суббота, 7 января 2017 г.

Evil

Evil Ransomware

File0Locked KZ Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email и прислать UID, чтобы вернуть файлы. Название оригинальное, указано в записке, а по PDB-файлу название - AESCrypt. Второе название в заголовке статьи дано по использованному расширению и домену KZ (Казахстан). 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .file0locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
HOW_TO_DECRYPT_YOUR_FILES.TXT
HOW_TO_DECRYPT_YOUR_FILES.HTML

Содержание записки о выкупе:
Hello. 
Your UID: 3DF586F6
Its evil ransomware. As you can see some of your files have been encrypted!
Encryption was made using a unique strongest AES key.
If you want restore your files you need to BUY (sorry, nothing personal, its just business) the private key, send me your UID to r6789986@mail.kz 

Перевод записки на русский язык:
Привет.
Ваш UID: 3DF586F6
Это evil ransomware. Как вы могли заметить ваши файлы зашифрованы!
Шифрование сделано с помощью уникального сильнейший AES ключа.
Если хотите восстановить файлы вам нужно купить (извините, ничего личного, это только бизнес) частный ключ, пришлите мне ваш UID на r6789986@mail.kz

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (в данном случае это JavaScript-файл), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Перед шифрование проверяет наличие в системе отладчиков и работу на виртуалке. 

Удаляет все файлы с расширениями .exe и .jse из директорий: 
%Temp%

%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .certs, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .dwg, .dxf, .dxg, .eps, .erf, .img, .indd, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .psd, .pst, .ptx, .pub, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls (65 расширений). 

В коде было указано некое некорректное расширение: img_.jpg, которое я разделил на .img и .jpg.

Это некоторые документы MS Office, OpenOffice, RTF, текстовые файлы, файлы сертификатов, фотографии, файлы образов и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_YOUR_FILES.TXT
HOW_TO_DECRYPT_YOUR_FILES.HTML
<random>.exe
<random>.tmp
<random>.yum
file0locked.js
background.png

Расположение: 
%SystemDrive%\Documents and Settings\All Users\Desktop\HOW_TO_DECRYPT_YOUR_FILES.HTML - записка о выкупе
%User%/AppData/Local/Temp/list.txt - список зашифрованных файлов
%TEMP%\54.yum
C:\VxStream\002.jse


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Много, см. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>   Ещё >> 
Symantec Ransom.Evil >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as Evil)
 Write-up (n/a)
  Thanks: 
  Michael Gillespie
  Jiri Kropac
  Thyrex
  *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *