среда, 12 апреля 2017 г.

AES-NI: April Edition

AES-NI Ransomware: April Edition

SPECIAL VERSION: NSA EXPLOIT EDITION

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: AES-NIСпособы оплаты выкупа: индивидуальные для каждого клиента. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: AES-NI >> AES-NI: April Edition

К зашифрованным файлам добавляется расширение .aes_ni

Появление этой обновлённой версии пришлось на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Для России, Беларуси и некоторых других стран из бывшего Союза шифровальщик не работает. Но если такое случится, то для пострадавших из этих стран СНГ расшифровка бесплатная!!!
Геолокация определяется благодаря обращению к легитимному сайту ipinfo.io. 

Записки с требованием выкупа называются:
!!! READ THIS - IMPORTANT !!!.txt
Смешение элементов букв названия произошло в моём блокноте. 
В оригинале надпись в ASII представлена в нормальном виде. 

Содержание записки о выкупе:
==========================# aes-ni ransomware #==========================
                   █████╗ ██████╗██████╗        ███╗    ██╗ ██╗
                  ██╔═██╗██╔═══╝██╔═══╝        ████╗  ██║ ██║
                  ██████║█████╗  ██████╗███╗██╔██╗██║ ██║
                  ██╔═██║██╔══╝  ╚═══██║╚══╝██║╚████║ ██║
                  ██║  ██║██████╗██████║        ██║  ╚███║ ██║
                  ╚═╝  ╚═╝╚═════╝╚═════╝        ╚═╝    ╚══╝ ╚═╝
SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
0xc030@protonmail.ch
Also there is one fast way to contact us.
If you are familiar with Jabber, write us to JID: zooolo@darknet.nz (it is Jabber, not e-mail address!)
You can get Jabber account for example at https://www.xmpp.jp/signup
IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
 please do not panic and write to BitMsg (https://bitmsg.me) address:
 BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
 or create topic on https://www.bleepingcomputer.com/ and we will find you there.
Also it will be better if you download Tor browser here: https://www.torproject.org/download/download-easy.html.en
Download, install and run it; then visit our site (from Tor browser): http://kzg2xa3nsydva3p2.onion/index.php
Please do not visit this site from standard browser: it just will not open. You need Tor Browser to open .onion sites.
There is a form, you can write us there if all e-mails are blocked and we will contact you very fastly.
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
You MUST refer this ID in your message:
PC#EB53D6F20CF4C8BDCFD536DE4B29906C
Also you MUST send all ".key.aes_ni" files from C:\ProgramData if there are any.
==========================# aes-ni ransomware #==========================

Additional message:
After payment, clients receive full consultation and recommendations for improving safety.

Перевод записки на русский язык:

ПРОСТИТЕ! Ваши файлы зашифрованы.
Содержимое файла зашифровано со случайным ключом (AES-256, режим ECB).
Случайный ключ зашифрован с помощью открытого ключа RSA (2048 бит).
Мы НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ НЕ использовать какие-то "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, сделав восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не связываться с компаниями, занимающимися восстановлением данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый ключ RSA.
Чтобы получить закрытый ключ, напишите сюда:
0xc030@protonmail.ch
Также есть более быстрый способ связаться с нами.
Если вы знакомы с Jabber, пишите нам на JID: zooolo@darknet.nz (это Jabber, а не email-адрес!)
Вы можете получить учетную запись Jabber, например, по адресу https://www.xmpp.jp/signup
ВАЖНО: В некоторых случаях исследователи Malware могут блокировать наши email.
Если вы не получили ответа по email в течение 48 часов,
 Пожалуйста, не паникуйте и пишите на адрес BitMsg (https://bitmsg.me):
 BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
 Или создайте тему на https://www.bleepingcomputer.com/, и мы найдем вас там.
Также будет лучше, если вы загрузите браузер Tor здесь: https://www.torproject.org/download/download-easy.html.en
Загрузите, установите и запустите; затем посетите наш сайт (из браузера Tor): http://kzg2xa3nsydva3p2.onion/index.php
Пожалуйста, не заходите на этот сайт с обычного браузера: он просто не откроется. Вам нужен Tor Browser для открытия сайтов .onion.
Там есть форма, вы можете написать нам туда, если все email заблокированы, и мы свяжемся с вами очень быстро.
Если кто-то предлагает вам восстановить файлы, попросите его сделать тест-расшифровку.
 Только мы можем успешно расшифровать ваши файлы; знайте, это может защитить вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
Вы ДОЛЖНЫ указать этот идентификатор в своем сообщении:
ПК # EB53D6F20CF4C8BDCFD536DE4B29906C
Также вы ДОЛЖНЫ отправить все файлы «.key.aes_ni» из C: \ ProgramData, если они есть.

Дополнительное сообщение:
После оплаты клиенты получают полную консультацию и рекомендации по улучшению безопасности.

Страница этого Ransomware в Tor-сети:

Используется для атак на корпоративный сектор, серверные версии Windows и веб-серверы. Может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (специальная эксплойтная версия), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

AES-NI определяет локальный язык и страну пользователей, не работает у пользователей из России и стран СНГ (стоит защита от запуска). 
Использует антиреверсинг, определяет запуск в песочнице.

Шифруются все файлы, кроме тех, что имеют расширения:
.dll, .exe, .lnk, .mui, .sys

Таким образом документы MS Office, PDF, базы данных, фотографии, музыка, видео, архивы наверняка будут зашифрованы, а система будет работать. 

Файлы, связанные с этим Ransomware:
!!! READ THIS - IMPORTANT !!!.txt
файлы .key.aes_ni
<random>.tmp.exe

Расположения:
C:\ProgramData\.key.aes_ni

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://kzg2xa3nsydva3p2.onion/index.php
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
0xc030@protonmail.ch
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ для SPECIAL VERSION: NSA EXPLOIT EDITION >>
VirusTotal анализ для SPECIAL VERSION: NSA EXPLOIT EDITION >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

*****************************

Обновление от 16 апреля 2017:


Версия без бильда: SPECIAL VERSION: NSA EXPLOIT EDITION
Записка: !!! READ THIS - IMPORTANT !!!.txt
Расширение: .aes_ni_0day
Файлы файлы .key.aes_ni_0day
Email: 0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
Для пострадавших из России, Беларуси и других стран СНГ расшифровка бесплатная!!!


Содержание записки:
=====# aes-ni ransomware #=====
AES-NI
SPECIAL VERSION: NSA EXPLOIT EDITION
INTRO: If you are reading it, your server was attacked with NSA exploits.
Make World Safe Again.
SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
 please do not panic and write to BitMsg (https://bitmsg.me) address:
 BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
 or create topic on https://www.bleepingcomputer.com/ and we will find you there.
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
You MUST refer this ID in your message:
RECOVERI2#97B0C34050C1C00F7A2977CB25******
Also you MUST send all ".key.aes_ni_0day" files from C:\ProgramData if there are any.
=====# aes-ni ransomware #=====
*****************************



 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (n/a)
 Write-up, Topic (n/a)
 * 
 Thanks: 
 AES-NI
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

5 комментариев:

  1. Здравствуйте! Пострадал от этого щифровальщика. Как рпасшифровать. Что значит "Для пострадавших из СНГ расшифровка бесплатная!!!" Спасибо за ответ.

    ОтветитьУдалить
    Ответы
    1. напишите им на указанную почту, подтвердите, что Вы из России

      Удалить
    2. Да, используйте контакты из обновления от 16 апреля 2017. Некоторые ранние блокированы почтовиками. Или используйте BitMesenger. Адрес указан.

      Удалить
    3. Сообщите мне, как пострадали: открыли вложение или сервер был взломан.

      Удалить
    4. Еще один контакт, ранее не опубликованный: Michell_Nulled@protonmail.ch

      Удалить

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *