суббота, 30 апреля 2016 г.

Crypt0L0cker

Crypt0L0cker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256, а затем требует 2 биткоина за расшифровку. Не путайте его с CryptoLocker, т.к. у нового криптовымогателя буквы "o" в названии заменены нулями. Это название дано самими разработчиками-вымогателями. К зашифрованным файлам добавляется расширение .encrypted. С августа 2016 новое расширение .enc

  Специалисты считают Crypt0L0cker обновленной версией более раннего вымогателя TorrentLocker. Впервые замечен в конце апреля 2015 в странах Европы, Азии и в Австралии. 

© Генеалогия: TorrentLocker > Crypt0L0cker 

  Crypt0L0cker прописывается в автозагрузку, запрещает браузеру Internet Explorer использование антифишингового фильтра, создает папки и файлы со случайными именами в системных и программных директориях. Теневые копии файлов удаляются, повреждаются или инфицируются. 

Записки о выкупе называются:
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTIONS.TXT
HTML-вариант записки о выкупе 

TXT-вариант записки о выкупе

Crypt0L0cker распространяется по email, как уведомление от австралийской федеральной полиции (AFP) за нарушения ПДД и превышения скорости. 

Первоначально был ориентирован на Австралию и сопредельные страны Азии, но на деле атакует практически все страны, кроме США. Компьютеры, использующие IP-адрес США пока не инфицируются. C&C-сервера находятся в зоне .RU, но в данный момент эти домены свободны и не делегированы.

Список файловых расширений, НЕ подвергающихся шифрованию:
avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe

Обновление от 12 августа 2016
Новая спам-кампания по распространению Crypt0L0cker использует email-спам, приходящий якобы от итальянской энергетической компании Enel. Письма содержат вложения под названием ENEL_BOLLETA.zip, в котором находится JS-файл ENEL_BOLLETA.js

Если этот файл будет запущен на выполнение, то он загрузит исполняемый файл TorrentLocker, сохранит его в папке %Temp% и запустит. После выполнения, он будет шифровать файлы пользователя и добавлять к ним расширение .enc. Затем будет создана со случайным именем записка с требованием выкупа, содержащая инструкции о том, как получить доступ к платежному сайту Crypt0L0cker. Ориентирован на итальяноязычных пользователей. 

Детект на VirusTotal >>


HTML-вариант записки о выкупе (август 2016)

Содержание записки на итальянском: 
ATTENZIONE
abbiamo criptato vostri file con il virus Crypt0L0cker
I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L'unico modo per ripristinare i file è quello di pagare noi. In caso contrario, i file verranno persi.
Attenzione: La rimozione di Crypt0L0cker non ripristinare l'accesso ai file crittografati.
Per recuperare i file si deve pagare
Al fine di ripristinare i file aperti nostro sito http://vrvmpoqs5ra34nfo.toi-vievv.pl/tutu6a.php7*** e seguire le istruzioni.
Se il sito non è disponibile si prega di attenersi alla seguente procedura:
1. Scaricare e installare TOR-browser da questo link: https://www.torproject.org/download/dovvnload-easv.html.en
2. Dopo l'installazione eseguire il browser e digitare l'indirizzo: http://vrympoqs5ra34nfo.omon/tutu6a.php?user_code***
3. Seguire le istruzioni sul sito.

Перевод на русский:
ВНИМАНИЕ!
Мы зашифровали файлы вирусом Crypt0L0cker
Ваши важные файлы (также файлы на сетевых дисках, USB и т.д.): фото, видео, документы и пр. зашифрованы с помощью нашего вируса Crypt0L0cker.
Единственный способ вернуть файлы, это платить нам. Иначе файлы будут потеряны.
Знайте: Удаление Crypt0L0cker не вернёт доступ к зашифрованным файлам.
Как мне вернуть файлы, которые нужно оплатить
Для восстановления файлов, откройте наш веб-сайт http://vrvmpoqs5ra34nfo.toi-vievv.pl/tutu6a.php7*** и следуйте инструкции.
Если сайт недоступен, пожалуйста, выполните следующие действия:
1. Скачайте и установите TOR-браузер по этой ссылке: https://www.torproject.org/download/dovvnload-easv.html.en
2. После установки, запустите браузер и введите адрес: HTTP: //vrympoqs5ra34nfo.omon/tutu6a.php User_code ***
3. Следуйте инструкциям на сайте.


Степень распространённости: высокая. 
Подробные сведения собираются.

вторник, 26 апреля 2016 г.

TrueCrypter

TrueCrypter Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью двойного шифрования AES-256 и RSA-2048, а затем требует выкуп в 0.2 BTC или $115 в подарочной карте Amazon, чтобы вернуть файлы. Оригинальное название: TrueCrypter. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на конец апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Вероятно, что эта программа была сделана любителем, а не опытным разработчиком вредоносных программ, т.к. получателя оплаты можно отследить с помощью Amazon. 

Запиской с требованием выкупа выступает экран блокировки. 

Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола. 
Скринлок на обоях рабочего стола

Содержание текста о выкупе с обоев:
If you see this text, probably your computer got encrypted by TrueCrypter. This means all your important files (documents, images, etc.) are now unaccessible and you will lose them forever unless you pay a sum of money to get your decryption key.
The decryption key uses the RSA-2048 algorythm, impossible to crack. Your files will be lost forever without paying.
If you don't care about your files, just uninstall this software.
If you lost the application because your antivirus deleted it, or you need help, you can contact us on our email:
trueransom@mail2tor.com
(You only have 72 hours before your private key will be destroyed, hurry up if you want to save your files!)

Перевод текста на русский язык:
Если вы видите этот текст, видимо, ваш компьютер зашифрован TrueCrypter. Это значит, что все ваши важные файлы (документы, изображения и т.д.) теперь недоступны, и вы потеряете их навсегда, если не заплатите денежную сумму, чтобы получить ключ дешифрования.
Ключ дешифрования использует алгоритм RSA-2048, который невозможно взломать. Ваши файлы будут потеряны навсегда без оплаты.
Если вам не нужны ваши файлы, просто удалите эту программу.
Если вы потеряли приложение, т.к. ваш антивирус удалил его или вам нужна помощь, вы можете связаться с нами по enail:
trueransom@mail2tor.com
(У вас есть только 72 часа, прежде чем ваш секретный ключ будет уничтожен, торопитесь, если хотите сохранить свои файлы!)


Технические детали

После запуска в системе TrueCrypter может проверить работу своего процесса в виртуальной системе или песочнице (VMWare, VirtualBox, Sandboxie). Если это так, то процесс будет прекращён. Если это обычная система, то он проверяет наличие процессов, относящихся к программам безопасности. Обнаружив один из таких процессов, он завершает его. 
К ним относятся: antilogger, wireshark, charles, fiddler, netmon, reflector, sbiectrl, taskmgr.
Как оказалось позже, функционал проверки работы в виртуальной системе пока не используется.

Затем TrueCrypter подключается к странице *ask.fm/innocentask001*, содержащей закодированную строку. При декодировании она откроет информацию о конфигурации: адрес C&C-TOR-сервера, сумму оплаты выкупа и Bitcoin-адрес для использования.

Например, зашифрованная строка:
XjwajwZwq=myyu://r2htkyphj5l4ldef.tsnts.lv GnyhtnsFiiwjxx=1337XkOg91bRK7Z7yUDXJf2KGyUw7uEcon GnyhtnsFrtzsy=0.2 FrfetsFrtzsy=115
декодируется в:
ServerUrl=Onion2web BitcoinAddress=1337SfJb91wMF7U7tPYSEa2FBtPr7pZxji BitcoinAmount=0.2 AmazonAmount=115

Далее крипто-вымогатель начинает шифрование файлов на жестких дисках с использованием алгоритма AES-256. 
Каждый файл шифруется с уникальным AES-ключом, а затем этот ключ с шифруется с использованием RSA. 
Зашифрованный таким образом ключ дешифрования сохраняется в конце зашифрованного файла. 
Затем к зашифрованному файлу добавляется расширение .enc, а имя файла сохраняется в файл encrypted.dat 

Во время процесса шифрования вымогатель устанавливает в качестве обоев рабочего стола Windows файл background.jpg
Затем удаляются точки восстановления системы и теневые копии файлов командой:
vssadmin delete shadows /all /quiet

TrueCrypter сохраняет информацию о своей конфигурации в файл TrueCrypter.xml

Информация о проделанном шифровании файлов отправляется на C&C-сервер.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.7z, .7zip, .arw, .as, .asm, .asp, .aspx, .au3, .avi, .bash, .bat, .bmp, .bookmarks, .bsh, .c, .cbr, .cc, .cer, .cfm, .class, .cmd, .config, .cpp, .cr2, .crw, .cs, .csh, .csproj, .csr, .css, .csv, .cxx, .d, .db, .dcr, .dds, .deb, .dib, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dtd, .eps, .fla, .fpx, .gif, .gif, .gz, .gzip, .h, .hpp, .hta, .htm, .html, .hxx, .ico, .inc, .inc, .index, .ini, .jad, .java, .jfif, .jpe, .jpeg, .jpg, .js, .jsm, .json, .jsp, .jss, .jsx, .kix, .lex, .litcofee, .lpr, .lua, .m, .mov, .mp3, .mp4, .mrw, .msg, .mx, .nef, .ods, .odt, .org, .p, .pages, .pas, .pcd, .pdf, .pdn, .php, .php3, .php4, .php5, .phps, .phpt, .phtml, .pkg, .pl, .pm, .pmx, .png, .pot, .potm, .potx, .pp, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prproj, .ps, .ps1, .psd, .psm1, .ptx, .pwi, .py, .pyc, .pyw, .r, .raf, .rar, .raw, .rb, .rbw, .rc, .reg, .resx, .rpm, .rss, .rtf, .rw2, .s, .scpt, .sh, .sh, .shtml, .sitx, .sldm, .sldx, .sln, .splus, .sql, .sqlite, .sqlite3, .src, .swift, .sxc, .tar, .tar.gz, .tga, .thmx, .tif, .tiff, .ts, .tsv, .tsx, .txt, .vb, .vbs, .vcxproj, .veg, .wmw, .wpd, .wps, .xcodeproj, .xht, .xhtm, .xhtml, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xltx, .xml, .zip, .zipx (191 расширение без дублей). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
\TrueCrypter\ - папка
background.jpg
Encrypted.dat
TrueCrypter.exe
TrueCrypter.xml

Расположения:
%AppData%\Microsoft\TrueCrypter\
%AppData%\Microsoft\TrueCrypter\background.jpg
%AppData%\Microsoft\TrueCrypter\Encrypted.dat
%AppData%\Microsoft\TrueCrypter\TrueCrypter.exe
%AppData%\Microsoft\TrueCrypter\TrueCrypter.xml

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrueCrypter    %AppData%\Microsoft\TrueCrypter\TrueCrypter.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
art.apis.google.com/chart?***
forumforastral.com/innocentuser001***
https://bitcoin.org/en/getting-started***
mazon.com/gp/product/B004LLIKVU***
oftkce5g4gyza.onion.gq***
trueransom@mail2tor.com***
xxxx://4ggxntohlejkutst.onion.gq/
xxxx://chart.apis.google.com/chart?***
xxxx://forumforastral.com/innocentuser001***
xxxx://m2coftkce5g4gyza.onion.gq (94.102.53.178:80 Нидерланды)
xxxx://m2coftkce5g4gyza.onion.gq/
xxxx://onion.gq/
xxxx://qtrudrukmurps7tc.onion.gq/
xxxx://tzsvejrzduo52siy.onion.gq/
xxxxs://ask.fm/innocentask001***
Email: trueransom@mail2tor.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.




Дешифрование

 Попавший к исследователям образец крипто-вымогателя, начинал дешифровку файлов после нажатия на кнопки ">" и "Pay". Пробуйте. 


Внимание! 
Файлы можно дешифровать!
Читайте инструкцию по дешифровке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as TrueCrypter)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

среда, 20 апреля 2016 г.

Mobef, Yakes

Mobef (Yakes) Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные, а затем требует 4 Bitcoins (на момент изучения образца ~2000 USD), чтобы вернуть файлы обратно. 

© Генеалогия: CryptoBit ⟺ Mobef  (см. Генеалогия)
© Генеалогия: Mobef > Parisher

По окончании шифрования на Рабочем столе вместо обоев устанавливается чёрный экран, в котором красными буквами написано о том, то случилось с файлами и как связаться с вымогателями. К зашифрованным файлам добавляется расширения .keyh0les или .keyz

 В записке о выкупе указаны контактные данные для связи: emai и идентификатор пользователя Bitmessage: 
momsbestfriend@protonmail.com
torrenttracker@india.com
BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2 

  Посредством этих контактов вымогатели предлагают связаться с ними, чтобы предоставить идентификационный номер компьютера жертвы, указанный в записке о выкупе и в изображение, вставшем в качестве обоев рабочего стола. Если система не позволяет устанавливать обои на Рабочий стол, то информацию дублирует записка с требованием выкупа. 
Информация о выкупе в изображении на Рабочем столе
TXT-вариант записки о выкупе

  Mobef создает TXT-файлы записок о выкупе, начинающиеся с даты и заканчивающиеся словом -INFECTION.TXT, например, файл типа 4-15-2016-INFECTION.TXT говорит о том, то он был создан 15 апреля. Такие файлы находятся в каждой папке, где были зашифрованы файлы. 

  Список создаваемых файлов:
4-15-2016-INFECTION.TXT - записка о выкупе, описание см. выше;
4152016000.KEY - файла ключа, нужный вымогателю для шифрования/дешифрования данных, в начале названия легко узнается дата;
2886098.txt - содержит сведения о файлах, которые были зашифрованы.


Шифро-код в файле 4152016000.KEY

  Mobef использует следующие ключи реестра, которые могут указывать на использование алгоритмов DES, RSA и AES для шифрования информации: 
HKEY_CLASSES_ROOT\interface\{587e8c22-9802-11d1-a0a4-00805fc147d3}
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider 

  Mobef работает в системе как процесс tmp.exe, иногда в этом название процесса может быть еще несколько случайных чисел. К сожалению, завершение этот исполняемого файла и удаление всех компонентов вымогателей не решает проблему зашифрованных файлов. 

 Список файловых расширений, подвергающихся шифрованию:
.3ds, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .arj, .axx, .bak, .bpw, .cdr, .cer, .crp, .crt, .csv, .db, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .hid, .idx, .ifx, .iso, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp, .ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rpt, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sqllite, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip 

Файлы, связанные с Mobef Ransomware:
<random>.tmp.exe
<random>.exe
<4_hex_chars>.tmp.exe
Cancel Autoplay 2.exe
4-15-2016-INFECTION.TXT или другие [date]-INFECTION.TXT

Ещё файлы (для Mobef и CryptoBit):
[date]-INFECTIONE.txt
[date]000.KEY
1NFORMAT1ONFOR.YOU
ENCRYPT1ON.KEY+[1-2-3-digit_number]
[10-digits].KEY 
HELLOREADME+[random_number_1-31].TXT
HELLOWREADME+[random_number_1-31].TXT
helloreadmenow+[random_number_1-31].TXTZ
HITLERSLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERSNASTYLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERHASYOURFILES.KEY+[1-2-3-digit_number]

Сетевые подключения:
kentamplin.net... (192.185.16.132:80, США)
pgndeltapsi.com...

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются. 

понедельник, 18 апреля 2016 г.

CryptXXX, CryptXXX 2.0

CryptXXX Ransomware

CryptXXX 2.0 Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью RSA4096, а затем требует выкуп в 1.2 BTC (на момент публикации это было равно $500), чтобы вернуть файлы.  Если выкуп не оплачен в течение определенного периода времени, то сумма возрастает в два раза, т.е. до 2,4 BTC. Если выкуп не уплачен в срок, закрытый ключ будет навсегда удален и тогда расшифровка файлов будет невозможна. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptXXX > CryptXXX 2.0 > CryptXXX 3.0 > CryptXXX 4.0

К зашифрованным файлам добавляется расширение .crypt

Ранняя активность этого крипто-вымогателя пришлась на середину апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 


Скриншоты и описание


Записки с требованием выкупа называются:
de_crypt_readme.txt
de_crypt_readme.bmp
de_crypt_readme.html

Размещаются в каждой папке, содержащей зашифрованные файлы. 

Запиской с требованием выкупа также выступает скринлок, встающий обоями рабочего стола и сайт оплаты выкупа:
 
Основная записка о выкупе

Изображение, встающее обоями рабочего стола 

Сайт с условиями оплаты, поддерживающий 11 языков 
(EN, IT, FR, ES, DE, JP, NL, PL, PT, TR, CN)

Содержание основной записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.qooqle.com
What happened to your files?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: https://en.wikipedia.org/wiki/RSA_(crvptosvstem)
How did this happen?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
Your personal id D78*****E87
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. xxxx://rp4roxeuhcf2vgft.onion.to
2. xxxx://rp4roxeuhcf2vgft.onion.cab
3. xxxx://rp4roxeuhcf2vgft.onion.city
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: xxxxs://torproject.org/projects/torbrowser.html.en
2. Video instruction: xxxxs://www.youtube.com/watch?v=NQrUZdsw2hA
3. After a successful installation, run the browser
4. Type in the address bar: http://rp4roxeuhcf2vgft.omon
5. Follow the instructions on the site.

Перевод основной записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.qooqle.com
Что случилось с твоими файлами?
Все твои файлы были защищены сильным шифрованием с RSA4096
Более подробную информацию о ключах шифрования с помощью RSA4096 можно найти здесь: https://en.wikipedia.org/wiki/RSA_(crvptosvstem)
Как это произошло?
!!! Специально для твоего ПК был создан личный ключ RSA4096, открытый и закрытый.
!!! ВСЕ ТВОИ ФАЙЛЫ были зашифрованы открытым ключом, который был передан на твой компьютер через Интернет.
!!! Расшифровка твоих файлов возможна только с помощью секретного ключа и программы расшифровки, которые находятся на нашем секретном сервере.
Что мне делать ?
Итак, ты можешь выбрать два способа: дождаться чуда и получить двойную цену или начать получать BITCOIN СЕЙЧАС! , и легко восстановить твои данные. Если ты ценишь свои данные, то лучше не тратить время, т.к. нет другого способа получить твои файлы, кроме оплаты.
Твой личный идентификатор D78*****E87
Для получения более конкретных инструкций, посети свою личную домашнюю страницу, есть несколько разных адресов, указывающих на твою страницу ниже:
1. xxxx://rp4roxeuhcf2vgft.onion.to
2. xxxx://rp4roxeuhcf2vgft.onion.cab
3. xxxx://rp4roxeuhcf2vgft.onion.city
Если по каким-либо причинам адреса недоступны, выполни следующие действия:
1. Загрузи и установи tor-браузер: xxxxs://torproject.org/projects/torbrowser.html.en
2. Видео-инструкция: xxxxs://www.youtube.com/watch?v=NQrUZdsw2hA
3. После успешной установки запусти браузер
4. Введи в адресную строку: http://rp4roxeuhcf2vgft.omon
5. Следуй инструкциям на сайте.


Технические детали


CryptXXX распространяется путём взлома с помощью email-спама и вредоносных вложений, обманных загрузок, набора эксплойтов Angler EK, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

👉 15 апреля 2016 года, исследователи Proofpoint заметили, что троян-загрузчик Bedep загружает набор эксплойтов Angler и банковский троян Dridex 222. Им стало ясно, что для распространения CryptXXX злоумышленники используют набор эксплойтов Angler и Bedep, загружающий других троянов на зараженные системы и инициирующий мошеннические клики. Позже установлена связь CryptXXX и группы Reveton Team. 

Дополнительный функционал CryptXXX 
Проверяет имя процессора в системном реестре.
Проверяет работу в виртуалке, а также наличие отладчиков и инструментов анализа. 
Устанавливает процедуру для мониторинга событий мыши и её заменителей.
Собирает данные об установленных на ПК приложениях для мгновенного обмена сообщениями, почтовых клиентах, FTP-менеджерах и браузерах. 
Похищает с компьютера биткоины, пароли, учетные данные и другую важную информацию. 

По словам экспертов Proofpoint, некоторые признаки указывают на то, что авторство CryptXXX принадлежит создателям Angler EK, троянов Bedep и Reveton. Они также предполагает, то CryptXXX вскоре получит большее распространение.

Подробности работы цепочки "выкуп-дешифровка" см. на сайте Proofpoint.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html
%AppData%\[id].dat
%Temp%\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
%Temp%\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
%Temp%\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll
%Temp%\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

Расположения:
%AppData%
%Temp%

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
146.0.42.68 - сервер CryptXXX 
104.193.252.245 - IP C&C Bedep 
rp4roxeuhcf2vgft.onion.to - сайт оплаты
rp4roxeuhcf2vgft.onion.cab - сайт оплаты
rp4roxeuhcf2vgft.onion.city - сайт оплаты
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать RannohDecryptor для дешифровки >>
Работает только для CryptXXX и CryptXXX 2.0
*
 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as CryptXXX + 2.0, 3.0, 4.0)
 Write-up by Proofpoint, Write-up on BC
 * 
SecureList: Dridex: A History of Evolution (add. May 25, 2017)
 Thanks: 
 Kafeine (Proofpoint)
 Michael Gillespie
 KasperskyLab
 Lawrence Abrams
 Symantec 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

пятница, 15 апреля 2016 г.

SuperCrypt

SuperCrypt Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует уплатить выкуп ваучерами Ukash на сумму 300€ или отправив 1 биткоин, чтобы вернуть файлы. К зашифрованным файлам добавляется расширение .SUPERCRYPT. Название получил от добавляемого расширения. 

Активность этого криптовымогателя пришлась на октябрь 2014 - февраль 2015. Ориентирован на взлом серверов в Европе (Италия, Франция, Польша и пр.) и Америке (Бразилия и пр.). 

Записки с требованием выкупа называются HOW TO DECRYPT FILES.txt и размещаются на рабочем столе. 

Содержание записки о выкупе:
If you're reading this text file, then ALL your FILES are BLOCKED with the most strongest military cipher.
All your data - documents, photos, videos, backups - everything in encrypted.
The only way to recover your files - contact us via supercrypt@mailer9.com
Only we have program that can completely recover your files.
Attach to e-mail:
1. Text file with your code ("HOW TO DECRYPT FILES.txt")
2. One encrypted file (please dont send files bigger than 1 MB)
We will check your code from text file and send to you our conditions and your decrypted file as proof that we actually have decrypter.
Remember:
1. The FASTER you'll CONTACT US - the FASTER you will RECOVER your files.
2. We will ignore your e-mails without attached code from your "HOW TO DECRYPT FlLES.txt"
3. If you haven't received reply from us - try to contact us via public e-mail services such as Yahoo or so.

Перевод записки на русский язык:
Если ты читаешь этот текстовый файл, то все твои файлы блокированы самым сильным военным шифром.
Все твои данные - документы, фото, видео, резервное копирование - все в зашифрованном виде.
Единственный способ восстановить файлы - связаться с нами через supercrypt@mailer9.com
Только у нас есть программа, которая может полностью восстановить твои файлы.
Добавить к email:
1. Текстовый файл с кодом ("HOW TO DECRYPT FILES.txt")
2. Один зашифрованный файл (пожалуйста, не отправляй файлы больше 1 Мб)
Мы проверим твой код из текстового файла и пришлем наши условия и твой расшифрованный файл как доказательства того, что у нас есть декриптер.
Запомни:
1. Быстрее контакт с нами - быстрее восстановишь свои файлы.
2. Мы будем игнорировать email-письма без прикрепленного кода из твоего "HOW TO DECRYPT FILES.txt"
3. Если ты не получил ответ от нас - пробуй связаться с нами с помощью email-почты Yahoo или подобной.

Email вымогателей: supercrypt@mailer9.com

Сведения о глобальном распространении отсутствуют. Распространения как такового и не было засвидетельствовано. Злоумышленики компрометировали сервера и компьютеры путем хакерских атак и взлома с помощью удаленного рабочего стола через RDP и VNC-порты или службы терминалов. Чаще всего пострадавшие упоминали про 3389 порт. После того, как хакер получал доступ к системе и вредоносное ПО было уже в компьютере, запускался защищенный паролем установщик SuperCrypt, который выполнял шифрование. По окончании шифрования хакер сам удалял всё вредоносное ПО с компьютера. Жертвы, которые заплатили выкуп, получили исправно отработавшую программу дешифрования и файлы были дешифрованы. 

Список файловых расширений, подвергающихся шифрованию:
- файлы документов;
- исполняемые файлы;
- файлы прикладных программ. 

Файлы, связанные с Ransomware:
HOW TO DECRYPT FILES.txt 

Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая; сейчас угроза неактивна.
Подробные сведения собираются.


http://www.bleepingcomputer.com/forums/t/552801/new-supercrypt-ransomware-appears-to-be-distributed-via-hacked-terminal-services/
http://www.bleepingcomputer.com/forums/t/551979/supercrypt-ransomware-support-and-help-topic-how-to-decrypt-filestxt/
 Thanks:
 Lawrence Abrams (Grinler)
 
 

четверг, 14 апреля 2016 г.

Rokku

Rokku Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Salsa20, а затем требует выкуп в 0,2403 Bitcoin (эквивалентно $100,29), чтобы вернуть файлы обратно. течением времени и в зависимости от размера зашифрованной информации, сумма может возрасти до 5 биткоинов. 

К зашифрованным файлам добавляется расширение .rokku

Активность этого криптовымогателя пришлась на март-апрель 2016 г. Все теневые копии файлов и точки восстановления системы удаляются.

Об шифровании с помощью Salsa20
Каждый файл шифруется своим уникальным ключом. Ключ к файлу затем шифруется с помощью алгоритма RSA-512 и хранится в последних 252 байтах самого файла. Это уже второй крипто-вымогатель, использующий алгоритм Salsa20 (ещё Petya Ransomware его использует), который обеспечивает большую скорость шифрования по сравнению с алгоритмом AES.

Ключ дешифрования, который выдается для расшифровки одного тестового файла, будет работать только на этом конкретном файле, поскольку каждый зашифрованный вымогателями файл имеет свой индивидуальный ключ.

ВАЖНО!!! Никогда не стоит сообщать вымогателям о личной или семейной ценности зашифрованной информации. Сумма выкупа от этого только возрастет. 

 Записки с требованием выкупа называются README_HOW_TO_UNLOCK.html и README_HOW_TO_UNLOCK.txt помещаются в каждой папке, где были зашифрованы файлы, информируя жертву о том, что произошло с файлами.
Директория размещения записок о выкупе
Зашифрованные файлы с расширениями .rokku

Запущенный пользователем Rokku сканирует ПК в поиске файлов определённых расширений (документы, фотографии, аудио-видео-файлы и пр.), размером ниже 30 Мб и начинает шифрование файлов. По окончании шифрования жертва информируется о произошедшем с помощью записок о выкупе. 
TXT-вариант записки о выкупе

 Содержание записки о выкупе: 
YOUR FILE HAS BEEN LOCKED
In order to unlock your files, follow the instructions bellow:
1. Download and install Tor Browser
2. After a successful installation, run Tor Browser and wait for its initialization.
3. Type in the address bar: http://zvnvp2rhe3ljwf2m.onion
4. Follow the instructions on the site.

 Перевод записки на русский язык: 
ВАШ ФАЙЛ ЗАБЛОКИРОВАН
Для разблокировки файлов следуйте инструкциям ниже:
1. Скачайте и установите Tor Browser
2. После успешной установки запустите Tor Browser и ждите его инициализации.
3. Введите в адресной строке: HTTP: //zvnvp2rhe3ljwf2m.onion
4. Следуйте инструкциям на сайте.


HTML-вариант записки о выкупе


От жертвы требуется установить браузер Tor и посетить специальный onion-адрес, где размещена пошаговая инструкция по уплате выкупа. 

Каждой жертве присваивается уникальный ID, указанный на странице ORDER ID. 


Окно onion-сайта UNLOCK SERVICE



Вымогатели позволяют расшифровать бесплатно один файл. Это, по их мнению, гарантирует, что другие зашифрованные файлы тоже будут успешно дешифрованы.
Окно декриптера для выбора одного файла

 Распространяется с помощью email-спама и вредоносных вложений, загружаемых с помощью одноранговой (P2P) сети файлов, троянских загрузчиков и поддельных обновлений программного обеспечения. 
QR-код для отправки Bitcoin

Кажется это первый случай, когда киберпреступники дают своим жертвам возможность прочитать текст с выбором нужного языка и предлагают использовать QR-код для отправки Bitcoin. QR-код откроет поисковый запрос Google, который объясняет, как получить необходимое количество биткинов.

Файлы Rokku пока не замечены в местах автозагрузки или любых других директориях, кроме вымогательских записок. Это означает, что нет активной инфекции, когда ПК перезагружен или работа вредоноса завершена. Чтобы удалить исполняемый файл Rokku, нужно просканировать компьютер антивирусным ПО с актуальным набором антивирусных баз. Вымогательские записки нужно будет удалить вручную, так как антивирусы не обнаруживают текстовые файлы.

Список файловых расширений, подвергающихся шифрованию: 
.001 .1dc .3ds .3fr .7z .a3s .acb .acbl .accdb .act .ai .ai3 .ai4 .ai5 .ai6 .ai7 .ai8 .aia .aif .aiff .aip .ait .anim .apk .arch00 .ari .art .arw .asc .ase .asef .asp .aspx .asset .avi .bar .bak .bay .bc6 .bc7 .bgeo .big .bik .bkf .bkp .blob .bmp .bsa .c .c4d .cap .cas .catpart .catproduct .cdr .cef .cer .cfr .cgm .cha .chr .cld .clx .cpp .cr2 .crt .crw .cs .css .csv .cxx .d3dbsp .das .dat .dayzprofile .dazip .db .db0 .dbf .dbfv .dcr .dcs .der .desc .dib .dlc .dle .dlv .dlv3 .dlv4 .dmp .dng .doc .docm .docx .drf .dvi .dvr dwf .dwg .dxf .dxg .eip .emf .emz .epf .epk .eps .eps2 .eps3 .epsf .epsp .erf .esm .fbx .ff .fff .fh10 .fh11 .fh7 .fh8 .fh9 .fig .flt .flv .fmod .forge .fos .fpk .fsh .ft8 .fxg .gdb .ge2 .geo .gho .gz .h .hip .hipnc .hkdb .hkx .hplg .hpp .hvpl .hxx .iam .ibank .icb .icxs .idea .iff .iiq .indd .ipt .iros .irs .itdb .itl .itm .iwd .iwi .j2k .java .jp2 .jpe .jpeg .jpf .jpg .jpx .js .k25 .kdb .kdc .kf .kys .layout .lbf .lex .litemod .lrf .ltx .lvl .m .m2 .m2t .m2ts .m3u .m4a .m4v .ma .map .mat .max .mb .mcfi .mcfp .mcgame .mcmeta .mdb .mdbackup .mdc .mddata .mdf .mdl .mdlp .mef .mel .menu .mkv .mll .mlx .mn .model .mos .mp .mp4 .mpqge .mrw .mrwref .mts .mu .mxf .nb .ncf .nef .nrw .ntl .obm .ocdc .odb .odc .odm .odp .ods .odt .omeg .orf .ott .p12 .p7b .p7c .pak .pct .pcx .pdd .pdf .pef .pem .pfx .php .php4 .php5 .pic .picnc .pkpass .png .ppd .ppt .pptm .pptx .prj .prt .prtl .ps .psb .psd .psf .psid .psk .psq .pst .ptl .ptx .pwl .pxn .pxr .py .qdf .qic .r3d .raa .raf .rar .raw .rb .re4 .rgss3a .rim .rofl .rtf .rtg .rvt .rw2 .rwl .rwz .sav .sb .sbx .sc2save .sdf .shp .sid .sidd .sidn .sie .sis .skl .skp .sldasm .sldprt .slm .slx .slxp .snx .soft .sqlite .sqlite3 .sr2 .srf .srw .step .stl .stp .sum .svg .svgz .swatch .syncdb .t12 .t13 .tar .tax .tex .tga .tif .tiff .tor .txt .unity3d .uof .uos .upk .vda .vdf .vfl .vfs0 .vpk .vpp_pc .vst .vtf .w3x .wav .wb2 .wdx .wma .wmo .wmv .wallet .ycbcra .wotreplay .wpd .wps .x3f .xf .xl .xlk .xls .xlsb .xlsm .xlsx .xvc .xvz .xxx .yuv .zdct .zip .ztmp (377 расширений).

Директории, пропускаемые шифровальщиком: 
$recycle.bin
system volume information
windows.old
$windows.~bt
windows
windows
locallow
local
roaming
programdata
program files
program files (x86)

Файлы, пропускаемые шифровальщиком: 
thumbs.db
iconcache.db
bootsec.bak

Файлы, связанные с Ransomware: 
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.HTML
%StartMenu%\Programs\Startup\README_HOW_TO_UNLOCK.TXT
%USERPROFILE%\Desktop\README_HOW_TO_UNLOCK.HTML
%USERPROFILE%\Documents\README_HOW_TO_UNLOCK.TXT
и другие, см. Malwr анализ ниже. 

Подробный анализ Rokku см. в блоге MalwareBytes. По их мнению он связан с Chimera Ransomware.

К сожалению, пока нет бесплатных инструментов для дешифрования файлов, зашифрованных Rokku Ransomware. Таким образом, единственным решением этой проблемы является восстановление файлов из заранее подготовленной резервной копии или переносного бэкапа.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая. 
Подробные сведения собираются.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *