вторник, 27 сентября 2016 г.

Odin-Locky

Odin-Locky Ransomware

(шифровальщик-вымогатель) 

   Этот крипто-вымогатель является новой версией крипто-вымогателя Locky, отличающейся по ряду признаков. 

 © Генеалогия: Locky > Odin-Locky

К зашифрованным файлам добавляется расширение .odin.
Название зашифрованного файла меняется особым образом. Например, после шифрования файл test.jpg станет 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin

Название получил от добавляемого расширения с указанием на основного крипто-вымогателя. То есть основным является Locky, а с расширением .odin распространяется всего лишь его новая итерация. 


Распространённость Cerber (к октябрю 2016)

Записки с требованием выкупа называются:
_HOWDO_text.html
_HOWDO_text.bmp
_[2_digit_number]_HOWDO_text.html

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION!!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
xxxp://en.wikipedia.org/wiki/RSA (cryptosystem)
xxxp://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
xxxps://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
xxxp://jhomitevd2abj3fk.onion.to/D56F3331E80*****
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: xxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Follow the instructions on the site.
!!! Your personal identification ID: D56F3331E80***** !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ!!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Подробную информацию о RSA и AES можно найти здесь:
xxxp://en.wikipedia.org/wiki/RSA (cryptosystem)
xxxp://en.wikipedia.org/wiki/Advanced Encryption Standard
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы расшифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
hxxps://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxp://jhomitevd2abj3fk.onion.to/D56F3331E80*****
Если все эти адреса недоступны, сделайте следующие действия:
1. Загрузите и установите Tor Browser: 
hxxps://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Следуйте инструкциям на сайте.
!!! Ваш персональный идентификационный ID: D56F3331E80 ***** !!!

  Распространяется с помощью email-спама и вредоносных вложений, упакованных в архив, внутри которых находятся wsf-файлы (ws или js). Если получатель дважды кликнет на один из этих файлов сценариев, то будет загружен зашифрованный инсталлятор DLL, затем дешифрован и запущен с помощью легитимной программы для Windows под названием Rundll32.exe.

Команда, которая выполняется для запуска DLL:
rundll32.exe %Temp%\[name_of_dll],qwerty

Примеры писем:
Dear [Receiver_name], 
Please find attached documents as requested.
---
Best Regards,
[Sender name]
Our sincere apology for the incorrect invoice we sent to you yesterday. 
Please check the new updated invoice #3195705 attached. 
We apologize for any inconvenience. 
---
Socorro Bishop
Executive Director Marketing PPS
Tel.: (324) 435-35-73

Список файловых расширений, подвергающихся шифрованию:
.7zip, .aac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db_journal, .dbf, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (security copy), .msg, .myd, .myi, .ndd, .ndf, .nef, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wks, .wma, .wmv, .wpd, .wps, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (372 расширения). 

Файлы и записи реестра, связанные с Odin-Locky Ransomware:
см. тут.

Гибридный анализ >>
Детект на VirusTotal >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

Read to links:
Write-up
Write-up
 Thanks:
 Lawrence Abrams
 MyOnlineSecurity
 

© Amigo-A (Andrew Ivanov): All blog articles.

Tag Cloud: Remove Odin Decrypt Delete Locky Decode Restore files Recovery data Удалить Odin Locky Дешифровать Расшифровать Восстановить файлы Removal Uninstall Eliminar Borrar Entfernen Deinstallieren Löschen 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *