вторник, 14 февраля 2017 г.

CryptoShield 2.0

CryptoShield 2.0 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, версия записана как CryptoShield 2.0. Фальш-имя: Protected SoftWare. Фальш-копирайт: Copyright (C) 1998

© Генеалогия: CryptoMix > CryptoShield 1.0 > CryptoShield 2.0 

К зашифрованным файлам добавляется составное расширение по шаблону 
.[RES_SUP@INDIA.COM].ID[2D64A0776C78A9C3].CRYPTOSHIELD

Так у файла 1028.TXT с помощью rot13.com шифруется оригинальное расширение TXT в GKG, к которому затем присоединяется к примеру это: 
.[RES_SUP@INDIA.COM].ID[2D64A0776C78A9C3].CRYPTOSHIELD

Активность этого крипто-вымогателя пришлась на первую половину февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
# RESTORING FILES #.txt
# RESTORING FILES #.html 
 
Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE http://translate.google.com 
What happens to you files? 
All of your files were encrypted by a strong encryption with RSA-2048 using CryptoShield 2.0. DANGEROUS. 
More information about the encryption keys using RSA-2048 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem) 
How did this happen ? 
Specially for your PC was generated personal RSA - 2048 KEY, both public and private. ALL your FILES were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our secret server. 
What do I do ? 
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start send email now for more specific instructions, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make payment. 
To receive your private software: 
Contact us by email , send us an email your (personal identification) ID number and wait for further instructions. Our specialist will contact you within 24 hours. 
ALL YOUR FILES ARE ENCRYPTED AND LOCKED, YOU CAN NOT DELETE THEM, MOVE OR DO SOMETHING WITH THEM. HURRY TO GET BACK ACCESS FILES. Please do not waste your time! You have 72 hours only! After that The Main Server will double your price! 
So right now You have a chance to buy your individual private SoftWare with a low price! 
CONTACTS E-MAILS: 
res_sup@india.com - SUPPORT; 
res_sup@computer4u.com - SUPPORT RESERVE FIRST; 
res_reserve@india.com - SUPPORT RESERVE SECOND; 
ID (PERSONAL IDENTIFICATION): 9694E***

Перевод записки на русский язык:
НЕ ВАШ ЯЗЫК? ПОЛЬЗУЙ http://translate.google.com
Что стало с вами файлы?
Все файлы были зашифрованы с надежным шифрованием RSA-2048, используя CryptoShield 2.0. ОПАСНЫЙ.
Подробную информацию о ключах шифрования с RSA-2048 можно найти здесь: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это произошло?
Специально для вашего ПК был создан личный RSA-2048 ключ, открытый и закрытый. Все ваши файлы были зашифрованы с помощью открытого ключа, переданного на компьютер через Интернет. Дешифрование файлов возможно только с помощью секретного ключа и декриптера, который находится на нашем секретном сервере.
Что мне делать?
Есть два способа, которые вы можете выбрать: ждать чуда и удвоить цену в два раза, или отправить нам email для конкретных инструкций, и легко восстановить данные. Если у вас правда есть ценные данные, то лучше не терять время, т.к. нет иного пути, чтобы получить ваши файлы, кроме как произвести оплату.
Чтобы получить приватную программу:
Свяжитесь с нами по email, отправьте нам свой (персональный идентификационный) ID и ждите дальнейших указаний. Наш специалист свяжется с вами в течение 24 часов.
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ И ЗАПЕРТЫ, ВЫ НЕ СМОЖЕТЕ УДАЛИТЬ, ПЕРЕМЕСТИТЬ ИЛИ ЧТО-ТО ДЕЛАТЬ С НИМИ. СПЕШИТЕ ВЕРНУТЬ  ДОСТУП К ФАЙЛАМ. Пожалуйста, не теряйте свое время! У вас есть только 72 часа! После этого главный сервер удвоит цену!
Прямо сейчас у вас есть возможность приобрести свою личную программу по низкой цене!
КОНТАКТЫ E-Mail:
res_sup@india.com - ПОДДЕРЖКА;
res_sup@computer4u.com - ПЕРВАЯ РЕЗЕРВНАЯ ПОДДЕРЖКА;
res_reserve@india.com - ВТОРАЯ РЕЗЕРВНАЯ ПОДДЕРЖКА;
ID (Personal Identification): 9694E ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, JavaScript и эксплойтов (в данном случае с помощью RIG и EITest) на взломанных сайтах, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Также используется известная цепочка заражений EITest, когда злоумышленниками сначала компрометируется большое количество сайтов (под управлением WordPress и Joomla), эксплуатируя известные уязвимости, затем небольшая часть трафика с зараженных ресурсов перенаправляется на вредоносные страницы, подвергая посетителей атакам наборами эксплойтов и заражая их различными вредоносами. 

После шифрования отключаются опции восстановления системы на этапе загрузки и точки восстановления системы, и удаляются теневые копии файлов, командами:
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /C net stop vss


Добавляет себя в Автозагрузку системы. Нерестит много процессов.

Список файловых расширений, подвергающихся шифрованию:
См. список расширений в первой версии >>
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# RESTORING FILES #.txt
# RESTORING FILES #.html
rad93DD5.tmp.exe
CryptoShield.tmp.exe
net1.exe
net.exe
<random>.exe
<random>.tmp.exe
<random>.temp
recovery.js.tmp
recovery.js
%ALLUSERSPROFILE%\MicroSoftTMP\system32\conhost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***stephanemalka.com
***new.theagingbusiness.com
107.191.62.136:80 (США)
***107.191.62.1107.191.62.136:8036/js/prettyPhoto/images/prettyPhoto/default/infromation.php
res_sup@india.com
res_sup@computer4u.com
res_reserve@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё>>
VirusTotal анализ >> Ещё>> Ещё>>
Deepviz анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 24 февраля 2017:
Расширение: .CRYPTOSHIEL или .CRYPTOSHIELD
Email: R_SUP@INDIA.COM
С помощью rot13.com шифруется оригинальное имя файла и его расширение. 
Образец зашифрованного файла: 
[processed_in_ROT13_name+extension].[RES_SUP@INDIA.COM].ID[2D64A0776C78A9C3].CRYPTOSHIELD



 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoShield)
 Write-up
Added later
Write-up by Malware Breakdown (add. February 18. 2017)
 Thanks: 
 Brad
 Michael Gillespie
 Malware Breakdown
 *
В этом блоге сейчас 400 статей!!!
This blog have is now 400 articles!!!
Este blog es ahora de 400 artículos!!!

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *