воскресенье, 4 июня 2017 г.

Executioner

Executioner Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Executioner. На файле написано: Shiva.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: EDA2 >> Executioner

К зашифрованным файлам добавляется случайное расширение .<random6>
👉 Примечательно, что у каждого файла своё случайное расширение!
Примеры таких расширений:
.3fulbm
.ndb5ns
.ynycjb

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру. Также имеется английский текст. 


Скриншоты и описание


Записка с требованием выкупа называется: Şifre_çöz_Talimat.html (т.е. Инструкция по расшифровке). 

Содержание записки о выкупе:
Executioner Ransomware!!
Oops All Of Your Files Are Safely Encrypted!!!"
Please Visit execut2bp3arv6er.onion.cab or execut2bp3arv6er.onion.rip To Learn How To Decrypt Your Files.
YOUR ID 6InmkFj5Is
Executioner Ransomware!!
---Tum Dosyalariniz Guvenle Sifrelenmistir!"
Lutfen execut2bp3arv6er.onion.cab veya execut2bp3arv6er.onion.rip ziyaret ederek dosyalarinizi kurtarmak icin 
TALIMATLARI OKUYUNUZ!!!
KIMLIK NUMARANIZ 6InmkFj5Is

Перевод записки на русский язык:
Executioner Ransomware!!
К сожалению, все ваши файлы безопасно зашифрованы!!! "
Пожалуйста, посетите execut2bp3arv6er.onion.cab или execut2bp3arv6er.onion.rip чтобы узнать, как дешифровать файлы.
ВАШ ID 6InmkFj5Is
Executioner Ransomware!!
К сожалению, все ваши файлы безопасно зашифрованы!!! "
Пожалуйста, посетите execut2bp3arv6er.onion.cab или execut2bp3arv6er.onion.rip чтобы узнать, как дешифровать файлы.
ПРОЧТИТЕ ИНСТРУКЦИЮ!!!
Ваш ID 6InmkFj5Is

+ Более полная версия записки предоставлена позже исследователями из BleepingComputer 16 мая 2017.

Содержание текста с более полной версии записки:
Oops all of your files Are safely Encrypted!!! "
Please Visit any links that given below to read the instructions and learn how to Decrypt Your Files!!
xxxxs://execut2bp3arv6er.onion.rip/
xxxxs://executcoe6vxnsw7.onion.rip/
xxxxs://execu4d2wasjip5x.onion.rip/
---
IF IT DOESN'T WORK TRY THIS!!
xxxxs://execut2bp3arv6er.onion.cab/
xxxxs://executcoe6vxnsw7.onion.cab/
xxxxs://execu4d2wasjip5x.onion.cab/
---
IF IT DOESN'T WORK AGAIN THEN TRY THIS!!
1. Download 'Tor Browser' from xxxxs://www.torproject.org/ and install it.!
2. OPEN ANY LINK THAT GIVEN BELOW!!!
execut2bp3arv6er.onion
executcoe6vxnsw7.onion
execu4d2wasjip5x.onion
---
YOUR COMPUTER ID
TEST
---
Tum Dosyalariniz Guvenle Sifrelenmistir! "
Lutfen asagida verilen linklerden birini ziyaret ederek dosyalarinizi kurtarmak icin TALIMATLARI OKUYUNUZ!!!
xxxxs://execut2bp3arv6er.onion.rip/
xxxxs://executcoe6vxnsw7.onion.rip/
xxxxs://execu4d2wasjip5x.onion.rip/
---
EGER CALISMAZ ISE ASAGIDA VERILEN LINKLERDEN BIRINE GIRINIZ!
xxxxs://execut2bp3arv6er.onion.cab/
xxxxs://executcoe6vxnsw7.onion.cab/
xxxxs://execu4d2wasjip5x.onion.cab/
---
EGER YUKARIDAKI VERILEN METHOD OLMADIYSA ASAGIDAKI METHODU DENEYINIZ!!!
1. 'Tor Browser'u xxxxs://www.torproject.org/ sitesinden indirip kurunuz !
2. ASAGIDA BULUNAN LINKLERDEN BIRTANESINE GIRINIZ!!!!
execut2bp3arv6er.onion
executcoe6vxnsw7.onion
execu4d2wasjip5x.onion
--- 
KIMLIK NUMARANIZ
TEST
---
EXECUTIONER RANSOMWARE

Другим информатором жертвы выступает изображение, загружаемое с хостинга изображений imgur.com

Содержание текста о выкупе:
LUTFEN BUNU OKUYUN!!
TUM DOSYALARINIZ EXECUTIONER RANSOMWARE TARAFINDAN SIFRELENMISTIR!!!
BILGISAYARINIZDAKI BELGELER, FOTOGRAFLAR, VERITABANLARI, VE DIGER ONEMLI TUM DOSYALAR SIFRELENMISTIR!!
SIFRELENMIS OLAN DOSYALARI GERI KURTARMAK ICIN LUTFEN TALIMATLARI OKUYUNUZ!!
NOT: VIRUSU BILGISYARINIZDAN KALDIRABILIRSINIZ FAKAT SIFRELENMIS OLAN DOSYALARINIZA GERI ERISIM SAGLIYAMAZSINIZ!!
DOSYA KURTARMA YAZILIMINI SATIN ALMA?
ASAGIDA BULUNAN BITCOIN HESABINA 150 DOLAR ($) DEGERINDE BITCOlN AKTARMANIZ GEREKMEKTE YATIRMA ISLEMINI YAPTIKTAN HEMEN
SONRA ASAGIDA VERILEN MAIL ADRESINE BITCOlN ADRESINIZI VE BULGISAYAR KIMLIK KODUNU YAZIP BIZE GONDERDIGINIZ VAKIT YATIRMA
ISLEMLERI KONTROL EDILIP SIZE SIFRE COZME YAZILIMI VE DECRYPT KODU GONDERILICEKTIR!!
Mail: executioner.ransom@protonmail.com
BITCOlN ADRESS: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vU
EXECUTIONER 
Detayli bilgi için masa üstün'de bulunan Şifre_çöz_Talimat.html açarak inceleyiniz

Перевод текста на русский язык:
ПРОЧТИТЕ ЭТО!!
Ваши файлы зашифрованы Executioner Ransomware!!!
На компьютере, документы, фотографии, базы данных и другие важные файлы зашифрованы!!
Пожалуйста, сохраните файл с инструкциями по расшифровке!!
Примечание: на вашем ПК нет вирусов, вы можете удалить шифрованные на файлы, но тогда вы их потеряете!!
Хотите приобрести программу для восстановления файлов?
Вы должны немедленно перевести 150 долларов в биткоинах на биткоин-адрес ниже.
Потом пришлите на email, приведенный ниже биткоин-адреса, ваш ID и время, когда вы послали биткоины.
После проверки платежа и ID вы получите программу декриптер, который дешифрует ваши файлы!!
Mail: executioner.ransom@protonmail.com
Биткоин-адрес: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vU
Прочтите на рабочем столе файл şifre_çöz_talimat.html для получения дополнительной информации.


Скриншоты сайта с выбором английской версии


Используется картинка из компьютерной игры MAFIA II. Видимо для устрашения пострадавших. 

Технические детали


После доработки может распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Executioner не используют C&C-сервер, зато посылает информацию о зараженных компьютерах с помощью email на подконтрольный ящик вымогателей. Отправляются собранные данные: имя компьютера, имя пользователя, IP-адрес, ключ дешифрования. Пересылка осуществляется от executioner.ransom@bk.ru до executioner.ransom@protonmail.com

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp,.aspx, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt,.crw, .css, .csv, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .doc, .docm, .docx, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .indd, .itdb,.itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl,.m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdb, .mdbackup, .mddata,.mdf, .mef, .menu, .mlx,.mov,.mp3, .mp4, .mpg, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pk7, .pkpass, .png, .png, .ppt, .ppt, .pptm, .pptx, .pptx, .psd, .psk, .pst, .ptx,.py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sql, .sr2, .srf,.srw,.sum, .svg, .syncdb, .t12, .t13, .tax, .tor,.txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xls, .xlsb, .xlsm, .xlsx,  .xlsx, .xml, .xxx, .zip, .ztmp (209 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Шифрование пропускает файлы в директориях: 
Windows, Program Files и Program Files (x86)

Файлы, связанные с этим Ransomware:
Executioner.exe
Şifre_çöz_Talimat.html
f2lnJK9.jpg
<random>.exe

Расположения:
%ALLUSERSPROFILE%\Microsoft\Crypto\RSA\MachineKeys\Sifre_Coz_Talimat.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***execut2bp3arv6er.onion.cab
***execut2bp3arv6er.onion.rip
Email: 
executioner.ransom@bk.ru
executioner.ransom@protonmail.com
executioner.update@protonmail.com
BTC: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vUСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review
 Thanks: 
 BleepingComputer
 Alex Svirid
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *