пятница, 14 октября 2016 г.

Exotic

Exotic Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 50 долларов США в биткоинах, чтобы вернуть файлы. На уплату выкупа даётся 72 часа по таймеру. Когда таймер достигнет 0, ПК будет выключен, а жёсткий диск согласно тексту о выкупе будет отформатирован. Название дано самим вымогателем-разработчиком, скрывающимся под никами EvilTwin и Exotic Squad. 

К зашифрованным файлам добавляется расширение .exotic. Активность этого криптовымогателя пришлась на середину октября 2016 г. 

Записками с требованием выкупа выступают два диалоговых окна. В первой и второй версиях в чёрном окне были разные фотографии Гитлера, в третьей обошлось без него. 
Первое окно Exotic Ransomware
Второе окно Exotic Ransomware
Окно 2-й версий Exotic Ransomware
Окно 3-й версий Exotic Ransomware

Содержание первого окна 1-й версии:
Windows is infected, by the EXOTIC Virus!
Try to kill or delete me i will kill your PC!
Have a nice day =) 

Перевод на русский язык:
Windows заражена экзотическим вирусом!
Захотите убить или удалить меня, я убью твой ПК!
Хорошего дня =)


После закрытия первого окна "Crypto" появляется следующее окно с заголовком "You got fucked by EXOTIC SQUAD!"

Содержание следующего окна 1-й версии:
ALL YOUR FILES HAVE BEEN ENCRYPTED
Hello, all your Computer files have been encrypted. But, don’t worry! I haven’t deleted them all. So you have 72 hours to pay 50 USD in BitCoins to my BitCoin Address to get your files back! We will format your hard-drive when you restart the Computer! The Timer starts now! Don’t fuck with EXOTIC Squad! 

Перевод на русский язык:
Все ваши файлы были зашифрованы
Привет, все ваши компьютерные файлы были зашифрованы. Но, не волнуйтесь! Я не удалил их все. Так у вас есть 72 часа, чтобы заплатить 50 долларов США в биткоинах на мой Bitcoin-адрес, чтобы получить файлы обратно! Мы отформатируем жесткий диск при перезагрузке компьютера! Таймер начал отсчёт! Не злите команду EXOTIC!


Exotic Ransomware также скачает изображение для экрана блокировки из ***mitteoderso.de/image.png и сохраняет его в папке %Temp%. 

Большинство вымогательских инфекций нацелены только на файлы данных и не затрагивают исполняемые файлы. Exotic шифрует файлы в директории %UserProfile%, в том числе исполняемые файлы, что делает программы непригодными для дальнейшего использования. Названия файлов переименовываются случайным образом. 

Список файловых расширений, подвергающихся шифрованию:
 .001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .act, .adf, .aep, .aepx, .aex, .ai, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFo, .config, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .ink, .inx, .iso, .jar, .java, .jnt, .jpeg, .jpg, .json, .kdc, .key, .lib, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .nt, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (228 расширений, без дублей). 

Пока этот шифровальщик находится в разработке, т.к. по всему видно, что у разработчика пока мало опыта в создании и распространении шифровальщиков. Но за несколько дней он успел выпустить три версии, отличающиеся в мелких деталях. 

Если выйдет доработанная версии, то в принципе будет распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Exotic Ransomware завершает в системе работу следующих процессов: taskmgr, cmd, procexp, procexp64, regedit, CCleaner64, msconfig

Также шифровальщик делает копию себя и сохраняет в директорию: %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe

Примечательно, что раз все файлы в директории %UserProfile% шифруются, то и этот файл будет зашифрован, а после перезагрузки ПК он уже не будет активным. 

Файлы, связанные с Exotic Ransomware:
Crypto.exe
Module.exe
EXOTIS Virus 2.0.exe
EXOTIS Virus 3.0.exe
и др.

Записи реестра, связанные с Exotic Ransomware:
***

Сетевые подключения:
mitteoderso.de/image.png
exotic-squad.de
162.210.102.210:443

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twittter
Video review
ID Ransomware + Writeup on BC
 Thanks: 
 MalwareHunterTeam 
 CyberSecurity GrujaRS
 Michael Gillespie
 Lawrence Abrams

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *