пятница, 12 августа 2016 г.

Smrss32

Smrss32 Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Название получил от исполняемого файла smrss32.exe. К зашифрованным файлам добавляется расширение .encrypted. Активность этого криптовымогателя пришлась на июнь-июль 2016 г., но по всей видимости использование будет продолжено. 

  Записка с требованием выкупа называется _HOW_TO_Decrypt.bmp и располагается в каждой папке с зашифрованными файлами. Также используется файл wallpaper.bmp с аналогичным содержанием, встающий обоями рабочего стола. Судя по содержанию, выдает себя за CryptoWall Software, коим не является. 


 Содержание записки о выкупе (левая часть скриншота):
INTRODUCTION
Data encryption involves converting and transforming data into scrambled, unreadable, cipher-text using non-readable mathematical calculations and algorithms Restoring requires a corresponding decryption algorithm in form of software and the decryption key.
Data encryption is the process of transforming information by using some algorithm to make it unreadable to anyone except those possessing a key.
In addition to the private key you need the decryption software with which you can decrypt your files and return everything to the same level as it was in the first place. Any attempts to try restore you files with the third-party tools will be fatal for your encrypted content.
I almost understood but what do I have to do?
The first thing you should do is to read the instructions to the end. Your files have been encrypted with the "CryptoWall" Software The instructions, along with encrypted files are not viruses, they are you helpers After reading this text, 99% of people turn to a search engine with the word "CryptoWall" where you'll find a lot of thoughts, advices and instructions.
Unfortunately, antivirus companies are not and will not be able to restore your files. Moreover, they make things worse by removing instructions to restore encrypted content Antivirus companies will not be able to help decrypt your encrypted data, unless the correct software and unique decryption key is used.
Fortunately, our team is ready to help to provide instructions to decrypt your encrypted content. Keep in mind that the worse has already happened and the further life of your files directly depends on determination and speed of your actions. Therefore, we advice not to delay and follow "HOW TO DECRYPT" instructions. 
After purchasing a software package with the unique decryption key you'll be able to:
1. Decrypt all your files
2. Work with your documents
3. View your photos and other media content
4. Continue habitual and comfortable work at your computer
If you are aware of the whole importance and criticality of the situation, then we suggest to go directly to the below "HOW TO DECRYPT" instructions where you will be given final simple steps, as well as guarantees to restore your files.

 Перевод на русский язык (стиль авторов сохранён): 
ВВЕДЕНИЕ
Шифрование данных состоит из преобразования и трансформации данных в непонятный, нечитаемый, шифрованный текст с использованием алгоритмов шифрования. Восстановление требует соответствующего алгоритма дешифрования в виде ПО и ключа дешифрования.
Шифрование данных представляет собой процесс преобразования информации с помощью некоего алгоритма, чтобы сделать его нечитаемым никому, кроме тех, кто обладает ключом.
В дополнение к закрытому ключу требуется ПО дешифрования, с помощью которого можно расшифровать файлы и вернуть все на том же уровне, как это было в первую очередь. Любые попытки восстановить вам файлы с помощью иных инструментов будут фатальным для вашего зашифрованного контента.
Я почти понял, но что я должен делать?
Первое, что вы должны сделать, это прочитать инструкцию до конца. Ваши файлы были зашифрованы CryptoWall Software. Инструкции вместе с зашифрованными файлами не являются вирусами, они помогут вам после прочтения этого текста, 99% людей обращаются к поисковой системе со словом "CryptoWall", где вы найдёте много мыслей, советов и инструкций.
К сожалению, антивирусные компании не смогут восстановить ваши файлы. Кроме того, они сделают хуже, удалив инструкции для восстановления зашифрованного контента. Антивирусные компании не смогут помочь расшифровать зашифрованные данные, если не используется правильное программное обеспечение и уникальный ключ дешифрования.
К счастью, наша команда готова помочь предоставить инструкции для расшифровки зашифрованного контента. Имейте в виду, что худшее уже произошло, и дальнейшая жизнь ваших файлов напрямую зависит от точности и скорости ваших действий. Поэтому мы рекомендуем не затягивать и следовать инструкции "HOW TO DECRYPT".
После покупки пакета ПО с уникальным ключом дешифрования вы сможете:
1. Расшифровать все файлы
2. Работать с документами
3. Просматривать фотографий и другие медиа-файлы
4. Продолжить привычную и комфортную работу на вашем компьютере
Если вы узнали о всей важности и критичности ситуации, то мы предлагаем перейти непосредственно к инструкции "HOW TO DECRYPT", где будут описаны завершающие простые шаги, а также гарантии для восстановления файлов.

Email вымогателей: helprecover@ghostmail.com

Распространяется через спам с вложениями, в которых могут присутствовать новости о претендентах на пост президента США (на английском, испанском, бразильском и прочих языках). 

Зачастую устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP.

Почему это возможно? 
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер,  с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.

 Список файловых расширений, подвергающихся шифрованию: 
.18113 .3gp2 .3gpp .8pbs .acs2 .acsm .aifc .aiff .albm .amff .ascx .asmx .aspx .azw3 .back .backup .backupdb .bank .bdmv .blob .bndl .book .bsdl .cache .calb .cals .cctor .cdda .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ciff .class .clipflair  .clpi .conf .config .contact .craw .crtr .crtx .ctor .ctuxa .d3dbsp .data .dazip .ddat .ddoc .ddrw .desc .divx .djvu .dmsk .dnax .docb .docm .docx .dotm .dotx .dsp2 .dump .encrypted .epfs .epub .exif .fh10 .flac .fmpp .forge .fsproj .gray .grey .group .gtif .gzip .h264 .hkdb .hplg .html .hvpl .ibank .icns .icxs .ilbm .im30 .incpas .indd .indt .ipsw .itc2 .itdb .ithmb .iw44 .java .jfif .jhtml .jnlp .jpeg .json .kdbx .kext .keychain .keychain .kpdx .lang .latex .lay6 .layout .ldif .litemod .log1 .log2 .log3 .log4 .log5 .log6 .log7 .log8 .log9 .m2ts .m3url .macp .maff .mcmeta .mdbackup .mddata .mdmp .menu .midi .mobi .moneywell .mp2v .mpeg .mpga .mpls .mpnt .mpqge .mpv2 .mrwref .ms11 .msmessagestore .mspx .mswmm .oeaccount .opus .otpsc .pack .pages .paint .phtml .pict .pj64 .pkpass .pntg .potm .potx .ppam .ppsm .ppsx .pptm .pptx .ppxps .psafe3 .psmdoc .pspimage .qcow2 .qdat .qzip .rels .rgss3a .rmvb .rofl .rppm .rtsp .s3db  .sas7bcat .sas7bdat .sas7bndx .sas7bpgm .sas7bvew .sidd .sidn .sitx .skin .sldm .sldx .smil  .sqlitedb .svg2 .svgz .targa .temp .test .text .tiff .tmpl .torrent .trace .tt10 .uns2 .urls .user .vcmf .vfs0 .view .vmdk .wallet .wbmp .webm .webp .wlmp .wotreplay .wrml .xbel .xfdl .xhtml .xlam .xlsb .xlsm .xlsx .xltm .xltx .xspf .xvid .ycbcra .ychat .yenc .zdct .zhtml .zipx .ztmp (233 расширения; список очищен от дублей типа .BACKUPDB и .backupdb). 

Шифровальщиком пропускаются файлы с расширением .bmp, чтобы не затронуть файл с вымогательским текстом. 

При расширенном анализе других образцов было обнаружено, что весь список расширений содержит 6674 расширения, но в нем почти половина — это дубликаты в верхнем и нижнем регистре. 

При шифровании пропускаются папки и файлы, находящиеся в следующих директориях:

AppData, Application Data, Boot, Games, Program Files, Program Files (x86), Program Data, Sample Music, Sample Pictures, System Volume Information, Temp, Windows, cache, tmp, winnt и thumbs.db. 

 Файлы и папки, связанные с Ransomware:
smrss32.exe - исполняемый файл вымогателя
%ALLUSERSPROFILE%\Wallpaper
%ALLUSERSPROFILE%\Wallpaper\wallpaper.bmp

 Записи реестра, связанные с Ransomware: 
***

Гибридный анализ на Payload Security >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *