Если вы не видите здесь изображений, то используйте VPN.

четверг, 17 сентября 2015 г.

Chimera

Chimera Ransomware

(шифровальщик-вымогатель, публикатор) 

Translation into English


   Этот крипто-вымогатель шифрует все файлы, которые находит на всех подключенных дисках, а затем требует 0,939 биткоинов, чтобы вернуть файлы. Chimera не только шифрует файлы, но и публикует их в Интернете, если выкуп не выплачивается.

Обнаружения:
DrWeb -> Trojan.Encoder.1980
Avast -> MSIL:Crypchim-A [Trj]
BitDefender -> Gen:Variant.Ransom.Chimera.6
ESET-NOD32 -> A Variant Of MSIL/Injector.LXY
Kaspersky -> Trojan-Ransom.Win32.Chimera.a
Microsoft -> TrojanDropper:Win32/Chicrypt.A
Rising -> Ransom.Chimera!8.32AF (CLOUD)
TrendMicro -> Ransom_CRYPCHIM.B

Зашифрованные файлы получали расширение .crypt
Позже расширение стало в формате .<4_random_chars>
Примеры: .MnDf, .PzZs, .RThY.

  После того, как файлы будут зашифрованы, Chimera отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как произвести оплату и получить ссылку на декриптер, который нужно запустить для расшифровки файлов, когда платеж будет сделал и вымогатель получит подтверждение. 

 Записки о выкупе называются: 
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT

  На обои ставится изображением с именем <random>.gif
  Внизу html-сообщения можно видеть, что Chimera также набирает новых аффилиатов в партнерскую программу по распространению самой себя. 


Технические детали


 Распространяется через email-спам, содержащий ссылки на веб-страницу Dropbox. В отличие от других вымогателей Chimera не использует Tor-сайт для управления платежами и загрузки декриптера. Вместо этого в качестве способа связи с разработчиком вымогателя используется Bitmessage, криптографический мессенджер для обмена сообщениями, использующий децентрализованную P2P-сеть. Bitmessage, как нельзя лучше подходит для обмена данными между компьютером жертвы и сервером управления вредоносного ПО разработчика. Преимущество Bitmessage в том, то его сеть работает по принципу шифрования всех входящих и исходящих сообщений каждого пользователя, используя сильные алгоритмы шифрования таким образом, что только получатель сообщения способен его расшифровать.

  Когда Chimera заражает ПК жертвы, он использует встроенное приложение PyBitmessage, чтобы отправить разработчику сообщение, содержащее следующую информацию: секретный ключ жертвы, ID "железа" машины и Bitcoin-адрес для оплаты. 

Список файловых расширений, подвергающихся шифрованию:
.jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf (226 расширений). 

  Декриптер от вымогателей поставляется как msi-установщик. Он имеет понятный интерфейс и направляет жертву через весь процесс дешифровки файлов. 

  Когда пользователь загружает и устанавливает декриптер в папку C:\Program Files (x86)\Chimera Decrypter, вместе с ним ставится Bitmessage. После запуска Bitmessage работает в режиме ожидания поступления платежа на указанный Bitcoin-адрес. 

Подробности работы приложения и метод получения ключа от вымогателей опускаем. Желающие могут ознакомиться с ними самостоятельно в статье Лоуренса Абрамса.

Анализ на VirusTotal >>>
Анализ на HybridAnalysis >>>


Степень распространенности: была высокая.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Имеются сведения, что теперь расширение, добавляемое после шифрования, может иметь вид .<4_random_chars> — случайный четырехбуквенный разнорегистровый код, например, .MnDf, .PzZs, .RThY.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать RakhniDecryptor для дешифровки >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author)
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *