четверг, 27 апреля 2017 г.

Amnesia

Amnesia Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим ECB), а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: Amnesia. Написан на Delphi. Содержание записки о выкупе вымогатели заимствовали у Globe3. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: GlobeImposter Family > Amnesia ⇔ CryptoBoss

К зашифрованным файлам добавляется расширение .amnesia

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED!
Your personal ID:
2236824251800*****
Attention! What happened?
Your documents, databases and other important data has been encrypted.
If you want to restore files send an email to: s1an1er111@protonmail.com
In a letter to indicate your personal identifier (see in the beginning of this document).
Attention!
 * Do not attempt to remove the program or run the anti-virus tools. 
 * Attempts to self-decrypting files will result in the loss of your data. 
 * Decoders are not compatible with other users of your data, because each user's unique encryption key.

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ID:
2236824251800*****
Внимание! Что случилось?
Ваши документы, базы данных и другие важные данные зашифрованы.
Если хотите вернуть файлы, пришлите email на: s1an1er111@protonmail.com
В письме укажите свой личный ID (см. начало этого документа).
Внимание!
  * Не пытайтесь удалить программу или запустить антивирус.
  * Попытки самим дешифровать файлы приведут к потере ваших данных.
  * Декодеры от других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования.

Распространяется через RDP или может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После получения доступа к системе шифровальщик удаляет все теневые копии файлов, прописывается в автозагрузке Windows, чтобы выполняться при каждом запуске системы. Шифрует у файлов первые 1 Мб с помощью AES-256 в режиме ECB. После этого к зашифрованным файлам добавляется расширение .amnesia

Amnesia использует шаблон идентификатора жертвы, состоящих из 614 номеров.

Список файловых расширений, подвергающихся шифрованию:
7763 целевых расширения!!! Абсолютный рекорд!!!

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы многих прикладных программ, расширения от других шифровальщиков и пр.

Я упорядочил их по алфавиту, но если вставить список сюда, то он займет много текста. См. скриншоты выше. 

Удаляет теневые копии файлов, точки восстановления системы и отключает автоисправление загрузки системы командами: 
C:\WINDOWS\system32\cmd.exe /c vssadmin Delete Shadows /All /Quiet
C:\WINDOWS\system32\cmd.exe /c bcdedit /set {default} recoveryenabled No
C:\WINDOWS\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures


Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
guide.exe
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: s1an1er111@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 8 мая 2017:
Пост в Твиттере >>
Записка: RECOVER-FILES.HTML
Файлы: Happier.exe, bstarb.exe
Версия файла: 2.8.79.43
Фальш-имя: CalifrniaStl и др.
Новые расширения: .01 и .02
Теперь переименовывает файлы в имена, состоящие из случайных цифр и букв. 
Результаты анализов: VTVT



Обновление от 10 мая 2017:
Пост в Твиттере >>
Расширение: .[Help244@Ya.RU].LOCKED

Обновление от 12 мая 2017:
Тема на VirusInfo >>
Расширение: .CTB-Locker 
Email: locker@bitmessage.ch
Bitmessage: BM-2cVChsbUqL5H1nw98qrwbQkzdE1UqCs8nH
Записка: !__П_Р_О_Ч_Т_И__CTB-Locker__ПРОЧТИ__ПРОЧТИ.TXT
Содержание записки на русском и английском языках: 





Внимание!
Для зашифрованных файлов есть декриптер
Скачать Amnesia Decrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Amnesia)
 Write-up, Topic
 * 
 Thanks: 
 xXToffeeXx, Fabian Wosar
 Michael Gillespie
 paradoxewan
 Alex Svirid
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *