четверг, 17 ноября 2016 г.

Dharma

Dharma Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, использует ранее известное название. 


Dharma
Изображение не принадлежит шифровальщику

© Генеалогия: CrySiS > Dharma

К зашифрованным файлам добавляется расширение .dharma, но не напрямую, а по шаблону .[email_for_ransom].dharma
Оригинальное имя файла не изменяется. 

Примеры:
original_filename.[bitcoin143@india.com].dharma
original_filename.[worm01@india.com].dharma
original_filename.[pay4help@india.com].dharma

Известные на данный момент расширения по шаблону .[email_for_ransom].dharma
.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README.txt - текстовая записка 
README.jpg - скринлок на обои рабочего стола

Содержание записки о выкупе:
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com

Перевод записки на русский язык:
ВНИМАНИЕ!
На данный момент твоя система не защищена.
Мы можем это исправить и восстановить файлы.
Для восстановления системы напиши на этот адрес:
bitcoin143@india.com

Файлы, зашифрованные Dharma, содержат специальный маркер файлов WORM06

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений и компонентов легитимных программ, в том числе якобы от Microsoft, Adobe и пр., перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

После шифрования теневые копии файлов удаляются командой:
 vssadmin.exe vssadmin delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:
.acrodata, .au3, .bak, .bat, .bin, .bmp, .chm, .dat, .db, .def, .dic, .dll, .doc, .docx, .dot, .dotm, .dotx, .dtd, .e2x, .exe, .flt, .gif, .h, .hpp, .htm, .html, .htt, .hxh, .hxl, .hxn, .hxw, .ico, .idl, .ini, .ion, .jpg, .js, .json, .jsx, .lck, .lib, .lic, .lnk, .log, .mk, .msp, .pl, .pm, .png, .pod, .ppt, .pptx, .py, .pyc, .rar, .rdf, .rtf, .sam, .scf, .sfx, .sig, .sqlite, .sst, .tcc, .tmp, .txt, .wav, .wb2, .wma, .wmdb, .wpd, .wpg, .wpl, .xa, .xbn, .xls, .xlsx, .xml, .xss, .zip … (80 расширений) и другие. 
Документы, базы данных, PDF, фотографии, музыка, видео, архивыб общие сетевые папки и пр. Шифруются также файлы без расширений. 

Файлы, связанные с Dharma Ransomware:
<random_name>.exe
Skanda.exe
worm.exe
adobe.exe
README.txt
C:\DOCUME~1\User\LOCALS~1\Temp\worm.exe
C:\WINDOWS\System32\worm.exe
C:\Documents and Settings\User\Start Menu\Programs\Startup\worm.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\<random_name>.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Ripoff.Acm
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\qiblas.dll
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp\System.dll

Записи реестра, связанные с Dharma Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
Список emai, известных у Dharma Ransomware с расширением .wallet:
3048664056@qq.com
age_empires@aol.com
aligi@zakazaka.group
amagnus@india.com
amanda_sofost@india.com
braker@plague.life
breakdown@india.com
crann@india.com
crann@stopper.me
crannbest@foxmail.com
cryalex@india.com
Cryptime@india.com
crysis@indya.life
danger_rush@aol.com
dderek@india.com
dderek416@gmail.com
ded_pool@aol.com
denied@india.com
destroed_total@aol.com
diablo_diablo2@aol.com
donald_dak@aol.com
dropped@india.com
enterprise_lost@aol.com
fedor2@aol.com
fidel_romposo@aol.com
fire.show@aol.com
first_wolf@aol.com
flashprize@india.com
fly_goods@aol.com
gotham_mouse@aol.com
grand_car@aol.com
gutentag@india.com
HelpRobert@gmx.com
ice_snow@aol.com
info@kraken.cc
injury@india.com
interlock@india.com
joker_lucker@aol.com
kuprin@india.com
last_centurion@aol.com
lavandos@dr.com
legionfromheaven@india.com
m.reptile@aol.com
m.subzero@aol.com
makedonskiy@india.com
mandanos@foxmail.com
matacas@foxmail.com
mission_inposible@aol.com
mission_inpossible@aol.com
mk.baraka@aol.com
mk.cyrax@aol.com
mk.goro@aol.com
mk.jax@aol.com
mk.johnny@aol.com
mk.kabal@aol.com
mk.kitana@aol.com
mk.liukang@aol.com
mk.noobsaibot@aol.com
mk.raiden@aol.com
mk.rain@aol.com
mk.scorpion@aol.com
mk.sektor@aol.com
mk.sharik@aol.com
mk.smoke@aol.com
mk.sonyablade@aol.com
mk.stryker@aol.com
mkgoro@india.com
mkjohnny@india.com
MKKitana@india.com
Mkliukang@india.com
mknoobsaibot@india.com
mkscorpion@india.com
MKSmoke@india.com
mksubzero@india.com
moneymaker2@india.com
nicecrypt@india.com
nomascus@india.com
nort_dog@aol.com
nort_folk@aol.com
obamausa7@aol.com
p_pant@aol.com
reserve-mk.kabal@india.com
sammer_winter@aol.com
shamudin@india.com
sman@india.com
smartsupport@india.com
space_rangers@aol.com
spacelocker@post.com
ssama@india.com
stopper@india.com
supermagnet@india.com
support_files@india.com
tanksfast@aol.com
terrabyte8@india.com
total_zero@aol.com
versus@india.com
walmanager@qq.com
war_lost@aol.com
warlokold@aol.com
webmafia@asia.com
webmafia@india.com
xmen_xmen@aol.com
zaloha@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление из видео-обзора от GrujaRS

Скринлок, встающий обоями рабочего стола обзавелся индийским стилем. Первая фраза в особенности. 
Содержание текста с обоев:
hello my friend
ALL YOUR DATA IS ENCRYPTED
to get your data back and
protect your system, write:
worm01@india.com

Обновление от 28 ноября: Email: worm01@india.com
Расширение: .[worm01@india.com].dharma
Записка: HOW TO DECRYPT YOUR DATA.txt
Содержание записки: 
to decrypt the data write on mail worm01@india.com
Результаты анализов: HA+VT

Обновление от 28 ноября 2016:
Расширение: .dharma 
Полное расширение: .[tombit@india.com].dharma
Email: tombit@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:

Пост в Твиттере >>
Новое расширение: .[lavandos@dr.com].wallet
Email: lavandos@dr.com,  lavandos@india.com
Результаты анализов: VTVT
<= Изображение на обои
*




Обновление от 29 ноября 2016:
Новое расширение: .[amagnus@india.com].wallet
Email: amagnus@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:
Пост в Твиттере >>
Новое расширение: .[amagnus@india.com].zzzzz

Обновление от 5 декабря 2016:
Новое расширение: .[mkgoro@india.com].xtbl

Обновление от 13 декабря 2016:
Расширение: .wallet
Email: stopper@india.com
Результаты анализов: VT

Обновление от 18 декабря 2016:
Расширение: .wallet
Email: support_files@india.com
Результаты анализов: VT

Обновление от 26 декабря 2016:
Расширение: .wallet
Email: mksubzero@india.com
Результаты анализов: VT

Обновление от 28 декабря 2016:
Расширение: .[Mkliukang@india.com].wallet
Email: Mkliukang@india.com

Обновление от 29 декабря 2016:
Пост в Твиттере >>
Записка: Info.hta
Email: mkgoro@india.com
*
*
*





Обновление от 12 января 2017:
Расширение: .[supermagnet@india.com].wallet
Email: supermagnet@india.com

Обновление от 13 января 2017:
Расширение: .[webmafia@asia.com].wallet
Email: webmafia@asia.com
Результаты анализов: VT

Обновления февраля 2017:
Email: legionfromheaven@india.com
Расширение: .[legionfromheaven@india.com].wallet
Email: wisperado@india.com
Расширения: .[wisperado@india.com].viper1 и .[wisperado@india.com].viper2 
Email: mission_inposible@aol.com
Расширение: .[mission_inposible@aol.com].wallet 

Обновления от 9 марта 2017:
Email: mk.goro@aol.com
Расширение:.[mk.goro@aol.com].wallet

Обновления от 27 марта 2017:
Email: crannbest@foxmail.com
Расширение:.[crannbest@foxmail.com].wallet

Обновление от 7 апреля 2017:
Расширение: .[mk.kitana@aol.com].wallet
Email: mk.kitana@aol.com
Пример файла: Audit letter - XXXXX.doc.id.-XXXXX.[mk.kitana@aol.net]

Обновление от 14 апреля 2017:
Пост в Твиттере >>
Идентификация в ID Ransomware: Dharma (.onion)
Расширение: .onion
Шаблон: config.sys.id -66813FE4.[felix_dies@aol.com].onion

Обновление от 22 апреля 2017:
Расширение: .id-<id>.[mk.sektor@aol.com].wallet
Email: mk.sektor@aol.com
Результаты анализов: VT

Обновление от 4 мая 2017:
Файлы: mandanos.exe и Info.hta
Расположения: 
"%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
%WINDIR%\System32\mandanos.exe
C:\crysis\Release\PDB\payload.pdb
Email: mandanos@foxmail.com
Расширение: .[mandanos@foxmail.com].wallet
Примеры зашифрованных файлов:
<file_name>.id-C3B22A85.[mandanos@foxmail.com].wallet
6DF4C247EB188DBE3AA7FEFB8B83F5C21339C17F.id-C3B22A85.[mandanos@foxmail.com].wallet
Удаление теневых копий файлов: 
vssadmin delete shadows /all /quiet
Результаты анализов: HA+VT


Обновление от 14 августа 2017:
Пост в Твиттере >>
Расширение: .cezar


Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются.

 Read to links: 
 Topic on DC, Video review
 ID Ransomware (ID as Dharma: .dharma, .wallet, .onion, .cezar)
 Write-up on BC, Write-up on BC (add. May 18, 2017)
 Thanks: 
 Michael Gillespie
 R0bert R0senb0rg
 Lawrence Abrams
 GrujaRS
 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *