среда, 18 мая 2016 г.

SNSLocker

SNSLocker Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 и требует 0,66 биткойнов ($300) за расшифровку. Файлы, зашифрованные с помощью SNSLocker, получают расширение .RSNSLocked. В названии расширения сокращено название криптовымогателя — Ransomware SNSLocked. Создатель крипто-вымогателя: Saad Nabil Soufyane. Отсюда его аббревиатура SNS. 


© Генеалогия: EDA2 >> SNSLocker

Написан на .Net Framework 2.0, с популярными библиотеками Newtonsoft.Json и MetroFramework UI. 

  Записка с требованием выкупа и с инструкциями для уплаты выкупа устанавливается в качестве обоев Рабочего стола ПК и показывается как уведомления при загрузке системы. В качестве вымогательских обоев, видимо, используется набор картинок, т.е. у разных пострадавших они могут быть разные. Их цель — шокировать жертву и ускорить уплату выкупа.  
 

  Распространяется SNSLocker с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах, с помощью сетей общего доступа, в том числе с помощью кейгенов, активаторов и краков, а также как отдельные файлы SNSLocker.exe и SNSLOcker2.exe

Адрес C&C-сервера базируется в Германии и после того, как SNSLocker подключается к нему, то посылает следующую информацию с зараженного ПК:
- ID машины жертвы (8 символов, например, yas9yc92);
- имя компьютера;
- имя пользователя;
- публичный IP-адрес;
- MAC-адрес;
- дата шифрования.

Закончив шифрование файлов SNSLocker открывает окно-записку с требованием выкупа и инструкцией для расшифровки файлов, а также сообщает жертве присвоенный ID машины

 

Список файловых расширений, подвергающихся шифрованию:
 .1pa, .3dm, .3g2, .3gp, .aaf, .aep, .aepx, .aet, .aif, .als, .as3, .asf, .asx, .avi, .bik, .bmp, .bps, .c, .cal, .cdr, .cdt, .cdx, .cgn, .cis, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .die, .db, .dbf, .der, .dies, .doc, .docb, .docm, .docx, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .glas, .h, .höchste, .icbm, .idml, .iff, .iif , .img, .indb, .indd, .indl, .indt, .inx, .iso, .java, .jpeg, .jpg, .js, .klasse, .klopfen, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mitte, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, natter, .nd, .obdachlos, .out, .pcd, .pct, .pcx, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prproj, .ps, .psd, .psp, .ptb, .punkt, .py, .qbb, .qbi, .qbm, .qbo, .qbp, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .rar, .raw, .roh, .rb, .rif, .rtf, .rtp, .sct, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wanderwege, .wav, .webm, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xii, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zu (204 расширения). 
В список расширений у некоторых исследователей вкрались повторы одних и тех же расширений. Я убрал повторы и пересчитал количество расширений. Их оказалось не 229, а 204. Список перед вами. 

Примечательно, что если размер файла больше, чем нужно шифровальщику по умолчанию, то используются функции SplitFileBasedOnSize и SizeSplit, призванные разбить файл на равные части, которым добавляется расширение .RSplited. Вероятно, что потом файл всё-таки шифруется, перезаписывается и расширение заменяется на .RSNSlocked


По данным TrendMicro вымогатель атаковал пользователей по всему миру, отдавая предпочтение жертвам из США, среди которых и оказалось больше всего пострадавших.
Еще примечательно, что создатели SNSLocker забыли удалить из кода информацию о собственном сервере. Видимо, в целях сэкономии, они вместо выделенного сервера держали свой управляющий сервер у провайдера бесплатного виртуального хостинга, который оперативно отреагировал на запрос экспертов Trend Micro и заблокировал источник вредоносов. Также оператор SNSLocker использовал легитимный шлюз для приема платежей. Пока командный сервер еще работал, исследователи воспользовались учетными данными из кода SNSLocker и получили доступ к панели управления шифровальщиком, в том числе ко всей статистике и ключам дешифрования. 

Исполняемый файл, чтобы не быть замеченным, может менять имя:
[random_name].exe
ransomware.exe
svchost.exe
notepad.exe
Your Confirmation.exe
Receipt.exe

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Сетевые подключения:
хттп://saad.eu5.org/getinfo.php (C&C)
хттпs://i.imgur.com/VRJBpep.jpg (загружаемая картинка)

Степень распространённости: высокая.
Подробные сведения собираются.



 Read to links: 
 Write-up on BC
 ID Ransomware
 TrendMicro blog (added much later)
 *

 Thanks: 
 Lawrence Abrams of BC
 Michael Gillespie
 *
 *
 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton