четверг, 25 августа 2016 г.

Domino

Domino Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью якобы AES-1024 (на самом деле AES-256), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Название происходит от слова Domino, использованного в записке о выкупе. К зашифрованным файлам добавляется расширение .domino

© Генеалогия: Hidden Tear >> Domino

Записки с требованием выкупа называются README_TO_RECURE_YOUR_FILES.txt и HelloWorld!

Записка README_TO_RECURE_YOUR_FILES.txt  размещается на рабочем столе, а HelloWorld извлекается из exe-файла. 





Содержание записки о выкупе:
Your file had been encrypted with AES 1024 bit key!!
How to decrypt your files:
1. Send me 1 bitcoin to: 1AkHp*****
2. After send bitcoin, send me your (computer name + user name + bitcoin address) to email 61f1e8055af3f6a672959e6b0493a2@gmail.com to get password!
3. Using your password to decrypt your files!
If you didn't do this, your password to decrypt your file will be destroy after 72 hour.
Winter Is Coming!
How to buy bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Domino.............)
***

Перевод записки на русский язык (оригинальный сленг сохранен):
Твой файл был зашифрован с AES 1024 бит ключ!!
Как дешифровать файлы:
1. Пришли мне 1 Bitcoin на: 1AkHp*****
2. После отправить Bitcoin, пришли мне твои (имя компьютера + имя пользователя + Bitcoin адрес) на email  61f1e8055af3f6a672959e6b0493a2@gmail.com, чтобы получить пароль!
3. Используй пароль для расшифровки файлов!
Если ты не сделал этого, твой пароль для дешифровки твой файл будет уничтожен через 72 часа.
Зима приближается!
Как купить Bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Домино.............)
/ В конце пририсована корова в ASCII /

Domino Ransomware распространяется с помощью программ для взлома, в частности как инсталлятор ПО KMSpico. Во время работы якобы мастера установки KMSpico на самом деле вредоносная программа в фоновом режиме выполняет шифрование всех файлов пользователя с помощью алгоритма AES. Разумеется, что установщик реального KMSpico был предварительно взломан и модифицирован, чтобы шифровать файлы пользователей. 


При выполнении KMSpico извлекается файл со случайным именем в папку %Temp%. Затем уже тот выполняется и извлекает защищённый паролем файл Help.zip. Пароль к архиву — abc123456. Архив содержит два файла: help.exe и HelloWorld.exe. Первый шифрует файлы и добавляет к ним расширение .domino, а HelloWorld показывает записку с требованием выкупа "HelloWorld!", в которой содержатся инструкции о выкупе и email для связи с вымогателями. 

Файлы шифруются на всех зарегистрированных в системе дисках, кроме диска A:\ и CD-Rom.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .c, .cas, .cdr, .cer, .cfm, .cfr, .class, .cpp, .cr2, .crt, .crw, .cs, .csr, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dba, .dbf, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .java, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lua, .lvl, .m, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py,  .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rss, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sh, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .swift, .syncdb, .t12, .t13, .tax, .tor, .txt, .unity3d, .upk, .vb, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xcodeproj, .xf, .xhtml, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (всего 220 расширений, без дублей в верхнем регистре и повторов, с которыми в два раза больше). 

Дэвы Domino продублировали все целевые расширения в верхнем регистре и даже некоторые (.cer, .css, .js, .py) написали четырежды. Такой ход призван нанести максимальный урон жертве и не пропустить даже те файлы, у которых расширения по какой-то причине написаны в верхнем регистре. 

Файлы, связанные с Domino Ransomware:
%Temp%/KMSpico_setup.exe
%Temp%/31688EFBC3B9C99914A5BB7FB58AEC9E.exe
%Temp%/Help.zip
%Temp%/help.exe
%Temp%/HelloWorld.exe
README_TO_RECURE_YOUR_FILES.txt
%Temp%/ = C:\Users\User_Name\AppData\Local\Temp\

Примечательно, что в строчках кода есть текст на арабском языке.

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 25 января 2017:
Файл: bootcfg.exe
Фальш-имя: Microsoft® Windows® Operating System
Записка: README_TO_RECURE_YOUR_FILES.txt
Email: cstddetnkvcmknl@gmail.com
Сетевые подключения: 74.125.133.108:587
Результаты анализов: VT



Внимание! 
Для зашифрованных файлов есть декриптер. 
1) Получить ключ дешифрования с помощью HiddenTear Bruteforcer и зашифрованного PNG-файла.
2) Этим ключом дешифрования файлы могут быть дешифрованы с помощью HiddenTear Decrypter.

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *