вторник, 19 июля 2016 г.

Cute, my-Little

Cute Ransomware

my-Little-Ransomware

(шифровальщик-вымогатель)

   В основе крипто-вымогателя Cute Ransomware лежит Open Source разработка "my-Little-Ransomware" китайского программиста Ма Шенхао, выложенная им в феврале 2016 на Github


Remove Cute Ransomware Decrypt CuteRansomware Decode Restore files Recovery data 
Удалить my-Little-Ransomware Дешифровать Расшифровать Восстановить файлы

  Согласно описанию, my-Little-Ransomware представляет собой простой инструмент для создания крипто-вымогателей, написанный на C# (CSharp). Ма Шенхао (кстати, имя Shenghao переводится с китайского как "Добрый знак") писал несколько вымогателей в исследовательско-учебных целях для SITCON 2016 (китайской студенческой конференции по информационным технологиям). И только my-Little-Ransomware (другое авторское название CSharpRansomware) получился таким, что не детектировался ни одним из антивирусов. Ма Шенхао приложил скриншот с VirusTotal, где нет детекта ни одного детекта. Разработчик даже не предполагал, что его программа станет оружием в руках киберпрестпником и породит несколько реальных крипто-вымогателей. В его my-Little-Ransomware использовался AES-128 для шифрования данных. 

В my-Little-Ransomware список файловых расширений, подвергающихся шифрованию, был следующим:
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (158 расширений).

В Cute Ransomware же задан урезанный набор целевых расширений:
.bmp, .cpp, .csr, .docx, .enc, .jpg, .pcap, .pdf, .pem, .png, .pptx, .py, .txt, .zip (14 расширений).

  Cute Ransomware использует AES-128 для шифрования файлов, а RSA для шифрования ключей. Он пересохраняет файлы с расширением .encrypted, записанным на китайском языке .已加密, а затем отправляет ключи в Google Docs. Из чего следует, что вымогатель ориентирован только на китайских пользователей. Распространяется с помощью попутных загрузок. 

  Расчет кибер-преступников прост: "Сервис Google Docs использует HTTPS по умолчанию и передача данных осуществляется по протоколу SSL, из-за чего вредонос может легко обойти традиционные решения безопасности, такие как межсетевой экран, систему предотвращения вторжений, или брандмауэр следующего поколения", — объяснили Netskope в своем блоге. "Авторы вредоносных программ перешли к более широкому использованию облака, для доставки вредоносных программ и эксфильтрации данных с помощью C&C-серверов, а отсутствие традиционных средств обнаружения в SSL становится огромным преимуществом для них"... "Организациям, использующим сервис Google Docs в качестве основного, практически невозможно защититься. Чтобы предотвратить атаку этих вымогателей, нужно избирательно блокировать конкретный экземпляр приложения, связанный с этим вымогателем, позволяя работу только с санкционированными экземплярами Google Docs". 

  Первые крипто-вымогатели, основанные на my-Little-Ransomware, были замечены в середине июня. А неделю назад фирма Netskope подловила еще один похожий вредонос, в коде которого была строка cuteRansomware, которая и стала названием для всех вымогателей на его основе.

Добавление от 21 июля 2016
Один из китайских вариантов
Расширение: .cke
Записка о выкупе: 文件加密警告warning.txt (File Encryption Warning)

Китайский текст:
由于您曾经使用了盗版软件,您的大部分文件暂时被AES-128加密:office文件,图片,文本文档,数据库等。需要支付软件版权费用才能恢复所有文件。请联系邮箱imugf@outlook.com支付版权费。
说明:1.不要删除桌面上任何文件!否则永远无法恢复被加密的文件。2.AES-128是高级加密标准,拥有极佳的安全性,除了我们没有任何人能恢复所有文件。

Английский текст:
Warning: Since you have used pirated software, most of your files have been encrypted by AES-128: office files, images, text files, databases, etc.. You must pay software copyright fees to recover all the files. Please contact email imugf@outlook.com to pay copyright fees.
Note: 1. Do not delete any files on the desktop! Otherwise, you can never recover the encrypted files. 
2. AES-128 is advanced encryption standard, with excellent security, in addition to our no one can recover all the files.

Перевод на русский:
Внимание: Раз вы использовали пиратский софт, многие ваши файлы были зашифрованы с AES-128: офисные файлы, изображения, текстовые файлы, базы данных и т.д. Вы должны оплатить сбор за копирайт софта, чтобы вернуть все файлы. Пишите нам на imugf@outlook.com для оплаты сбора.
Важно: 1. Не удаляйте файлы на рабочем столе! Иначе вы не вернете зашифрованные файлы.
2. AES-128 передовой стандарт шифрования, с отличной безопасностью, потому никто не вернет вам все файлы.

Файлы, связанные с Cute Ransomware:
Ransomware.exe
文件加密警告warning.txt

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: средняя и перспективно высокая. 
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton