вторник, 21 февраля 2017 г.

Damage

Damage Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы получить секретный ключ и вернуть файлы. Название дано по используемому расширению. Написан на Delphi. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: LeChiffre > Damage

Для шифрования первых и последних 8-ми Кб файла используется комбинация SHA-1 и Blowfish.
К зашифрованным файлам добавляется расширение .damage

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа в пострадавшем ПК назывались: damage@india.com[user_pc_name].txt

Содержание записки о выкупе:
TtWGgOd57SvPlkgZ***
==========
end of secret_key
To restore your files - send e-mail to damage@india.com

Перевод записки на русский язык:
TtWGgOd57SvPlkgZ***
==========
конец secret_key
Для возврата файлов - шли e-mail на damage@india.com

Атакует серверы, имеющие поддержку RDP и уязвимости в защите или вообще не имеющие защиты. Устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP. Возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, PsExec и пр. 

Почему это возможно? 
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер,  с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.

Может распространяться также с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов. Пытается получить доступ к приводам, имеющих необычные имена дисков. Прописывается в Автозагрузку системы. Имеет функционал программы-шпиона (отслеживает буфер обмена и нажатия клавиш). 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bat, .bin, .blf, .bmp, .cal, .cat, .cer, .cf, .cfg, .com, .config, .css, .CSV, .cur, .dat, .db, .din, .doc, .docx, .dos, .EFI, .eot, .FLB, .fr3, .gif, .ico, .if2, .INF, .inf, .INS, .JPG, .jpg, .jrn, .js, .lan, .LDF, .ldf, .ldi, .log, .LOG1, .LOG2, .lrc, .man, .md, .mdf, .mib, .mof, .mp3, .mst, .mui, .nlm, .odt, .pdf, .png, .psd, .rar, .reg, .regtrans-ms, .rel, .rpm, .sql, .svclog, .sys, .tar.gz, .tic, .tpxl_ds, .tpxl_exp, .tpxl_lp, .tpxl_msg, .tpxl_r, .tpxl_sc, .tpxl_sf, .ttf, .txt, .vbs, .wav, .wbcat, .wmv, .woff, .wtv, .xls, .xlsx, .xml, .zip (как минимум 85 расширений с повторами в верхнем регистре).

Это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без расширений и пр.

При шифровании пропускаются файлы с расширениями:
.cab, .dll, .dl_, .exe, .ex_, .ini_how to, .LeChiffre, .lnk, .msi, .ocx, .txt

Файлы, связанные с этим Ransomware:
damage@india.com[user_pc_name].txt
[email_ransom][user_pc_name].txt
<random>.tmp.exe
-.lnk

Расположения: 
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\-.lnk
C:\Users\Администратор.TPSRV010damage@india.com[TPSRV010].txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
damage@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Внимание! 
Для зашифрованных файлов есть декриптер!
Скачать декриптер для Damage >>
 Read to links: 
 Topic on kasperskyclub.ru
 ID Ransomware (ID as Damage)
 Write-up (n/a)
 *
 Thanks: 
 Thyrex
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *