлы (для Mobef и CryptoBit):
[date]-INFECTIONE.txt
[date]000.KEY
1NFORMAT1ONFOR.YOU
ENCRYPT1ON.KEY+[1-2-3-digit_number]
[10-digits].KEY 
HELLOREADME+[random_number_1-31].TXT
HELLOWREADME+[random_number_1-31].TXT
helloreadmenow+[random_number_1-31].TXTZ
HITLERSLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERSNASTYLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERHASYOURFILES.KEY+[1-2-3-digit_number]

Сетевые подключения:
kentamplin.net... (192.185.16.132:80, США)
pgndeltapsi.com...

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются. 

пятница, 15 апреля 2016 г.

SuperCrypt

SuperCrypt Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует уплатить выкуп ваучерами Ukash на сумму 300€ или отправив 1 биткоин, чтобы вернуть файлы. К зашифрованным файлам добавляется расширение .SUPERCRYPT. Название получил от добавляемого расширения. 

Активность этого криптовымогателя пришлась на октябрь 2014 - февраль 2015. Ориентирован на взлом серверов в Европе (Италия, Франция, Польша и пр.) и Америке (Бразилия и пр.). 

Записки с требованием выкупа называются HOW TO DECRYPT FILES.txt и размещаются на рабочем столе. 

Содержание записки о выкупе:
If you're reading this text file, then ALL your FILES are BLOCKED with the most strongest military cipher.
All your data - documents, photos, videos, backups - everything in encrypted.
The only way to recover your files - contact us via supercrypt@mailer9.com
Only we have program that can completely recover your files.
Attach to e-mail:
1. Text file with your code ("HOW TO DECRYPT FILES.txt")
2. One encrypted file (please dont send files bigger than 1 MB)
We will check your code from text file and send to you our conditions and your decrypted file as proof that we actually have decrypter.
Remember:
1. The FASTER you'll CONTACT US - the FASTER you will RECOVER your files.
2. We will ignore your e-mails without attached code from your "HOW TO DECRYPT FlLES.txt"
3. If you haven't received reply from us - try to contact us via public e-mail services such as Yahoo or so.

Перевод записки на русский язык:
Если ты читаешь этот текстовый файл, то все твои файлы блокированы самым сильным военным шифром.
Все твои данные - документы, фото, видео, резервное копирование - все в зашифрованном виде.
Единственный способ восстановить файлы - связаться с нами через supercrypt@mailer9.com
Только у нас есть программа, которая может полностью восстановить твои файлы.
Добавить к email:
1. Текстовый файл с кодом ("HOW TO DECRYPT FILES.txt")
2. Один зашифрованный файл (пожалуйста, не отправляй файлы больше 1 Мб)
Мы проверим твой код из текстового файла и пришлем наши условия и твой расшифрованный файл как доказательства того, что у нас есть декриптер.
Запомни:
1. Быстрее контакт с нами - быстрее восстановишь свои файлы.
2. Мы будем игнорировать email-письма без прикрепленного кода из твоего "HOW TO DECRYPT FILES.txt"
3. Если ты не получил ответ от нас - пробуй связаться с нами с помощью email-почты Yahoo или подобной.

Email вымогателей: supercrypt@mailer9.com

Сведения о глобальном распространении отсутствуют. Распространения как такового и не было засвидетельствовано. Злоумышленики компрометировали сервера и компьютеры путем хакерских атак и взлома с помощью удаленного рабочего стола через RDP и VNC-порты или службы терминалов. Чаще всего пострадавшие упоминали про 3389 порт. После того, как хакер получал доступ к системе и вредоносное ПО было уже в компьютере, запускался защищенный паролем установщик SuperCrypt, который выполнял шифрование. По окончании шифрования хакер сам удалял всё вредоносное ПО с компьютера. Жертвы, которые заплатили выкуп, получили исправно отработавшую программу дешифрования и файлы были дешифрованы. 

Список файловых расширений, подвергающихся шифрованию:
- файлы документов;
- исполняемые файлы;
- файлы прикладных программ. 

Файлы, связанные с Ransomware:
HOW TO DECRYPT FILES.txt 

Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая; сейчас угроза неактивна.
Подробные сведения собираются.


http://www.bleepingcomputer.com/forums/t/552801/new-supercrypt-ransomware-appears-to-be-distributed-via-hacked-terminal-services/
http://www.bleepingcomputer.com/forums/t/551979/supercrypt-ransomware-support-and-help-topic-how-to-decrypt-filestxt/
 Thanks:
 Lawrence Abrams (Grinler)
 
 

четверг, 14 апреля 2016 г.

Rokku

Rokku Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Salsa20, а затем требует выкуп в 0,2403 Bitcoin (эквивалентно $100,29), чтобы вернуть файлы обратно. течением времени и в зависимости от размера зашифрованной информации, сумма может возрасти до 5 биткоинов. 

К зашифрованным файлам добавляется расширение .rokku

Активность этого криптовымогателя пришлась на март-апрель 2016 г. Все теневые копии файлов и точки восстановления системы удаляются.

Об шифровании с помощью Salsa20
Каждый файл шифруется своим уникальным ключом. Ключ к файлу затем шифруется с помощью алгоритма RSA-512 и хранится в последних 252 байтах самого файла. Это уже второй крипто-вымогатель, использующий алгоритм Salsa20 (ещё Petya Ransomware его использует), который обеспечивает большую скорость шифрования по сравнению с алгоритмом AES.

Ключ дешифрования, который выдается для расшифровки одного тестового файла, будет работать только на этом конкретном файле, поскольку каждый зашифрованный вымогателями файл имеет свой индивидуальный ключ.

ВАЖНО!!! Никогда не стоит сообщать вымогателям о личной или семейной ценности зашифрованной информации. Сумма выкупа от этого только возрастет. 

 Записки с требованием выкупа называются README_HOW_TO_UNLOCK.html и README_HOW_TO_UNLOCK.txt помещаются в каждой папке, где были зашифрованы файлы, информируя жертву о том, что произошло с файлами.
Директория размещения записок о выкупе
Зашифрованные файлы с расширениями .rokku

Запущенный пользователем Rokku сканирует ПК в поиске файлов определённых расширений (документы, фотографии, аудио-видео-файлы и пр.), размером ниже 30 Мб и начинает шифрование файлов. По окончании шифрования жертва информируется о произошедшем с помощью записок о выкупе. 
TXT-вариант записки о выкупе

 Содержание записки о выкупе: 
YOUR FILE HAS BEEN LOCKED
In order to unlock your files, follow the instructions bellow:
1. Download and install Tor Browser
2. After a successful installation, run Tor Browser and wait for its initialization.
3. Type in the address bar: http://zvnvp2rhe3ljwf2m.onion
4. Follow the instructions on the site.

 Перевод записки на русский язык: 
ВАШ ФАЙЛ ЗАБЛОКИРОВАН
Для разблокировки файлов следуйте инструкциям ниже:
1. Скачайте и установите Tor Browser
2. После успешной установки запустите Tor Browser и ждите его инициализации.
3. Введите в адресной строке: HTTP: //zvnvp2rhe3ljwf2m.onion
4. Следуйте инструкциям на сайте.


HTML-вариант записки о выкупе


От жертвы требуется установить браузер Tor и посетить специальный onion-адрес, где размещена пошаговая инструкция по уплате выкупа. 

Каждой жертве присваивается уникальный ID, указанный на странице ORDER ID. 


Окно onion-сайта UNLOCK SERVICE



Вымогатели позволяют расшифровать бесплатно один файл. Это, по их мнению, гарантирует, что другие зашифрованные файлы тоже будут успешно дешифрованы.
Окно декриптера для выбора одного файла

 Распространяется с помощью email-спама и вредоносных вложений, загружаемых с помощью одноранговой (P2P) сети файлов, троянских загрузчиков и поддельных обновлений программного обеспечения. 
QR-код для отправки Bitcoin

Кажется это первый случай, когда киберпреступники дают своим жертвам возможность прочитать текст с выбором нужного языка и предлагают использовать QR-код для отправки Bitcoin. QR-код откроет поисковый запрос Google, который объясняет, как получить необходимое количество биткинов.

Файлы Rokku пока не замечены в местах автозагрузки или любых других директориях, кроме вымогательских записок. Это означает, что нет активной инфекции, когда ПК перезагружен или работа вредоноса завершена. Чтобы удалить исполняемый файл Rokku, нужно просканировать компьютер антивирусным ПО с актуальным набором антивирусных баз. Вымогательские записки нужно будет удалить вручную, так как антивирусы не обнаруживают текстовые файлы.

Список файловых расширений, подвергающихся шифрованию: 
.001 .1dc .3ds .3fr .7z .a3s .acb .acbl .accdb .act .ai .ai3 .ai4 .ai5 .ai6 .ai7 .ai8 .aia .aif .aiff .aip .ait .anim .apk .arch00 .ari .art .arw .asc .ase .asef .asp .aspx .asset .avi .bar .bak .bay .bc6 .bc7 .bgeo .big .bik .bkf .bkp .blob .bmp .bsa .c .c4d .cap .cas .catpart .catproduct .cdr .cef .cer .cfr .cgm .cha .chr .cld .clx .cpp .cr2 .crt .crw .cs .css .csv .cxx .d3dbsp .das .dat .dayzprofile .dazip .db .db0 .dbf .dbfv .dcr .dcs .der .desc .dib .dlc .dle .dlv .dlv3 .dlv4 .dmp .dng .doc .docm .docx .drf .dvi .dvr dwf .dwg .dxf .dxg .eip .emf .emz .epf .epk .eps .eps2 .eps3 .epsf .epsp .erf .esm .fbx .ff .fff .fh10 .fh11 .fh7 .fh8 .fh9 .fig .flt .flv .fmod .forge .fos .fpk .fsh .ft8 .fxg .gdb .ge2 .geo .gho .gz .h .hip .hipnc .hkdb .hkx .hplg .hpp .hvpl .hxx .iam .ibank .icb .icxs .idea .iff .iiq .indd .ipt .iros .irs .itdb .itl .itm .iwd .iwi .j2k .java .jp2 .jpe .jpeg .jpf .jpg .jpx .js .k25 .kdb .kdc .kf .kys .layout .lbf .lex .litemod .lrf .ltx .lvl .m .m2 .m2t .m2ts .m3u .m4a .m4v .ma .map .mat .max .mb .mcfi .mcfp .mcgame .mcmeta .mdb .mdbackup .mdc .mddata .mdf .mdl .mdlp .mef .mel .menu .mkv .mll .mlx .mn .model .mos .mp .mp4 .mpqge .mrw .mrwref .mts .mu .mxf .nb .ncf .nef .nrw .ntl .obm .ocdc .odb .odc .odm .odp .ods .odt .omeg .orf .ott .p12 .p7b .p7c .pak .pct .pcx .pdd .pdf .pef .pem .pfx .php .php4 .php5 .pic .picnc .pkpass .png .ppd .ppt .pptm .pptx .prj .prt .prtl .ps .psb .psd .psf .psid .psk .psq .pst .ptl .ptx .pwl .pxn .pxr .py .qdf .qic .r3d .raa .raf .rar .raw .rb .re4 .rgss3a .rim .rofl .rtf .rtg .rvt .rw2 .rwl .rwz .sav .sb .sbx .sc2save .sdf .shp .sid .sidd .sidn .sie .sis .skl .skp .sldasm .sldprt .slm .slx .slxp .snx .soft .sqlite .sqlite3 .sr2 .srf .srw .step .stl .stp .sum .svg .svgz .swatch .syncdb .t12 .t13 .tar .tax .tex .tga .tif .tiff .tor .txt .unity3d .uof .uos .upk .vda .vdf .vfl .vfs0 .vpk .vpp_pc .vst .vtf .w3x .wav .wb2 .wdx .wma .wmo .wmv .wallet .ycbcra .wotreplay .wpd .wps .x3f .xf .xl .xlk .xls .xlsb .xlsm .xlsx .xvc .xvz .xxx .yuv .zdct .zip .ztmp (377 расширений).

Директории, пропускаемые шифровальщиком: 
$recycle.bin
system volume information
windows.old
$windows.~bt
windows
windows
locallow
local
roaming
programdata
program files
program files (x86)

Файлы, пропускаемые шифровальщиком: 
thumbs.db
iconcache.db
bootsec.bak

Файлы, связанные с Ransomware: 
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.HTML
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.TXT
%USERPROFILE%\Desktop\README_HOW_TO_UNLOCK.HTML
%USERPROFILE%\Documents\README_HOW_TO_UNLOCK.TXT
и другие, см. Malwr анализ ниже. 

Подробный анализ Rokku см. в блоге MalwareBytes. По их мнению он связан с Chimera Ransomware.

К сожалению, пока нет бесплатных инструментов для дешифрования файлов, зашифрованных Rokku Ransomware. Таким образом, единственным решением этой проблемы является восстановление файлов из заранее подготовленной резервной копии или переносного бэкапа.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая. 
Подробные сведения собираются.

Radamant 1.0, 2.0, 2.1

Radamant Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Фальш-имена: DirectX.exe, StubNew.exe

© Генеалогия: Radamant > Radamant 2 

К зашифрованным файлам добавляется расширение: 
.RDM -  в 1-й версии;
.RRK - во 2-й версии;
.RADAMANT - в 2.1 версии;
.RAD - в версии марта-апреля 2016.

Активность этого крипто-вымогателя пришлась на декабрь 2015 г., продолжилась до апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Если зараженный компьютер принадлежат к одной из следующих стран, автоматический запускается процесс расшифровки всех файлов с расширением .RADAMANT: 
Беларусь
Казахстан
Россия
Украина

Текстовой записки с требованием выкупа нет, вместо неё на рабочем столе создаётся ссылка YOUR_FILES.url, которая ведёт на сайт оплаты выкупа. На сайте интерфейс представлен на 8 языках, в том числе на русском. 


 

Содержание страницы о выкупе:
Attention! What happened?
All your files on hard drives, removable media and network shares have been cryptographically encrypted AES-256 algorithm encryption key RSA-2048
Expansion of encrypted files: .RDM
To date, the encryption algorithm AES-256 is not possible decrypt.
Learn more about the algorithm can be here: Wikipedia
What to do?
The key to decrypt your files stored on our server. For decrypt the need to make a few simple steps:
1 Create Bitcoin Wallet
We recommend: blockchain.info
2. Get cryptocurrency Bitcoin
We recommend:
1) localbitcoins com - (Visa/MasterCard, QIWI Visa Wallet, Any Bank and etc.)
2) btc-e.com (WebMoney, Visa/MasterCard and etc. )
3. Send 0.5 BTC (227.37 USD) to the address: *****
Attention! When sending a small amount bitcoin of the transaction will not be counted!
4. After payment confirmation expected transaction from 15 minutes to 72 hours
5. After payment of this page will automatically notify you of the beginning of the decryption of files
We strongly recommend not to disconnect the power supply, as well as to extract the encrypted electronic data earners!
If you remove the removable media before decryption, connect them again and confirm "RESCAN".
After performing these actions will remove the program from your computer
To carry out actions you have:*
***timer***
At the expiry of the time redemption amount will be increased. Please make payment in a tímely. 
DANGEROUS! 
Do not try to cheat the system, edit encrypted files, or uninstall. This will result in the inability to recover your data, and we can not help you. 
We recommend:
1 Bitcoin FAQ: blockchain.info
2. Bitcom wallet FAQ: blockchain.info
You can contact us by e-mai to assist in payment and explanation of the 1 test fie free.
E-mail: *****
RADAMANT RANSOMWARE KIT

Перевод страницы на русский язык:
Внимание! Что случилось?
Все ваши файлы на жестких дисках, сменных носителях и сетевых папках были криптографически зашифрованы AES-256 алгоритм шифрования ключа RSA-2048
Расширение зашифрованных файлов: .RDM
На сегодняшний день алгоритм шифрования AES-256 невозможно дешифровывать.
Узнать об алгоритме можно здесь: Википедия
Что делать?
Ключ для дешифровки файлов хранится на нашем сервере. Для расшифровки нужно сделать несколько простых шагов:
1 Создать Bitcoin-кошелек
Мы рекомендуем: blockchain.info
2. Получить криптовалюту Bitcoin
Мы рекомендуем:
1) localbitcoins COM - (Visa / MasterCard, Visa QIWI Кошелек, любой банк и т.д.)
2) btc-e.com (WebMoney, Visa / MasterCard и т.д.)
3. Отправить 0,5 BTC (227.37 USD) на адрес: *****
Внимание! При отправке меньшего количества Bitcoin сделки не будут учитываться!
4. После подтверждения оплаты ожидается транзакция от 15 минут до 72 часов
5. После оплаты эта страница будет автоматически уведомлять вас о начале дешифровки файлов
Мы очень рекомендуем не отключать электропитание, а также для извлечения зашифрованных электронных добытчиков данных!
Если вы удалили съемный носитель перед дешифровкой, подключите его снова и подтвердите "Rescan".
После выполнения этих действий будет произведено удаление программы с компьютера
Для выполнения действий, у вас есть:
***таймер***
По истечении времени сумма выкупа будет увеличена. Пожалуйста сделайте оплату вовремя.
ОПАСНО!
Не пытайтесь обмануть систему, редактировать зашифрованные файлы или удалить. Это приведет к невозможности восстановить ваши данные, и мы не сможем вам помочь.
Мы рекомендуем:
1 Bitcoin FAQ: blockchain.info
2. Bitcom-кошелек FAQ: blockchain.info
Вы можете связаться с нами по email для помощи по оплате и бесплатной расшифровки 1 тестового файла.
Эл. адрес: *****
RADAMANT RANSOMWARE KIT

Текст из окна дешифровщика:
Now begins the decryption of your files! Do not turn off the power and turn on the carriers that have been encrypted! When you're ready, click "OK".

Перевод на русский:
Сейчас начнётся дешифровка файлов! Не выключайте питание и подключите носители, что были зашифрованы! Будете готовы, жмите "OK".

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (в том числе фальшивых PDF), набора эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляются все теневые копии файлов командой:
process call create "cmd.exe /c vssadmin delete shadows /all /quiet"

Список файловых расширений, подвергающихся шифрованию:
.0,36, .0,411,.1cd, .1st, .2bp, .3dm, .3ds, .3fr, .4db, .4dl, .4mp, .73i, .8xi, .9png, .a3d, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af2, .af3, .aft, .afx, .agif, .agp, .ahd, .ai, .ai, .aic, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .apng, .aps, .apt, .apx, .art, .art, .artwork, .arw, .arw, .asc, .ascii, .ase, .ask, .asw, .asy, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bib, .blend, .blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .bzabw, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cf, .cfu, .cgm, .chart, .chord, .cimg, .cin, .cit, .ckp, .clkw, .cma, .cmx, .cnm, .cnv, .colz, .cpc, .cpd, .cpg, .cps, .cpt, .cpx, .cr2, .crd, .crd, .crwl, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .daschema, .db, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .db-shm, .dbt, .dbv, .db-wal, .dbx, .dc2, .dca, .dcb, .dcr, .dcs, .dct, .dcx, .ddl, .ddoc, .dds, .ded, .design, .df1, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djv, .djvu, .djvu, .dm3, .dmi, .dmo, .dnc, .dne, .doc, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dp1, .dpp, .dpx, .dqy, .drw, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dtsx, .dtw, .dvi, .dvl, .dwg, .dx, .dxb, .dxf, .dxl, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eql, .erf, .erf, .err, .err, .etf, .etx, .euc, .exr, .fadein, .fal, .faq, .fax, .fb2, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fft, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fic, .fid, .fif, .fig, .fil, .fil, .flc, .fli, .flr, .fm5, .fmp, .fmp12, .fmpsl, .fmv, .fodt, .fol, .fountain, .fp3, .fp4, .fp5, .fp7, .fpos, .fpt, .fpt, .fpx, .frt, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gif, .gif, .gih, .gim, .gio, .gio, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grob, .grs, .gsd, .gsd, .gthr, .gtp, .gv, .gwi, .hbk, .hdb, .hdp, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .hs, .htc, .html, .hwp, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .idx, .igt, .igx, .ihx, .iil, .iiq, .imd, .info, .ink, .int, .ipf, .ipx, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jarvis, .jas, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jp1, .jp2, .jp2, .jpe, .jpe, .jpeg, .jpeg, .jpeg, .jpg, .jpg, .jpg2, .jps, .jpx, .jrtf, .jtf, .jtx, .jwl, .jxr, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .kic, .klg, .klg, .knt, .kon, .kpg, .kwd, .latex, .lbm, .lbt, .lgc, .lis, .lit, .ljp, .lmk, .lnt, .lp2, .lrc, .lst, .lst, .ltr, .ltx, .lue, .luf, .lwo, .lwp, .lws, .lxfml, .lyt, .lyx, .m3d, .ma, .mac, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .md5txt, .mdb, .mdbhtml, .mdf, .mdn, .mdt, .me, .mef, .mell, .mft, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .min, .mmat, .mng, .mnr, .mnt, .mobi, .mos, .movie.byu, .mpf, .mpo, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nsf, .nsf, .nv2, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .odb, .odm, .odo, .ods, .odt, .ofl, .oft, .omf, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p7s, .p96, .p97, .pages, .pal, .pan, .pano, .pap, .pbm, .pc1, .pc2, .pc3, .pcd, .pcs, .pcx, .pcx, .pdb, .pdb, .pdb, .pdd, .pdf, .pdm, .pdn, .pdn, .pe4, .pe4, .pef, .pfd, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .pi1, .pi2, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pm, .pmg, .pmg, .png, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .ppt, .pptm, .pptx, .prt, .prw, .ps, .ps, .psd, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .ptg, .pth, .ptx, .ptx, .pu, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .pz3, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qry, .qvd, .rad, .ras, .raw, .rctd, .rcu, .rdb, .rdl, .readme, .rft, .rgb, .rgb, .rgf, .rib, .ric, .riff, .ris, .rix, .rle, .rli, .rng, .rpd, .rpf, .rpt, .rri, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .rtf, .rtx, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sai, .sam, .save, .sbf, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .sct, .scv, .scw, .sdb, .sdb, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .sig, .sk1, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssfn, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .sty, .sub, .sumo, .sva, .svf, .svg, .svg, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tb0, .tbn, .tcx, .tdf, .tdf, .tdt, .te, .teacher, .tex, .tex, .text, .tfc, .tg4, .tga, .thm, .thp, .thumb, .tif, .tif, .tiff, .tiff, .tjp, .tlb, .tlc, .tm, .tm2, .tmd, .tmd, .tmv, .tmx, .tn, .tne, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .ufr, .uga, .unauth, .unity, .unx, .uof, .uot, .upd, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vbr, .vct, .vda, .vdb, .vec, .vff, .vml, .vnt, .vpd, .vpe, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vue, .vw, .wb1, .wbc, .wbd, .wbk, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wmdb, .wmf, .wmf, .wn, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpd, .wpe, .wpg, .wpl, .wps, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .wvl, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xdl, .xhtm, .xld, .xlf, .xlgc, .xls, .xlsm, .xlsx, .xmind, .xmmap, .xpm, .xps, .xwp, .xwp, .xwp, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z3d, .zabw, .zdb, .zdc, .zif, .zw (944 расширения).

В версии 2.1 список расширений см. в скриншоте:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые файлы и пр.

Файлы, связанные с этим Ransomware:
%Desktop%\YOUR_FILES.url
C:\Windows\directx.exe
%AppData%\Roaming\DirectX.exe
zero.exe
build.exe
aaa.bat
%User%\Documents\random_folder\r1.exe.exe
%Temp%\<random>.exe
%Temp%\<random>.tmp

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svchost    C:\Windows\directx.exe
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\svchost    C:\Windows\directx.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
crazytrevor.com
crazytrevor.in
checkip.dyndns.org
tangotangocash.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>  Ещё >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Malwr анализ >> Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер!



 Read to links: 
 Topic on BC (Support and Help)
 ID Ransomware (ID as Radamant, Radamant v2.1)
 Write-up
 Write-up (analysis)
 *
 Thanks: 
 Lawrence Abrams
 Fabian Wosar
 Michael Gillespie
 Mosh on Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 12 апреля 2016 г.

PowerWare

PowerWare Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (CBC-режим), а затем требует посетить Tor-сайт вымогателей, чтобы ознакомиться с инструкциями, заплатить выкуп $500 в биткоинах, чтобы вернуть файлы. Через неделю после шифрования сумма удваивается до $1000. Шифрование выполняется, используя Windows PowerShell. Название получил от сложения слов PowerShell и Ware в описании исследователей из Carbon Black. 

© Генеалогия: PowerShell Locker 2015 > PowerWare
К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на март-апрель 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: FILES_ENCRYPTED-READ_ME.HTML

Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
---
For more specific instructions, please visit this home page:
1.xxxp://v2aahacan6ed564p.onion.nu
Please scroll below for your #UUID
---
If for some reasons the address is not available, follow these steps:
1. Download and install tor-browser: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: v2aahgcan6ed564p.onion
4. Follow the instructions on the site.
---
IMPORTANT INFORMATION:
Your Home PAGE: xxxp://v2aahqcan6ed564p.onion.nu
Your Home PAGE(using TOR): 3afd57c4dchzp3pe.onion
Please scroll below for your #UUID
---
Your #UUID is MNfYUEmu30dlgv5jnIPoD9akc
The price to obtain the decrypter goes from 500$ to 1000$ on the day of 04/01/2016 02:37:20

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены сильным шифрованием с RSA-2048.
Более подробную информацию о ключах шифрования с помощью RSA-2048 можно найти здесь: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
Что это значит?
Это значит, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете восстановить их.
Как это произошло?
Специально для Вас, на нашем сервере был создан парный секретный ключ RSA-2048 - открытый и секретный.
Все ваши файлы зашифрованы с помощью открытого ключа, который передан на компьютер через Интернет.
Дешифровать файлов можно только с помощью секретного ключа и декриптера, находящихся на нашем секретным сервере.
Что мне делать?
Увы, если не принять нужные меры в заданное время, то будут изменены условия для получения секретного ключа.
Если вы точно цените свои данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет.
---
Более подробные инструкции, пожалуйста, посетите домашнюю страницу:
1.xxxp://v2aahacan6ed564p.onion.nu
Пожалуйста, прокрутите ниже для вашего #UUID
---
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите TOR-браузер: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: v2aahgcan6ed564p.onion
4. Следуйте инструкциям на сайте.
---
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша домашняя страница: xxxp://v2aahqcan6ed564p.onion.nu
Ваша домашняя страница (с использованием ТЗ): 3afd57c4dchzp3pe.onion
Пожалуйста, прокрутите ниже для вашего #UUID
---
Ваш #UUID является MNfYUEmu30dlgv5jnIPoD9akc
Цена для получения Decrypter идет от 500 $ до 1000 $ в день 04/01/2016 02:37:20

В записке о выкупе в качестве алгоритма шифрования указан RSA-2048 для устрашения пострадавшей стороны. 

Распространяется с помощью email-спама и вредоносных вложений (например, Invoice 2016-M.docm, Faktura_2016-M.doc, Invoice 2016.zip, Invoice_2016_M.lnk и пр.), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


PowerWare маскируется под документы Microsoft Word в качестве счета-фактуры. 

При открытии этого файла предлагается включить макрос, якобы для правильного отображения содержимого документа. Если пользователь разрешит это действие, то будет создан процесс cmd.exe и вызван Windows PowerShell для загрузки и запуска вредоносного скрипта с сайта вымогателей. Таким образом вредоносную работу выполняет PowerShell, который не надо загружать из Интернета, потому что он компонент системы. 

После шифрования файлов PowerWare оставляет записки о выкупе в каждой папке с зашифрованными файлами, в которых подробно расписано как пострадавший пользователь может получить свои файлы обратно. Затем крипто-вымогатель самоликвидируется. 

На Tor-сайте вымогателей приведены инструкции по покупке биткоинов и передаче их вымогателям. Есть функция предварительной дешифровки файлов, чтобы доказать наличие работающего декриптера. 


Обманчивая простота в коде и "бестелесность" PowerWare представляет собой новый подход к производству программ-вымогателей. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx,  .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds,  .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spf, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xpi, .xpt, .xtwx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений). 
Это документы MS Office, PDF, базы данных, фотографии, анимация, музыка, видео, архивы, файлы налоговых деклараций, Adobe Photoshop, CorelDRAW и пр.

Файлы, связанные с этим Ransomware:
FILES_ENCRYPTED-READ_ME.HTML
Invoice 2016-M.docm
Faktura_2016-M.doc
Invoice 2016.zip
Invoice_2016_M.lnk
<random>.exe
<random>.tmp
<random>.lnk
<random>.docm
<random>.doc

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
skycpa.in/pi.php
piecelaw.top
ruttslaw.work
104.131.129.248
162.243.240.178

Результаты анализов:
Гибридный анализ на инвойс >>
VirusTotal анализ на инвойс >>
Malwr анализ >>

По умолчанию выполнение сценариев Windows PowerShell в системе запрещено. По соображениям безопасности все скрипты PowerShell должны быть подписаны цифровой подписью. Если скрипт не соответствует этому условию, то выполнение сценариев PowerShell в системе запрещено. Это связано с тем, что в скрипте может находиться вредоносный код, который может нанести вред операционной системе. Но так как известно немало случаев воровства цифровой подписи или получения её мошенниками, то лучше вообще отключить использование в Windows работу PowerShell как компонента. 

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 Carbon Black
 Trend Micro
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *