воскресенье, 14 февраля 2016 г.

PadCrypt, PadCrypt 2.0

PadCrypt Ransomware 

PadCrypt2, PadCrypt3

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,8 биткоинов или больше, чтобы вернуть файлы. На уплату выкупа даётся 96 часов. Название оригинальное. 

Его создатели, видимо, фанаты более известного крипто-вымогателя CryptoWall, потому или использовали какой-то его готовый шаблон или скопировали графику этого шифровальщика. Примечательно, что они также впервые в истории шифровальщиков прикрутили чат поддержки, который на момент исследования не работал. По прошествии 6 месяцев со дня шифрования вымогатели обещают дешифровать файлы бесплатно. 16.2.2016

© Генеалогия: CryptoWall шаблон >> PadCrypt > PadCrypt2 > PadCrypt3 ...

К зашифрованным файлам поначалу никакое расширение не добавлялось.
С июля 2016 в обновлённой версии добавляется расширение .padcrypt

Активность этого криптовымогателя пришлась на февраль 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
IMPORTANT READ ME.txt
File Decrypt Help.html

Содержание текстовой записки о выкупе:
PadCrypt Decryption Information
Your personal files, documents, and videos on this computer have been encrypted with AES encryption.
In order to decrypt and repair your files, you will need to pay in Bitcoin or Paysafecard prior to your key destruction date.
After that, nobody will ever be able to recover your files, and they are lost forever.
If your anti virus has deleted PadCrypt, you can still recover your files.
Email our support team providing your unique machine ID in the email and we'll respond within 24 hours.
--
Subject: payment
Email: maliko@inbox.lv
Machine id: ***
---
We advise you not to delete this file. If you delete it, there's no hope of ever getting your files back!
However, if it has been 6 months since your computer was encrypted, send us an email and we'll decrypt your files FREE
Don't play us however, we know the exact date and time your computer was infected!

Перевод записки на русский язык:
PadCrypt дешифрования информация
Ваши личные файлы, документы и видео на этом компьютере зашифрованы с AES-шифрованием.
Чтобы расшифровать и вернуть файлы, вам надо заплатить Bitcoin или Paysafecard до даты уничтожения вашего ключа.
После этого никто и никогда не сможет восстановить ваши файлы, и они будут потеряны навсегда.
Если ваш антивирус удалит PadCrypt, вы все еще можете восстановить файлы.
Email в нашу службу поддержки, указав свой уникальный ID машины в письме, и мы ответим в течение 24 часов.
-
Subject: payment
E-mail: maliko@inbox.lv
Machine id: ***
---
Мы советуем вам не удалять этот файл. Если вы удалите его, нет никакой надежды получить ваши файлы обратно!
Однако, если прошло 6 месяцев, когда ваш компьютер был зашифрован, пришлите нам письмо, и мы расшифруем ваши файлы БЕСПЛАТНО
Не играйте с нами, т.к. мы знаем точную дату и время, когда ваш компьютер был заражен!

Информаторами жертвы также выступают скринлок, встающий обоями рабочего стола и блокировщик экрана, появляющиеся после шифрования файлов. В левом нижнем углу имеется интересная опция - Live Chat (чат поддержки), которая предполагает связь с оператором вымогателей. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, независимо от расширений, находящиеся на всех подключенных дисках и особенно в директориях: 
C:\Users\User_name\Downloads
C:\Users\User_name\Documents
C:\Users\User_name\Pictures
C:\Users\User_name\

Пропускаются и не шифруются только файлы, находящиеся в директориях:
C:\Users, C:\NVIDIA, C:\Intel, C:\Documents and Settings, C:\Windows, C:\Program Files, C:\Program Files (x86), C:\System Volume Information, C:\Recycler
... или содержат строки:
ProgramData, PerfLogs, Config.Msi, $Recyle.Bin

После шифрования удаляются все теневые копии системы и файлов (Shadow Volume Copies) командой: 
vssadmin delete shadows /for=z: /all /quiet

Файлы, связанные с этим Ransomware:
%Desktop%\IMPORTANT READ ME.txt - записка о выкупе
%AppData%\PadCrypt\File Decrypt Help.html - "Помощь" для жертвы
%AppData%\PadCrypt\Wallpaper.bmp - скринлок на обои рабочего стола
%AppData%\PadCrypt\PadCrypt.exe - шифровальщик и блокировщик экрана
%AppData%\PadCrypt\unistl.exe - деинсталлятор для удаления записок о выкупе и самого вредоноса
%AppData%\PadCrypt\padcryptUninstaller.exe  - деинсталлятор для удаления записок о выкупе и самого вредоноса
%AppData%\PadCrypt\decrypted_files.dat - список дешифрованных данных
%AppData%\PadCrypt\Files.txt - список зашифрованных файлов
%AppData%\PadCrypt\data.txt - файл с ключом дешифрования
package.pdcr - вспомогательный файл, загружаемый шифровальщиком
unistl.pdcr - вспомогательный файл, загружаемый шифровальщиком

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PadCrypt" = "%AppData%\PadCrypt\PadCrypt.exe"
HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = "%AppData%\PadCrypt\Wallpaper.bmp
HKEY_CURRENT_USER\Control Panel\Desktop "WallpaperStyle" = 1
HKEY_CURRENT_USER\Control Panel\Desktop "TileWallpaper" = 0

Сетевые подключения (C&C-серверы):
annaflowersweb.com
subzone3.2fh.co
cloudnet.online

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>


Обновление от 24 февраля 2016:
Версия: 2.2.10.0
Обновлен и заработал Live Chat
Добавился текст с насмешкой над жертвой
Добавлена функция "blacklist of computer names" : "PLACEHOL-", MALTEST "," ТЕСТ-PC "," BEA-CHI "," BRBRB "," VMSCAN ". 
Описание этих обновлений >>

Обновление от 8 июля 2016:
Расширение: .padcrypt
Сумма выкупа: 0.8 BTC
Экран блокировки остался с той же датой 01/01/1970.

Обновление от 9 марта 2017:

Версия: 3.4.0
Файл: ptsks.exe
Фальш-имя: Microsoft, Windows Driver Service
Результаты анализов: VT

Обновление от 23 марта 2017:
Версия: PadCrypt 3.4.5
Пост в Твиттере >>
Результаты анализов: HA+VT

Обновление от 5 апреля 2017:
Версия: PadCrypt 3.5.0
Пост в Твиттере >>
Результаты анализов: HA+VT

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware
 *
 Thanks: 
 abuse_ch 
 Lawrence Abrams
 Michael Gillespie
 *
 

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *