среда, 16 ноября 2016 г.

CryptoLuck

CryptoLuck Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует загрузить Decryptor Wizard, чтобы оплатить выкуп в 0,7 - 2,1 биткоина, чтобы вернуть файлы. На уплату выкупа даётся 72 часа. Название дано от добавляемого расширения. Другие названия: YafunnLocker и Luck Ransomware. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .<hex_id>_luck
Этот шаблон можно записать так: file_name.[A-F 0-9]{8}_luck

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
 Пример зашифрованных файлов и записка о выкупе

Записки с требованием выкупа называются:
@WARNING_FILES_ARE_ENCRYPTED.<id>.txt, например, 
@WARNING_FILES_ARE_ENCRYPTED.04FF8160.txt, или 
@WARNING_FILES_ARE_ENCRYPTED.0054B131.txt

Содержание записки о выкупе:
ATTENTION !
YOUR PERSONAL FILES ARE ENCRYPTED!
PERSONAL ID: 04FF8160
Your important files encryption produced on this computer: photos, videos, documents, etc. Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
If you see this text but don't see Decryptor Wizard window - please, disable any Firewalls and antivirus products, and download Decryptor Wizard on this URL: http://dropmefiles.com/304718
You have 72 hours for payment.
After this time the private key will be destroyed.
For more info and support, please, contact us at this email address:
YAFUNN@YAHOO.COM

Перевод записки на русский язык:
ВНИМАНИЕ!
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!
ПЕРСОНАЛЬНЫЙ ID: 04FF8160
Важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Шифрование произведено с использованием уникального открытого ключа RSA-2048 созданного для этого компьютера. Для расшифровки файлов вам нужно получить закрытый ключ.
Если вы видите этот текст, но не видите окно Decryptor Wizard - пожалуйста, отключите все брандмауэры и антивирусные продукты, и загрузите Decryptor Wizard с этого адреса http://dropmefiles.com/304718
У вас есть 72 часа для оплаты.
После этого времени закрытый ключ будет уничтожен.
Для инфы и помощи, пожалуйста, напишите нам по этому email:
YAFUNN@YAHOO.COM

Есть другая версия записки о выкупе, где текст тот же, но вместо загрузки декриптора предлагается сразу перевести деньги на биткоин-кошелек. Почта: bortanofe@hotmail.com

Информатором жертвы, кроме текстовой записки о выкупе, выступают также скринлок, встающий обобями рабочего стола и блокировщик экрана, он же упомянутый в тексте Decryptor Wizard.

У разных жертв замечены разные email вымогателей:
YAFUNN@YAHOO.COM
FRAMOZES@YANDEX.RU
bortanofe@hotmail.com
Возможно, что есть и другие адреса. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов (в данном случае с помощью набора эксплойтов RIG-E), фальшивых обновлений, перепакованных и заражённых инсталляторов.
ПК жертв заражается с помощью подписанного файла GoogleUpdate.exe.

См. также "Основные способы распространения криптовымогателей" на вводной странице блога

В систему вредонос устаналивается с помощью самораспаковывающегося архива (RAR SFX), в котором содержатся следующий файлы: crp.cfg, GoogleUpdate.exe, goopdate.dll. Файлы будут извлечены в директорию %AppData%\76ff, а файл GoogleUpdate.exe будет автоматически выполнен, согласно заданным в SFX-файле инструкциям, затем для работы он использует вредоносный файл goopdate.dll. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .apk, .arch00, .arj, .arw, .asset, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crp, .crt, .crw, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dbx, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .dxg, .eml, .epk, .eps, .erf, .esm, .fdb, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpg, .gxk, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .idx, .ifx, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdbx, .kdc, .key, .kf, .ksd, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mpd, .mpp, .mpqge, .mrwref, .msg, .myo, .nba, .nbf, .ncf, .nrw, .nsf, .ntl, .nv2, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pgp, .pkpass, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .psk, .pst, .psw, .ptx, .py, .qba, .qbb, .qbo, .qbw, .qdf, .qfx, .qic, .qif, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .saj, .sav, .sb, .sdc, .sdf, .sid, .sidd, .sidn, .sie, .sis, .sko, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .sxc, .syncdb, .t12, .t13, .tar, .tax, .tbl, .tib, .tor, .txt, .upk, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wdb, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (237 расширений).

Среди них документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр. Теневые копии файлов после шифрования удаляются. 

При шифрововании пропускаются файлы, расположенные в следующих директориях:
Windows, Program Files,Program Files (x86), ProgramData, AppData, Application Data, Temporary Internet Files, Temp, Games, nvidia, intel, $Recycle.Bin, Cookies

Файлы, связанные с этим Ransomware:
<random_name>.exe
%TEMP%\<random_name>.tmp
@WARNING_FILES_ARE_ENCRYPTED.<id>.txt
%AppData%\@WARNING_FILES_ARE_ENCRYPTED.0054B131.txt
%AppData%\@WARNING_FILES_ARE_ENCRYPTED.04FF8160.txt и пр.
%AppData%\info_[vicitm_id].info
%AppData%\76ff\
%AppData%\76ff\crp.cfg
%AppData%\Roaming\76ff\GoogleUpdate.exe
%AppData%\76ff\GoogleUpdate.exe
%AppData%\76ff\goopdate.dll
%APPDATA%\76ff\goopdate.bak
%AppData%\ <random_chars>_04FF8160.qr.png
 info_04FF8160.info

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate.exe   %AppData%\76ff\GoogleUpdate.exe
HKCU\Software\sosad_[victim_id]

Сетевые подключения:
two.investigatorhk.top
pandares.top/two/index.php (162.144.180.55:80, США)
хттп://dropmefiles.com/304718
хттп://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUr***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (ID as CryptoLuck)
 *
 Thanks: 
 Jack (malwareforme)
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton