среда, 16 ноября 2016 г.

CryptoLuck

CryptoLuck Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует загрузить Decryptor Wizard, чтобы оплатить выкуп в 0,7 - 2,1 биткоина, чтобы вернуть файлы. На уплату выкупа даётся 72 часа. Название дано от добавляемого расширения. Другие названия: YafunnLocker и Luck Ransomware. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .<hex_id>_luck
Этот шаблон можно записать так: file_name.[A-F 0-9]{8}_luck

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
 Пример зашифрованных файлов и записка о выкупе

Записки с требованием выкупа называются:
@WARNING_FILES_ARE_ENCRYPTED.<id>.txt, например, 
@WARNING_FILES_ARE_ENCRYPTED.04FF8160.txt, или 
@WARNING_FILES_ARE_ENCRYPTED.0054B131.txt

Содержание записки о выкупе:
ATTENTION !
YOUR PERSONAL FILES ARE ENCRYPTED!
PERSONAL ID: 04FF8160
Your important files encryption produced on this computer: photos, videos, documents, etc. Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
If you see this text but don't see Decryptor Wizard window - please, disable any Firewalls and antivirus products, and download Decryptor Wizard on this URL: http://dropmefiles.com/304718
You have 72 hours for payment.
After this time the private key will be destroyed.
For more info and support, please, contact us at this email address:
YAFUNN@YAHOO.COM

Перевод записки на русский язык:
ВНИМАНИЕ!
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!
ПЕРСОНАЛЬНЫЙ ID: 04FF8160
Важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Шифрование произведено с использованием уникального открытого ключа RSA-2048 созданного для этого компьютера. Для расшифровки файлов вам нужно получить закрытый ключ.
Если вы видите этот текст, но не видите окно Decryptor Wizard - пожалуйста, отключите все брандмауэры и антивирусные продукты, и загрузите Decryptor Wizard с этого адреса http://dropmefiles.com/304718
У вас есть 72 часа для оплаты.
После этого времени закрытый ключ будет уничтожен.
Для инфы и помощи, пожалуйста, напишите нам по этому email:
YAFUNN@YAHOO.COM

Есть другая версия записки о выкупе, где текст тот же, но вместо загрузки декриптора предлагается сразу перевести деньги на биткоин-кошелек. Почта: bortanofe@hotmail.com

Информатором жертвы, кроме текстовой записки о выкупе, выступают также скринлок, встающий обобями рабочего стола и блокировщик экрана, он же упомянутый в тексте Decryptor Wizard.

У разных жертв замечены разные email вымогателей:
YAFUNN@YAHOO.COM
FRAMOZES@YANDEX.RU
bortanofe@hotmail.com
Возможно, что есть и другие адреса. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов (в данном случае с помощью набора эксплойтов RIG-E), фальшивых обновлений, перепакованных и заражённых инсталляторов.
ПК жертв заражается с помощью подписанного файла GoogleUpdate.exe.

См. также "Основные способы распространения криптовымогателей" на вводной странице блога

В систему вредонос устаналивается с помощью самораспаковывающегося архива (RAR SFX), в котором содержатся следующий файлы: crp.cfg, GoogleUpdate.exe, goopdate.dll. Файлы будут извлечены в директорию %AppData%\76ff, а файл GoogleUpdate.exe будет автоматически выполнен, согласно заданным в SFX-файле инструкциям, затем для работы он использует вредоносный файл goopdate.dll. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .apk, .arch00, .arj, .arw, .asset, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crp, .crt, .crw, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dbx, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .dxg, .eml, .epk, .eps, .erf, .esm, .fdb, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpg, .gxk, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .idx, .ifx, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdbx, .kdc, .key, .kf, .ksd, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mpd, .mpp, .mpqge, .mrwref, .msg, .myo, .nba, .nbf, .ncf, .nrw, .nsf, .ntl, .nv2, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pgp, .pkpass, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .psk, .pst, .psw, .ptx, .py, .qba, .qbb, .qbo, .qbw, .qdf, .qfx, .qic, .qif, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .saj, .sav, .sb, .sdc, .sdf, .sid, .sidd, .sidn, .sie, .sis, .sko, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .sxc, .syncdb, .t12, .t13, .tar, .tax, .tbl, .tib, .tor, .txt, .upk, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wdb, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (237 расширений).

Среди них документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр. Теневые копии файлов после шифрования удаляются. 

При шифрововании пропускаются файлы, расположенные в следующих директориях:
Windows, Program Files,Program Files (x86), ProgramData, AppData, Application Data, Temporary Internet Files, Temp, Games, nvidia, intel, $Recycle.Bin, Cookies

Файлы, связанные с этим Ransomware:
<random_name>.exe
%TEMP%\<random_name>.tmp
@WARNING_FILES_ARE_ENCRYPTED.<id>.txt
%AppData%\@WARNING_FILES_ARE_ENCRYPTED.0054B131.txt
%AppData%\@WARNING_FILES_ARE_ENCRYPTED.04FF8160.txt и пр.
%AppData%\info_[vicitm_id].info
%AppData%\76ff\
%AppData%\76ff\crp.cfg
%AppData%\Roaming\76ff\GoogleUpdate.exe
%AppData%\76ff\GoogleUpdate.exe
%AppData%\76ff\goopdate.dll
%APPDATA%\76ff\goopdate.bak
%AppData%\ <random_chars>_04FF8160.qr.png
 info_04FF8160.info

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate.exe   %AppData%\76ff\GoogleUpdate.exe
HKCU\Software\sosad_[victim_id]

Сетевые подключения:
two.investigatorhk.top
pandares.top/two/index.php (162.144.180.55:80, США)
хттп://dropmefiles.com/304718
хттп://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUr***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (ID as CryptoLuck)
 *
 Thanks: 
 Jack (malwareforme)
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *