воскресенье, 7 августа 2016 г.

Hitler

Hitler Ransomware

(фейк-шифровальщик)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 25 Евро с Vodafone Card, чтобы вернуть файлы обратно. 

  Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера с поднятой рукой, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 25-евровой Vodafone Card и нажать жёлтую кнопку "Decrypt" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и не слишком грамотный, раз допустил ошибку в названии Hitler-Ransonware (буква "n" вместо правильной "m").
Экран блокировки вымогателя

Изображение я размыл в фоторедакторе. Как выглядит оригинальный экран блокировки, см. здесь

Как было обнаружено, этот вымогатель всего лишь тестовый вариант. Его разработчик рассказал это в краткой фразе в пакетном файле. 

Шифрование файлов вообще не производится, а вместо этого удаляются расширения у всех файлов в следующих каталогах:
%userprofile%\Pictures
%userprofile%\Documents
%userprofile%\Downloads
%userprofile%\Music
%userprofile%\Videos
%userprofile%\Contacts
%userprofile%\Links
%userprofile%\Desktop
C:\Users\Public\Pictures\Sample Pictures
C:\Users\Public\Music\Sample Music
C:\Users\Public\Videos\Sample Videos

После этой операции вымогатель выставляет экран блокировки с текстом условий, ниже которого включается обратный отсчет времени. Через час он вырубает компьютер в синий BSOD-экран, который будет висеть, пока жертва не перезагрузит ПК. При перезагрузке Hitler-вымогатель удалит все файлы, находящиеся в директории пользователя %USERPROFILE%.

Подробности о файлах вымогателя:
Основным исполняемым файлом вымогателя является пакетный файл, который преобразуется в exe-файл в купе с другими файлами (chrst.exe, ErOne.vbs, firefox32.exe), у каждого из которых свои задачи.
Файл chrset.exe отображает экран блокировки с таймером, через час завершает системный процесс csrss.exe, что приводит к BSOD-у. После перезагрузки и входа в систему автоматически запускается файл firefox32.exe и удаляет все файлы в папке% USERPROFILE%. Файл ErOne.vbs выводит алерты типа "Файл не найден" после удаления расширений файлов и других своих операций, чтобы заставить жертву думать, что программа, которую он хочет запустить, просто некорректно работает.
VBS-алерт, как результат работы файла ErOne.vbs

BSOD, вызванный завершением процесса csrss.exe

Удаление файлов, произведенное файлом firefox32.exe

Файлы, связанные с Hitler Ransomware
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\firefox32.exe
%Temp%\[folder].tmp\
%Temp%\[folder].tmp\chrst.exe
%Temp%\[folder].tmp\ErOne.vbs
%Temp%\[folder].tmp\firefox32.exe
ExtraTools.bat
ExtraTools.exe
ErOne.vbs
ransomware_hitler.exe

Результаты анализов:
Гибридный анализ >> VirusTotal анализ >>

Т.к. файлы всё же не шифруются, то я отношу Hitler Ransomware к фейк-шифровальщикам. В новой версии шифрование уже может быть реализовано. 

Степень распространённости: низкая. 
Подробные сведения собираются.

Обновление от 28 января 2017:
Пост в Твиттере >>
Hitler Ransomware финальная версия
Расширение: .Nazi
Файлы: HitlerRansom.exe, YOUR-BILL.pdf.exe
Фальш-имя: Adobe Reader
Результаты анализов: HA+VT
<< Экран блокировки
Судя по некоторым местам экрана блокировки этого Ransomware, то и эта "финальная" версия еще далека до релизной версии. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton