Если вы не видите здесь изображений, то используйте VPN.

пятница, 16 августа 2013 г.

Revoyem, DirtyDecrypt

Revoyem Ransomware

DirtyDecrypt Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA+RC4, а затем требует выкуп, чтобы вернуть файлы.

Этот крипто-вымогатель шифрует файлы пользователей, главным образом doc, .xls, .pdf, jpg, png и другие файлы, которые недавно были созданы или изменены пользователем. 

Revoyem впервые обнаружен в марте 2013 года на территории Германии и Великобритании. К осени того же года ареал обитания Revoyem уже охватывал 15 стран, в их числе США, Испания, Францию, Италия, Турция и Канада. Источник информации. Позже в новых вредоносных кампаниях были затронуты и другие страны, в том числе и Россия (см. внизу блок обновлений). 

Вредонос внедряет PNG-записку с требованием выкупа в файлы, сохраняя первоначальное расширение файла. 


После того, как пользователь попытается открыть поврежденный файл, он увидит следующее сообщение:

Содержание записки о выкупе:

File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened сheck the paths:
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[USERNAME]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Application Data\Dirty\DirtyDecrypt.exe

Перевод записки на русский язык:

Файл зашифрован 
Этот файл можно дешифровать с помощью DirtyDecrypt.exe 
Нажмите CTRL + ALT + D для запуска DirtyDecrypt.exe 
Если DirtyDecrypt.exe не открылся, проверь пути: 
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[USERNAME]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Application Data\Dirty\DirtyDecrypt.exe



Технические детали

Распространяется при помощи email-спама, вредоносных JS-вложений, через редиректы на порносайтах.  См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Кликнув по вредоносному баннеру, установленному в рамках партнерской программы TrafficHolder, посетитель попадает на страницу с детским порно, которая к тому же служит плацдармом для набора эксплойтов Styx. При успешной отработке эксплойта на машину жертвы загружается Revoyem, который блокирует доступ к системе и выводит во весь экран сообщение, обвиняющее пользователя в просмотре противозаконного контента. Эффект от атаки сильнее тем, что пользователь, открывший данный сайт, действительно просмотрел запрещенный контент, хотя и мельком, и не по своей воле. Испугавшись, жертва может форсировать уплату "штрафа", чтобы восстановить работоспособность ПК, пока кто-то из близких не увидел "содеянного". 

Блокирующий доступ к системе блокировщик экрана имитирует уведомление от блюстителей правопорядка и требуют уплатить "штраф" за разблокировку. В сообщениях "от ФБР" приводятся IP-адрес и местонахождение пользователя, а также запрещенные фото, логи визитов с данного IP-адреса и список статей, которые нарушила жертва.


«В случае уплаты штрафа все собранные против вас улики будут удалены из доказательной базы», — говорится на последней странице, отображаемой Revoyem. Платеж предлагается произвести с помощью MoneyPak, Paysafeсard или Ukash.


Кроме того, Revoyem в фоновом режиме ворует информацию из браузера, отключив диспетчер задач, и при инсталляции обеспечивает себе автозапуск при каждом запуске Windows. 


По своим действиям Revoyem мало отличается от семейства вымогателей Police Ransomware, но тот факт, что Revoyem перенаправляет свои жертвы на веб-сайты, содержащие порнографическое содержание, делает его более опасным, чем его предшественники.


Если напуганная жертва решит заплатить выкуп, то рискует просто потерять деньги, т.к. нет никакой гарантии, что данные, хранящиеся на компьютере будут расшифрованы. В шоковом состоянии жертва также может бессознательно раскрыть данные кредитной карты и онлайн-банкинга. 


Список файловых расширений, подвергающихся шифрованию:
.doc, .xls, .pdf, jpg, .png и другие важные файлы.
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
DirtyDecrypt.exe
<random>.exe - случайное название файла
<image>.png - картинка, внедряемая в файлы

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: была высокая, но на данный момент низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4 июня 2015:
Email: vorjdsa@mail.ru, Opensupport@india.com
Записка о выкупе: ХОЧЕШЬ ВЕРНУТЬ ФАИЛЫ!.txt
Содержание записки:
Здравствуйте! все ваши данные на дисках зашифрованы если хотите расшифровать ваши фаилы то пишите нам на емайл vorjdsa@mail.ru и на Opensupport@india.com мы ответим в течении 1-4 часов 
ПРИ ОБРАЩЕНИИ УКАЖИТЕ ВАШ ПЕРСОНАЛЬНЫЙ КОД
Ваш код 27xxxxxx
мы предоставляем гарантии расшифровки! 
Топик на форуме Dr.Web >>





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DirtyDecrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 ThreatPost и другие
 Michael Gillespie
 v.martyanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles. 


Remove Revoyem DirtyDecrypt Decode Restore files Recovery data Удалить Revoyem DirtyDecrypt Дешифровать Расшифровать Восстановить файлы

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *