четверг, 1 декабря 2016 г.

Matrix

Matrix Ransomware

Malta Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью стандартной комбинации AES + RSA при использовании ПО для шифрования с открытым исходным кодом GNU Privacy Guard (GnuPG), а затем требует отправить на email вымогателей код ID, чтобы получить инструкции по уплате выкупа, чтобы вернуть файлы. Название получил от используемого логина email и добавляемого расширения. Оригинальное название: Malta (malta.exe). 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .matrix или .MATRIX

Оригинальное имя файла изменяется, таким образом зашифрованный файл будет выглядеть как [random_name].id-[ ID_Encryption_Key].MATRIX
Например, 3T7irdExQcX.id-D31FE624BF22D8AF.MATRIX

Активность этого крипто-вымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру. Причем русский текст в послании вымогателей стоит первым. 

Записки с требованием выкупа называются: MATRIX-README.RTF
Но к этому названию спереди добавляются ещё 5 цифр по шаблону: 
[5 numbers]-MATRIX-README.RTF

Содержание записки о выкупе:
Текст на русском (первая часть записки):
Внимание! Все Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
ID-E4ACADFF7C070445
на электронный адрес: matrix9643@yahoo.com
Далее в ответном письме вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 24 часов (и только в этом случае!), воспользуйтесь резервной почтой:
redtablet9643@yahoo.com

Текст на английском (вторая часть записки):
Attention! All your files was encrypted.
To decrypt the files, You have to should send the following code:
ID-E4ACADFF7C070445
to e-mail address: matrix9643@yahoo.com
Then You will recieve all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more thon 24 heurs (and only in this case!), use the reserve e-mail address:
redtablet9643@yahoo.com

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов (RIG EK и EITest), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Во время работы шифровальщик создаёт поддельные системные процессы. 
После шифрования удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
malta.exe
<random>.exe
<random>.cmd
[5 numbers]-MATRIX-README.RTF
svchost.exe - переименованная утилита GnuPG (v.1.4.20), которой шифруются файлы
ZHjl3j.vbs - скрипт на удаление теневых копий файлов
Много дроппированных файлов: cmd, mth, vbs, tmp и пр.

Расположения:
C:\Users\%USERNAME%\AppData\Local\Temp\<random>.exe
%User_name%\AppData\Roaming\Microsoft\ZHjl3j.vbs
%APPDATA%\Vc27GDr3Cbpv\<random>.cmd
%TEMP%\<random>.exe

Записи реестра, связанные с этим Ransomware:
HKEY_USERS\S-1-5-21-3521364462-1692195860-978169631-1001\Software\Microsoft\Windows\CurrentVersion\Run\ZHjl3j.vbs
См. также ниже результаты анализов. 

Сетевые подключения и связи:
matrix9643@yahoo.com
redtablet9643@yahoo.com
thematrixhasyou9643@yahoo.com
noliberty9643@yahoo.com
См. также ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Дополнение от MalwareHunterTeam.
Более ранний текст вымогателей на русском языке:
........................................................................................................

Обновление от 24 февраля 2017:
Пост в Твиттере >>
Файл: AAM Updates Notifier.exe
Фальш-имя: AAM Updates Notifier
Записка: Readme-Matrix.rtf
Email: bluetablet9643@yahoo.com и bluetablet9643@yandex.ru
Расширение: [A-F0-9]{16}.matrix
Результаты анализов: VT
<< Скриншот

Обновление от 2 апреля 2017:
Пост в Твиттере >>
Записка: WhatHappenedWithMyFiles.rtf
Email: bluetablet9643@yahoo.com и decodedecode@yandex.ru
Видеоролик от 14 марта 2017 >>
<< Скриншот





Обновление от 4 апреля 2017: 


Записка: Bl0cked-ReadMe.rtf
Расширение: .b10cked
Email: bluetablet9643@yahoo.com
decodedecode@yandex.ru
URL: ***statcs.s76.r53.com.ua (148.251.13.83, Германия)
Результаты анализов: HA+VT



Обновление от 7 апреля 2017: 


Пост в Твиттере >> Email: bluetablet9643@yahoo.com 
decodedecode@tutanota.com
*
*
*





Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + ещё
 ID Ransomware (ID as Matrix)
 Write-up
 *
 Thanks: 
 Rommel Joven
 Michael Gillespie, MalwareHunterTeam
 al1963
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *