четверг, 27 октября 2016 г.

Hucky

Hucky Ransomware
Hungarian Locky Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA, а затем требует выкуп, чтобы вернуть файлы. Название получил от составления частей слов Hungarian Locky: Hu + cky. Такое решение было принято исследователями из компании Avast из-за стремления вымоагтелей-разработчиков выдать своё творение за настоящий Locky. 

© Генеалогия: Locky > Hungarian Locky

К зашифрованным файлам добавляется расширение .locky. Настоящее имя файла не меняется. 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на венгерских пользователей.

Записки с требованием выкупа называются: 
_Adatok_visszaallitasahoz_utasitasok.txt (т.е. Инструкции по восстановлению данных)
_locky_recover_instructions.txt
Fontos Informacio.bmp


Содержание записки о выкупе:
!!! FONTOS INFORMÁCIÓ !!!!
Az összes fájlja le lett titkosítva RSA-3072 és AES-128 titkosításokkal.
RSA és az AES titkosításokról itt olvashat részletesebben :
https://hu.wikipedia.org/wiki/RSA-eljárás
https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard
A fájljai visszanyeréséhez szüksége van a titkos kulcsra valamint egy vissza titkosító programra.
A kulcs megszerzéséhez kérem kövesse az alábbi lépéseket:
1. Küldje el e-mailbe a azonosító kódját locky@mail2tor.com címre !
Ha gondolja küldje el egy 1 Mb-nál kisebb fájlját és visszakódoljuk.
Hogy bebizonyítsuk képesek vagyunk visszaállítani az adatait.
(Kérem az e-mail csak a azonosító kódot valamint az esetleges csatolmányt tartalmazza)
3. Figyelje e-mail fiókját mert 24 órán belül levelet küldünk önnek !
A levélben megkapja a visszakódolt fálját,valamint a vissza titkosító programot.
Kövesse a levélben lévő utasításokat I
!!! Az ön azonosító kódja !!!
***
↑ Ezt a hosszú kódot a jegyzettömbből lehet kimásolni

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все файлы зашифрованы с помощью шифрования RSA-3072 и AES128.
О RSA и AES шифрах можете узнать больше здесь:
https://hu.wikipedia.org/wiki/RSA-eljárás
https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard
Чтобы вернуть файлы, нужно получить секретный ключ и программу дешифрования.
Чтобы получить ключ, пожалуйста, выполните следующие действия:
1. Отправьте на email-адрес locky@mail2tor.com идентификационный код!
Если хотите, пришлите файл в размере 1 МБ для расшифровки.
Для того, чтобы доказать, что мы можем восстановить данные.
(Пожалуйста, email должно содержать только идентификационный код, а также вложении)
3. Обратите внимание, проверяйте почту, мы вышлем вам письмо в течение 24 часов!
Вы получите во ввложении расшифрованный файл и программу дешифрования.
Следуйте инструкциям в письме.
!!! Ваш идентификационный код !!!
***
 Этот длинный код может быть скопирован из блокнота

Как показал анализ, вымогательский текст был переведен на венгерский с помощью системы автоматизированного перевода, в том числе в тексте отсутствует пункт 2 и сразу после 1-го идет 3-й. 

Распространяется Hucky с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Создатели этого венгерского крипто-вымогателя стремились к тому, чтобы запугать своих жертв "крутым" шифровальщиком Locky. Перечислим ряд замеченных исследователями признаков и сравним их с признакоами реального Locky. 

Первым их них является расширение .locky, добавляемое к зашифрованным файлам, тогда как реальный Locky уже давно "отказался" от его использования. Также Hucky, в отличие от реального Locky, выполняет шифрование в автономном режиме, т.е. без обращения к C&C-серверу. 

Пока пользователь, неострожно открывший вредоносное влложение, просматривает фиктивный документ Word, производится шифрование файлов. Hucky может перезапустить ПК после завершения процесса шифрования, чтобы удалить свои файлы и следы работы, которые могут помочь узнать ключ дешифрования. 

Требования выкупа Hucky отображает на венгерском в виде текстовых файлов и дублирует их на изображении, встающем обоями рабочего стола. Тогда как реальный Locky выводил тексты только на английском языке. Locky запрашивал уплату Bitcoin через Tor-сайт, а Hucky требует от жертвы написать на email адрес в Mail2Tor. На изображение Hucky, встающем обоями, есть маленькая картинка жёлтого замка, которого у реального Locky нет.

Список файловых расширений, подвергающихся шифрованию, у Hucky состоит всего из 200 шт., что составляет лишь половину списка, используемого Locky. Вымогатель Hucky кроме того нацелен на видео-файлы игр, которые используются в StarCraft2, World of Tanks и Minecraft.

Другим отличием является используемый язык программирования: Locky был создан с помощью Microsoft Visual C ++, а Hucky основан на Microsoft VisualBasic.

Все диалоги Hucky с жертвами написаны на венгерском языке. Исполняемые файлы Hucky распространяются только в Венгрии и связаны с такими названиями, как semmi.exe (венгерское слово "ничто") или turul.exe (название венгерского национального символа). Кроме того, венгерский текст используется в коде Hucky, в пространстве имён, методах, переменных и т.д.

Список файловых расширений, подвергающихся шифрованию:
200 расширений, в их числе файлы документов MS Office, PDF, изображения, аудио-видео, файлы игр. 

Файлы, связанные с Hucky Ransomware:
_Adatok_visszaallitasahoz_utasitasok.txt (Инструкции по восстановлению данных)
_locky_recover_instructions.txt
\Startup\mgtow.exe
\Startup\Java Update.exe
\Startup\Fontos Informacio.bmp
\Temp\monodocu.dat
\Temp\d3m4g0g.dat
\Temp\\[A-Za-z0-9]{6}\.bat$/

Записи реестра, связанные с Hucky Ransomware:
***

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Blog Avast
 ID Ransomware
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *