понедельник, 2 января 2017 г.

X3M

X3M Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с шифруются с помощью AES-256 в режиме CBC, получая ключ с помощью SHA-256, а затем требует выкуп в $700, чтобы вернуть файлы. Название условное, по первому добавленному расширению.

© Генеалогия: X3M ⟺ Nemesis 
X3M GarryWeber SteaveiWalker CryptON > Cry9 > Cry128 > Cry36 ...

Схема говорит о том, что X3M и Nemesis делаются, видимо, одной командой разработчиков-вымогателей (возможно, X3M Team и/или Nemesis Team), но используются для разных целей. Для атаки на серверы компаний используется Nemesis, а семейство X3M и СryptON с другими промежуточными разработками для разных стран используется для атак на пользователей и на то, что ещё удастся взломать с помощью RDP, в том числе и серверы. 

Возможно, что разнообразие похожих-непохожих признаков служит для того, чтобы запутать исследователей и тех, кто должен отслеживать вредоносную активность по долгу службы или по работе. 

К зашифрованным файлам добавляется одно из следующих окончаний-расширений с нижним подчеркиванием вместо точки: 
_x3m  (фактически: .id-<id>_x3m)
_r9oj  (фактически: .id-<id>_r9oj)
_locked  (фактически: .id-<id>_locked)

Пример зашифрованных файлов:
picture.png.id-2800447857_x3m
picture.png.id-2890117789_r9oj
picture.png.id-2109892288_locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:

Содержание записок о выкупе:
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted! To decrypt your files you need to buy the special software – «Cerber decryptor»
Data recovery requires decoder.
To obtain decryptor, please, contact me by email: server-support@india.com
The cost of the decoder: ~700 USD
Payment only Bitcoin.
Your personal identification ID: id-2650322560
---
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted! To decrypt your files you need to buy the special software – «x3m decryptor»
To obtain decryptor, please, contact me by email: deyscriptors1@india.com
Your personal identification ID: id-2800447857

Перевод записок на русский язык:
Все ваши важные файлы зашифрованы
Ваши документы, фото, базы данных и другие важные файлы зашифрованы! Для расшифровки файлов вам нужно купить специальную программу - «Cerber decryptor»
Для восстановления данных требуется декодер.
Для получения расшифровщик свяжитесь со мной по email: server-support@india.com
Стоимость декодера: ~700 USD
Оплата только биткоинами.
Ваш личный идентификационный ID: ID-2650322560
---
Все ваши важные файлы зашифрованы
Ваши документы, фото, базы данных и другие важные файлы зашифрованы! Для расшифровки файлов вам нужно купить специальную программу - «x3m decryptor»
Для получения расшифровщика свяжитесь со мной по email: deyscriptors1@india.com
Ваш личный идентификационный ID: ID-2800447857

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, PsExec и пр. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
server-support@india.com - уже вероятно отключен
deyscriptors1@india.com - уже вероятно отключен
x3m-pro@protonmail.com - новый email для связи!
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 24 марта 2017:
Пост в Твиттере >>
Записка: ### HOW TO DECRYPT FILES ###.html
Email: x3m-pro@protonmail.com  x3m@usa.com
BM: BM-2cWueiDqKeajosJ4edtA7pdNY2n2ccK2uq
Расширение: .id-<ID>_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
Результаты анализов: VT
Скриншоты записки о выкупе и скринлок на обоях см. ниже. 


Обновление от 27 апреля 2017:
Название пока не представлено. 
Записка: DECRYPT MY FILE.txt
Тема на форуме BC >> + Ещё >>
Сумма выкупа: ~0.15 BTC
Расширения для файлов: 
.id_<ID_0-9{10}>_gebdp3k7bolalnd4.onion._
.id_<ID_0-9{10}>_kgjzsyyfgdm4zavx.onion._
URL: xxxxs://gebdp3k7bolalnd4.onion.to
xxxxs://gebdp3k7bolalnd4.onion.cab
xxxxs://gebdp3k7bolalnd4.onion.nu
xxxx://gebdp3k7bolalnd4.onion
xxxxs://kgjzsyyfgdm4zavx.onion.to
xxxxs://kgjzsyyfgdm4zavx.onion.cab
xxxxs://kgjzsyyfgdm4zavx.onion.nu
http://kgjzsyyfgdm4zavx.onion
Скриншоты двух текстовых записок и Tor-сайта: 
 

Примечательно, что при вводе ID на разных Tor-сайтах представляются одни и те же требования о выкупе. Вывод: это одна команда вымогателей. 


Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Внимание! 
Для зашифрованных файлов есть декриптер!
Скачать декриптер для X3M и CryptON >>
 Read to links: 
 Topic on BC
 ID Ransomware (old ID as X3M, new ID as CryptON)
 Write-up
 *
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *