понедельник, 23 января 2017 г.

ZekwaCrypt

ZekwaCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Название дано аналитиками MS Malware Protection Center от одного из вариантов добавляемого расширения. На уплату выкупа даётся 7 дней. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .<7_random_letters>
Например, файл file.png после шифрования станет файлом file.png.zekwakc

Примеры расширений:
.kudshgk
.lpkehsq
.nllonrf
.redghsx
.zekwakc

Активность этого крипто-вымогателя была замечена в мае-июне 2016 года. Новая волна пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
encrypted_readme.txt
_<encrypt extensions>_encrypted_readme.txt 
В каждой папке с зашифрованными файлами присутствуют два файла: encrypted_readme.txt (записка) и encrypted_list.txt (список). 

Содержание записки о выкупе:
WARNING! Your personal files are encrypted!
Your most important files on this computer have been encrypted: photos, 
documents, videos, music, etc. You can verify this by trying to open such files. 
Encryption was produced using an UNIQUE public RSA-4096 key, specially 
generated for this computer only, thus making it impossible to decrypt such 
files without knowing private key and comprehensive decipher software. We have left on our server a copy of the private key, along with all required software for the decryption. To make sure that software is working as intended you have a possibility to decrypt one file for free, see contacts below. 
The private key will be destroyed after 7 days, afterwards making it impossible 
to decrypt your files.
Encryption date: ***
Private key destruction date: ***
For obtaining decryption software, please, contact: myserverdoctor@gmail.com or XMPP jabber: doctordisk@jabbim.com

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ! Ваши личные файлы зашифрованы!
Ваши самые важные файлы на этом компьютере были зашифрованы: фото, документы, видео, музыку и т.д. Вы можете проверить это, пытаясь открыть такие файлы.
Шифрование произведено с уникальным открытым ключом RSA-4096, специально созданным только для этого компьютера, что делает невозможным дешифровать такие файлы, не зная секретного ключа и комплексного софта для дешифровки. Мы имеем на нашем сервере копию секретного ключа, вместе со всем необходимым софтом для дешифровки. Чтобы убедиться в том, что софт работает, как задумано, у вас есть возможность дешифровать 1 файл бесплатно, смотрите контакты ниже.
Секретный ключ будет уничтожен через 7 дней, это сделает невозможным дешифровку файлов.
Дата шифрования: ***
Дата уничтожения секретного ключа: ***
Для получения софта для дешифровки, обращайтесь на: myserverdoctor@gmail.com или
XMPP jabber: doctordisk@jabbim.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Ищет и удаляет файл с названиями: backup и backups. 
Шифрование производится в оффлайн-режиме, т.е. чтобы шифровать файлы подключение к Интернету не требуется. 

Список файловых расширений, подвергающихся шифрованию:
.1CD, .3dm, .3dmf, .3dmlw, .3ds, .3DV, .3dxml, .3fr, .3g2, .3ga, .3gp, .3gp2, .3gpp, .3mf, .4DB, .4DD, .4DIndx, .4DIndy, .4DR, .7z, .aac, .ABC, .ac, .ac3, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ace, .ACP, .ADA, .ADB, .ADF, .adp, .ADS, .ADT, .ADZ, .AEC, .AI, .aif, .aifc, .aiff, .ain, .alac, .AMF, .amr, .amv, .an8, .aob, .aoi, .ape, .apl, .APR, .AR, .arc, .ari, .arj, .ART, .arw, .ASC, .asf, .ASM, .asp, .aspx, .au, .avi, .AWG, .b3d, .B6T, .BAS, .bay, .bdmv, .bik, .BIM, .BIN, .bkf, .blend, .block, .bml, .bmp, .BOX, .bpw, .BRD, .BREP, .BSDL, .bzip, .C, .C2D, .c4d, .CAD, .cal3d, .cap, .CATDrawing, .CATPart, .CATProcess, .CATProduct, .CBL, .CBP, .CC, .CCC, .CCD, .CCM, .CCP4, .CCS, .cda, .CDI, .CDL, .CDR, .cer, .cfg, .cfl, .cfm, .cgi, .CGM, .cgr, .CHML, .CIF, .CIR, .CLJ, .CLS, .CMX, .CO, .COB, .core3d, .CPF, .CPP, .cr2, .crt, .crw, .CS, .CSPROJ, .csv, .ctm, .CUE, .CXX, .D, .D64, .DAA, .dae, .DAF, .DB, .DBA, .DBF, .DBPro123, .dcr, .dcs, .DEF, .der, .DFF, .dfm, .DFT, .DGK, .DGN, .divx, .DMG, .DMS, .DMT, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dotXSI, .dpm, .DPR, .dproj, .drf, .DRW, .dsa, .dsk, .dsm, .DSPF, .dss, .dsv, .dtd, .dts, .DWB, .DWF, .DWG, .DXF, .E, .E2D, .EAP, .EASM, .EDIF, .EDRW, .EFS, .EGG, .EGT, .eip, .EL, .EMB, .EMF, .eml, .EPRT, .eps, .epub, .erf, .ESS, .ESW, .evo, .EXCELLON, .EXP, .F, .f4v, .F77, .F90, .fac, .fb2, .fbx, .FDB, .fff, .flac, .flc, .fli, .flic, .flv, .FM, .FMZ, .FOR, .FP, .FP3, .FP5, .FP7, .FRM, .FRX, .FS, .FSDB, .FTH, .FTN, .g, .GBR, .GDB, .gdoc, .GDSII, .GED, .gif, .glm, .GM6, .GMD, .GMK, .GML, .GO, .GRB, .GTABLE, .GTC, .GXK, .gz, .gzip, .H, .ha, .hdd, .hdmov, .HPP, .HS, .htm, .html, .HXX, .IAM, .ICD, .IDW, .IFC, .ifo, .IGES, .ihtml, .iiq, .IMG, .imp, .INC, .indd, .info, .IPN, .IPT, .ISO, .ivf, .j2c, .j2k, .jar, .jas, .JAVA, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpx, .jsp, .JT, .k25, .kdb, .kdbx, .kdc, .KEXI, .KEXIC, .KEXIS, .L, .las, .lasso, .lassoapp, .LDB, .LEF, .LISP, .log, .lwo, .lws, .lxo, .lzh, .M, .m1a, .m1v, .m2a, .m2p, .m2t, .m2ts, .m2v, .M4, .m4a, .m4b, .m4r, .m4v, .ma, .maff, .max, .mb, .MCD, .md2, .md3, .MDA, .MDB, .mdc, .MDE, .MDF, .MDS, .mdx, .mef, .mesh, .mht, .mhtml, .mid, .midi, .mka, .mkv, .ML, .mlp, .mm3d, .model, .mos, .mov, .mp2, .mp2v, .mp3, .mp4, .mp4v, .mpa, .mpc, .mpe, .mpeg, .mpg, .mpls, .MPO, .mpv2, .mpv4, .MRC, .mrw, .MS12, .mts, .MYD, .MYI, .NCF, .NDF, .nef, .nif, .NRG, .nrw, .NSF, .NTF, .NV2, .nvram, .OASIS, .obj, .OCD, .ODB, .ODG, .odm, .odp, .odt, .off, .ofr, .ofs, .oga, .ogex, .ogg, .ogm, .ogv, .OpenAccess, .opus, .ORA, .orf, .ott, .P, .p12, .p7b, .p7c, .pages, .PAR, .PAS, .PDB, .pdd, .pdf, .PDI, .PDX, .pef, .pem, .pfx, .php, .php2, .php3, .php4, .php5, .php6, .php7, .phps, .phtml, .PIPE, .pl, .PLN, .ply, .PM, .png, .pot, .potm, .potx, .pov, .PP, .ppam, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .PRC, .PRG, .PRO, .PRT, .ps, .psb, .psd, .PSM, .PSMODEL, .pst, .ptx, .pub, .pva, .pvs, .PWI, .pxn, .PY, .PYT, .R, .R3D, .ra, .raf, .ram, .rar, .raw, .RB, .RC, .RC2, .rec, .RED, .REDS, .REL, .RESX, .RFA, .RIN, .rk, .RKT, .RKTL, .RLF, .rm, .rmi, .rmm, .rmvb, .rp, .rss, .rt, .rtf, .RVM, .RVT, .rw2, .rwl, .rwx, .rwz, .S, .S12, .S19, .sav, .SCAD, .SCALA, .SCDOC, .SCE, .SCI, .SCM, .SD7, .SDB, .SDC, .SDF, .SDI, .shtml, .sia, .sib, .skp, .sldasm, .SLDDRW, .sldm, .sldprt, .sldx, .SLN, .smd, .smk, .snd, .SPEF, .SPI, .SQL, .SQLITE, .sr2, .SREC, .srf, .srw, .ssh, .std, .STEP, .STIL, .STK, .STL, .stm, .SUB, .SV, .SVG, .swf, .SWG, .SXD, .tak, .tar, .TCL, .TCT, .TCW, .tex, .TIB, .tif, .tiff, .tp, .trp, .ts, .tta, .txt, .u3d, .uc2, .UDL, .UNV, .UPF, .V, .V2D, .VAP, .VB, .VBG, .VBP, .VC6, .VCD, .VCPROJ, .vdi, .VDPROJ, .vfd, .vhd, .VHDL, .vimproj, .VIP, .VLM, .vmc, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmtm, .vmx, .vmxf, .VND, .vob, .VS, .vsv, .vud, .vue, .vwx, .w3d, .waData, .waIndx, .waJournal, .waModel, .wav, .wb2, .WDB, .webm, .WGL, .wings, .wm, .wma, .WMDB, .WMF, .wmp, .wmv, .wpd, .wps, .wrl, .wv, .x, .X_B, .X_T, .X3D, .x3f, .XAR, .XE, .xhtml, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .XPL, .XQ, .XSI, .XSL, .Y, .z3d, .zip (649 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Не шифруются фалы, находящиеся в директориях:
Microsoft
Windows
Borland
Content.IE5
Mozilla
Framework
Temp
I386
Torrents
Torrent


Файлы, связанные с этим Ransomware:
<random>.exe
C:\Clog.txt - содержит всю информацию, которая шифруется;
encrypted_readme.txt - записка о выкупе;
_<encrypt extensions>_encrypted_readme.txt - записка о выкупе;
psawfcsnbd_encrypted_readme.txt.bmp - содержание, как в encrypted_readme.txt;
encrypted_list.txt - список зашифрованных файлов.

Записи реестра, связанные с этим Ransomware:
HKU\Administrator\Software\Microsoft\Windows\CurrentVersion\
Ext = <encrypt extension>
HKU\Administrator\Software\Classes\<encrypt extensions>\
default = <encrypt extension>.run
HKU\Administrator\Software\Classes\<encrypt extensions>\shell\open\command
default = notepad “%documents%\_zkswrae_encrypted_readme.txt”
См. ниже результаты анализов.


Сетевые подключения и связи:
Email: myserverdoctor@gmail.com
XMPP jabber: doctordisk@jabbim.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Zekwacrypt)
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 MS Malware Protection Center
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *