Если вы не видите здесь изображений, то используйте VPN.

четверг, 12 мая 2016 г.

Petya + Mischa

Petya + Mischa Ransomware

Petya & Mischa Ransomware

Aliases: Green Petya, Petya-2

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель является тандемом ранее известного крипто-вымогателя Petya и нового — Mischa. Именно Misha шифрует все файлы пользователей с помощью AES, а затем требует выкуп в 1,93380 BTC, чтобы вернуть файлы. Оригинальное название: Mischa Ransomware

© Генеалогия: Petya > Petya + Mischa (Petya-2) > GoldenEye, PetnaBitch 

Обратите внимание на логотип крипто-вымогателя. 
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами. Только теперь вместо PETYA написано MISCHA. 

Этимология названия Mischa: 
Братья-вымогатели получили название не от каких-то реальных Пети и Миши, а от киношных советских спутников, которые фигурируют в одном из фильмов об агенте 007 Джеймсе Бонде ("GoldenEye" или "Золотой глаз", 1995). В декабре 2016 появится новый вымогатель. получивший название из того фильма, это GoldenEye Ransomware. GoldenEye по фильму - это название советского космического оружия, частью которого и являются спутники-близнецы. Спутник Petya выходит на орбиту в первой половине фильма, а Mischa во второй половине, ближе к концу фильма. 
Примечательно, что по-английски имя Миша пишется как Misha, а по-немецки Mischa, но фильме на экране монитора указано именно Mischa, и именно так написано название вымогателя в оригинале. 
Порядковое название данной версии: Petya-2 или Petya 2.0

К зашифрованным файлам Mischa добавляет четырёхсимвольное расширение, т.е. .<random{4}>

Примеры расширений: 
.7GP3
.A3BN
.KJP8

Активность этого крипто-вымогателя пришлась на первую половину мая 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: YOUR_FILES_ARE_ENCRYPTED.TXT и YOUR_FILES_ARE_ENCRYPTED.HTML

Содержание записки о выкупе:
You became victim of the MISCHA RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://mlschapuk6hyrn72.onion/7RP8fM
xxxx://mischa5xyix2mrhd.onion/7RP8fm
3. Enter your personal decryption code there:
17RP8fM*****

Перевод записки на русский язык:
Вы стали жертвой MISCHA RANSOMWARE!
Файлы на вашем компьютере были зашифрованы с помощью алгоритма шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице тёмной сети, указанной на шаге 2.
Чтобы приобрести ключ и восстановить свои данные, выполните следующие три простых действия:
1. Загрузите Tor-браузер со страницы "https://www.torproject.org/" Если вам нужна помощь, то погуглите для "доступа к onion-сайтам".
2. Посетите одну из следующих страниц с помощью Tor-браузера:
хххх://mlschapuk6hyrn72.onion/7RP8fM
хххх://mischa5xyix2mrhd.onion/7RP8fm
3. Введите ваш личный код дешифрования:
17RP8fM*****


Страницы Tor-сайта вымогателей:




Технические детали

Установщик Petya+Mischa распространяется через фишинговые email-рассылки (email-спам). Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exeСм. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Когда жертва по неосторожности запускает этот файл, то сначала в системе пытается получить админ-права и установиться Petya, чтобы изменить MBR, а если это невозможно (потому что права пользователя ограничены или на запрос UAC он ответил "Нет"), то устанавливается шифровальщик Mischa, которому админ-права не нужны. 

Если же пользователь ответит "Да", то всё равно вредонос запустится и установит вредоносный модуль Petya для модификации MBR. Тогда всё произойдет, как ранее описано в статье Petya Ransomware, только на этот раз при загрузке компьютера будет показано стилизованное изображение черепа с костями на зелёно-чёрном фоне. Текст записки о выкупе будет написан зелёными буквами на чёрном фоне. 




Вредоносные действия Mischa Ransomware

При установке Mischa будет сканировать компьютер на наличие определённых файлов, которые будет шифровать с помощью AES-алгоритма, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.7GP3. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла. 

Список файловых расширений, подвергающихся шифрованию Misha Ransomware:
.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .dds, .default, .der, .dfm, .directory, .disc, .dll, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .exe, .fff, .flv, .frm, .gfx, .gif, .gzip, .htm, .html, .ico, .idl, .iiq, .indd, .inf, .ini, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lib, .lit, .lnk, .localstorage, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p7b, .p7c, .pages, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pspimage, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .tiff, .toast, .ts,.txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip (240 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Обратите внимание, что среди шифруемых файлов есть EXE-файлы. Это значит, что никакая программа не запустится, но и сама Windows уже не сможет загрузиться. Уплата выкупа бесполезна. 

Misha не шифрует файлы, находящиеся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome, по-видимому это нужно, чтобы скрыть своё присутствие до некоторого времени.

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT
PDFBewerbungsmappe.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Коллекция образцов Petya за всё время (см. вкладку "Родство") >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


💫💫💫

Примечание 1.
💀 Примечательно, что оба крипто-вымогателя получили "взрослые" имена Пётр и Михаил только в "Лаборатории Касперского": это Trojan-Ransom.Win32.Petr и Trojan-Ransom.Win32.Mikhail
У других антивирусов они в детекте просто Petya и Mischa. 🙆🙌



 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Topic of Support
 Video review, Video review-2
 Thanks: 
 Lawrence Abrams
 CyberSecurity GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *