Если вы не видите здесь изображений, то используйте VPN.

среда, 6 января 2016 г.

CryptoTorLocker

CryptoTorLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в 0,5 биткоинов (100$ USD/EUR), чтобы вернуть файлы. Название оригинальное, но на экране блокировки в заголовке указано CryptoLocker, чтобы выдать себя за более известный одноименный шифровальщик. 

© Генеалогия: CryptoTorLocker.

R зашифрованным файлам добавляется как расширение строка: .CryptoTorLocker2015!

Активность этого криптовымогателя пришлась на январь - февраль 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа разбрасываются в каждой папке с зашифрованными файлами и называются: HOW TO DECRYPT FILES.txt
После шифрования показывается информационное сообщение с тем же текстом.

Содержание записки о выкупе:
Your important files strong encryption RSA-2048 produces on this computer: Photos, Videos, documents, usb disks etc. 
Here is a complete list of encrypted files, and you can personally verify this. 
CryptoTorLocker2015! which is allow to decrypt and return control to all your encrypted files. 
To get the key to decrypt files you have to pay 0.5 Bitcoin 100$ USD/EUR.
Just after payment specify the Bitcoin Address. Our robot will check the Bitcoin ID and when the transaction will be completed, you'll receive activation, Purchasing Bitcoins, Here our Recommendations 
1. Localbitcoins.com This is fantastic service, Coinbase.com Exchange, CoinJar = Based in Australia. 
We Wait In Our Wallet Your Transaction.
WE GIVE YOU DETAILS! Contact ME if you need help My Email = information@jupimail.com 
AFTER YOU MAKE PAYMENT BITCOIN YOUR COMPUTER AUTOMATIC DECRYPT PROCEDURE START! 
YOU MUST PAY Send 0.5 BTC To Bitcoin Address: 1KpP1YGGxPHKTLgET82JBngcsBuifp3noW

Перевод записки на русский язык:
Ваши важные файлы зашифрованные сильным шифрованием RSA-2048 на этом компьютере: фото, видео, документы, USB диски и т.д. 
Здесь вы сможете найти полный перечень зашифрованных файлов, и лично убедиться в этом. 
CryptoTorLocker2015! позволяет расшифровать и вернуть управление всеми зашифрованными файлами. 
Чтобы получить ключ для расшифровки файлов, вы должны заплатить 0,5 Bitcoin 100$ USD/EUR.
Сразу после оплаты указать Bitcoin-адрес. Наш робот будет проверять Bitcoin ID и когда оплата будет завершена, вы получите активацию, Покупка Bitcoins, здесь наши рекомендации
1. Localbitcoins.com Это фантастический сервис, Coinbase.com - биржа, CoinJar = находится в Австралии. 
Мы ждем в нашем кошельке вашу плату.
Мы даем вам детали! Контакт со мной, если вам нужна помощь, мой email = information@jupimail.com
После сделанной вами оплаты в Bitcoin ваш компьютер автоматом запустит процедуру дешифровки!
ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ отправив 0,5 BTC на Bitcoin-адрес: 1KpP1YGGxPHKTLgET82JBngcsBuifp3noW

По окончании шифрования обои рабочего стола заменяются на изображение, склеенное из картинок от других вымогателей, с основным текстом, как в записках о выкупе. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dat, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .ifo, .jpeg, .jpg, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .rar, .sql, .tar, .torrent, .txt, .vob, .wallet, .wav, .wma, .wmv, .xls, .xlsx, .zip (56 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
%Temp%\<random>.bmp
%Temp%\<random>.exe
Например: 
%Temp%\HOW TO DECRYPT FILES.txt
Desktop\HOW TO DECRYPT FILES.txt
%Temp%\w8i9eHkHOwWwQlX.exe
%Temp%\ocegiklmnabcefgj.bmp

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Alcmeter="%Temp%\w8i9eHkHOwWwQlX.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.CryptoTorLocker2015!\@="PRPASCBHJSZLMOM"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PRPASCBHJSZLMOM\shell\open\command\@="%Temp%\ocegiklmnabcefgj.bmp"
HKLM\SOFTWARE\Classes\.CryptoTorLocker2015!
HKLM\SOFTWARE\Classes\.CryptoTorLocker2015!\@ = "PRPASCBHJSZLMOM"
HKLM\SOFTWARE\Classes\PRPASCBHJSZLMOM\@ = "CRYPTED!"
HKLM\SOFTWARE\Classes\PRPASCBHJSZLMOM\DefaultIcon\@ = "%Temp%\<random>.exe,0"
HKLM\SOFTWARE\Classes\PRPASCBHJSZLMOM\shell\open\command\@ = "%Temp%\<random>.exe"
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Alcmeter = "%Temp%\<random>.exe"
HKCU\Control Panel\Desktop\Wallpaper = "%Temp%\<random>.bmp"

Сетевые подключения и связи:
93.189.44.187 dmidybmfxsaq.biz
93.189.44.187 aacthvhqbhbg.org
93.189.44.187 arlsolqovltp.co.uk
93.189.44.187 fyhatdpptohp.org
93.189.44.187 weotnaktbwgr.ru
93.189.44.187 ovenbdjnihhdlb.net

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.CryptoTorLocker >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Для зашифрованных файлов исследователями криптовымогателей был выпущен инструмент дешифрования - CryptoTorLocker2015 Decrypter. 

 Read to links: 
 Topic on BC
 ID Ransomware (ID as CryptoTorLocker)
 Write-up
 *
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 5 января 2016 г.

TorrentLocker

TorrentLocker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES (CBC режим), а с помощью 2048-битного ключа RSA шифрует ключ AES, а затем требует 4.081 биткоинов за расшифровку. Есть более "дешевые" версии, которые, видимо, ориентированы на рядовых пользователей ПК, поэтому требуют выкуп от 0.8 до 1 BTC. 

Получил отдельное развитие вариант TorrentLocker под названием Crypt0L0ckerЭто наследование записывается так:

© Генеалогия: TorrentLocker > Crypt0L0cker 

Этимология названия:
Название TorrentLocker взято из имени раздела реестра HKEY_CURRENT_USER\Software\Bit Torrent Application\Configuration, который ранее использовался вредоносом для хранения своей конфигурации. Поздние модификации больше не использовали этот раздел реестра. 

  Создатели же назвали свой проект Racketeer (буквально "Рекетир"). Некоторые названия функций в коде вредоносной программы начинаются с префикса «rack», например, rack_init, rack_encrypt_pc. Имена файлов скриптов на C&C-сервере также начинаются с этого префикса, например, rack_cfg.php, rack_admin.php. Racketeer оправдывает свое название, т.к. заставляет покупать у злоумышленников дешифровщик. Первые версии TorrentLocker были зафиксированы в начале 2014 года, но к концу года уже было 5 известных модификаций. 

  Версии 1-3 содержали уязвимость, которая позволила специалистам ЛК создать RannohDecryptor. Но начиная с 4-й версии создатели вредоноса исправили уязвимость и дешифрование стало невозможным. Текущие версии этой вредоносной программы требуют выкупа в Bitcoin и размещают веб-страницы для уплаты выкупа в сети Tor.

  О более ранних версиях можно прочитать в статьях на Хабре (1-я часть + 2-я часть). 


Технические детали

  Распространяется TorrentLocker с помощью email-спама и вредоносных вложений, фишинг-рассылок со ссылками на архивы с вредоносным содержимым, или на зараженные эксплойтами сайты. Исполняемый файл из вложения обычно замаскирован под документ MS Office (счет, штраф, извещение, уведомление и пр.) и представляет собой дроппер вредоносной программы. Фишинговые сообщения распространяли TorrentLocker с августа 2014 г. Если вредоносное вложение не использовалось, то письмо содержало URL-ссылку на загрузку вредоносного архива, для получения которого нужно было пройти специальную капчу. 

  При использовании фишинговых рассылок с URL-ссылками специальные веб-страницы откроются только для пользователей из определенной страны (проверка по IP-адресу). Если на такую веб-страницу попадает пользователь из другой страны, то он перенаправляется на страницу Google-поиска. Пользователям мобильных устройств предлагается открыть страницу с ПК. Во вложениях также используются doc-файлы со сценариями на VBA, которые нужны для загрузки и запуска дроппера TorrentLocker. 

  Во всех случаях, текст сообщений написан на языке страны получателя. В их числе были: Австралия, Австрия, Великобритания, Германия, Голландия, Ирландия, Испания, Италия, Канада, Новая Зеландия, Турция, Франция, Чехия. Кроме этого, злоумышленники покупали и использовали в фишинг-рассылках специальные поддельные домены, очень похожие на легитимные аналоги, принадлежащие некой частной или государственной организации. Игнорируются страны: Россия, Украина, США и Китай.

  Когда TorrentLocker запускается на зараженном ПК, то он запрашивает у C&C-сервера веб-страницу с требованием выкупа, которая сообщает пользователю о том, что файлы зашифрованы и нужно заплатить выкуп за дешифровку. Если эта операция успешна, то TorrentLocker генерирует специальный 256-битный AES-ключ, который шифруется с помощью публичного 2048-битного ключа RSA, жестко зашитого в теле вредоноса. 


Ключ отправляется на удаленный C&C-сервер. Далее вредоносная программа инициирует процесс шифрования файлов определённого типа с использованием этого AES-ключа. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr, .3pr, .7z, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .awg, .backup, .backupdb, .bak, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip (236 расширений).

Пропускаются системные файлы:
.dat, .dll, .exe, inf, .ini, .msi, .sys

Сейчас уже известно, что TorrentLocker шифрует только первые 2Мб файла, чтобы сделать файл полностью неработоспособным или непригодным для использования. В конец каждого зашифрованного файла вредоносная программа добавляет три специальных поля определенного формата. Позже размер шифруемой части сократился до 1 Мб.

  По окончании шифрования TorrentLocker уничтожает в памяти ключ вызовом memset(aes_key, 0, aes_key_size), чтобы сделать невозможным получение ключа из памяти при его отладке. Этот memset выполняется для каждой копии ключа. После этого TorrentLocker отображает пользователю полученную ранее веб-страницу. Веб-страница с требованием выкупа содержит ссылку на страницу оплаты, размещенную на домене .onion. Этот домен также фигурирует в качестве одного из C&C-серверов, к которому обращается код TorrentLocker. На скриншоте ниже упоминается другой шифровальщик – CryptoLocker. Этот ход используется для того, чтобы ввести жертву в заблуждение.


  Из-за того, что разработчики TorrentLocker стали использовать режим CBC симметричного алгоритма шифрования AES, вместо ранее используемого CTR, расшифровка возможна только в случае получения закрытого ключа RSA от злоумышленников, с помощью которого можно расшифровать AES ключ. Этот зашифрованный публичным RSA ключом AES ключ хранится в конце зашифрованного файла и используется для непосредственной расшифровки файла (или его первых двух мегабайт). Публичный RSA ключ находится в теле вредоносной программы.



 TorrentLocker для Швеции

  В мае 2016 обнаружена новая кампания, в которой TorrentLocker ориентирован на Швецию. Как и более ранние кампании, этот криптовымогатель доставляется с помощью email-спама и ссылок на заражённый эксплойтами сайт. Предлагается загрузить фальшивый счет от фирмы международной связи Telia со штаб-квартирой в Стокгольме (Швеция), имеющий миллионы клиентов по всему миру. Если потенциальная жертва переходит по ссылке на веб-сайт, выглядящий как реальный сайт Telia, то натыкается на вредоносный код Captcha, который загружает вымогателя TorrentLocker, но при условии, что IP-адрес жертвы находится в Швеции. Если IP-адрес не находится в Швеции, пользователь будет перенаправлен на Google. 
  TorrentLocker пытается украсть данные жертвы, прежде чем начнёт шифрование. Он внедряется в память explorer.exe перед удалением основного компонента с произвольным именем, а затем собирает на ПК все имеющиеся сертификаты и контакты пользователей. Они отправляются на C&C-сервер и хранятся там для использования в будущих вредоносных кампаниях.
  При запуске шифрования, эта шведоориентированная версия TorrentLocker пытается зашифровать все доступные файлы данных на локальном и подключенных дисках. По завершении шифрования записка о выкупе предлагает потерпевшему купить дешифровщик за 1,153 Bitcoins (около 4099 крон, 441 евро или $ 500). Если выкуп не выплачивается в течение нескольких дней, стоимость дешифровки удваивается. Новая версия оснащена специальной функцией "сна" (временного бездействия), когда вымогатель не проявляет никакой активности, чтобы избежать обнаружения и противодействовать песочным (sandbox) и поведенческим (HIPS) технологиям защиты. 
  "Лучший уровень защиты против криптовымогателей, внедряющихся в систему в виде полезных нагрузок, это поведенческая технология защиты (так называемый HIPS). Статические проверки VirusTotal не могут контролировать поведение, поэтому не дают полноценного анализа на основе детекта или недетекта конкретного AV для проверяемых вредоносов. Поэтому криптовымогатель всегда будет делать то, что он делает", — сказал Шон Салливан, советник по безопасности F-Secure.
  "Функция сна" у нового TorrentLocker предназначена для противодействия такому поведенческому анализу и песочным технологиям. Злоумышленники предприняли контрмеры, чтобы сохранить своего вредоноса бездействующим на период поведенческого анализа.

  В перспективе злоумышленники могут легко менять вектор атаки, ориентируя атакующий вымогатель на потенциальные жертвы из любой другой страны.

Степень распространённости: перспективно высокая
Подробные сведения собираются.

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Файлы, зашифрованные некоторыми вариантами TorrentLocker, могут быть дешифрованы! 
Компания Dr.Web делает платную дешифровку после атаки шифровальщиков TorrentLocker, Crypt0L0cker и некоторых других.
Что нужно сделать, чтобы дешифровать файлы? 
- Составить запрос на тест-дешифровку (бесплатно) - на русском или на английском языках.
- Приложить записку о выкупе и несколько зашифрованных файлов (doc, docx, jpg, png, pdf);
- Подождать несколько дней, пока вам не сообщат о результате в вашем тикете. 
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as TorrentLocker, Crypt0L0cker)
 Topic of Support, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 3 января 2016 г.

Ransom32

Ransom32 Ransomware 

(шифровальщик-вымогатель, RaaS)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (блочный CTR-режим), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Если жертва не заплатит требуемую сумму за 7 дней, то все ключи дешифрования будут уничтожены. 

К зашифрованным файлам никакое расширение не добавляется. Активность этого криптовымогателя пришлась на январь-март 2016 г.  

ВАЖНО!!! Ransom32 шифрует файлы, воспользовавшись легитимными возможностями технологий JavaScript, WinRAR SFX и Bitcoin.

Для каждого файла генерируется новый ключ шифрования. Он шифруется с использованием алгоритма RSA и публичного ключа, загружаемого с C&C-сервера при первом подключении. Зашифрованный публичным ключом ключ AES сохраняется вместе с данными зашифрованного файла.

ВАЖНО!!! Использование JavaScript делает данный вымогатель кроссплатформенным, т.е. он может использоваться для Windows, Linux и Apple OS X. 

Ключевой особенностью Ransom32 является модель распространения SaaS (Software as a service), а для получения доступа к админ-панели управления вредоносом и его генерации нужно всего лишь указать адрес своего кошелька Bitcoin. 

Распространяется с помощью email-спама и вредоносных вложений. Вредоносный файл размещается внутри письма, замаскированного под неоплаченный счёт, уведомление о доставке, и т.п. Когда жертва скачает и запустит такой файл, то он связывается с сервером управления и получает команду на загрузку вредоноса Ransom32. Загруженный файл представляет собой самораспаковывающийся SFX-архив, при автоматической распаковке извлекающий набор инструментов для шифрования.

Злоумышленники выбрали высокий уровень анонимности для работы с Ransom32, для связи со своим управляющим C&C-сервером вымогатель использует анонимную сеть Tor, а оплата выкупа осуществляется в биткоинах.
Рис.1. Окно браузера Tor, в котором предлагается ввести BTC-адрес
Рис.2. Окно для генерации и отправки вымогателям архива с файлами вредоноса 

Здесь мы видим адрес электронного кошелька оператора (владельца), статистику зараженных компьютеров, сумму уже полученных средств от пострадавших, и настраиваемые параметры вредоноса. На данном скриншоте всё по нулям, т.к. образец окна получен специалистами Emsisoft.

После нажатия на кнопку "Download client.scr" для оператора будет сгенерирован архив с файлами вредоноса с указанными им в панели управления параметрами. Этот архив будет иметь размер порядка 22Мб, что существенно отличает его от других вредоносов-вымогателей с архивом весом около 1Мб.

Вредонос использует скриптовый язык WinRAR для автоматической распаковки содержимого архива во временную директорию, затем запускает на исполнение файл chrome.exe.

Описание содержимого архива
Файлы из архива имеют следующее предназначение:
- файл "chrome" содержит копию лицензионного соглашения GPL;
- файл "chrome.exe" это приложение NW.js и код вредоноса, а также среда framework для его успешной работы;
- файлы "ffmpegsumo.dll", "nw.pak", "icudtl.dat" и "locales" содержат данные, нужные NW.js для работы;
- файл "rundll32.exe" это переименованная копия файла клиента Tor;
- файл "s.exe" это переименованная копия файла набора Optimum X Shortcut, для создания и управления ярлыками на Рабочем столе и в меню Пуск;
- файл "g" это конфигурационный файл управления вредоносом;
- файл "msgbox.vbs" это небольшой скрипт для настройки popup-окна.
- файл "u.vbs" это небольшой скрипт для зачистки всех файлов в рабочей директории вредоноса.

Необходимо заметить, что NW.js (Node-WebKit) — это легитимный кроссплатформенный фреймворк, позволяющий создавать приложения с использованием популярных веб-технологий, как HTML, CSS и JavaScript. Платформа основана на Chromium и Node.js и работает в обход обычной песочницы JavaScript.
Рис.3. Файлы внутри SFX-архива

Требование выкупа
После исполнения файла вымогателя в системе, он извлечет все вышеперечисленные файлы в директорию с временными файлами. Потом скопирует себя в директорию %AppData%\Chrome Browser. Использует файл s.exe для создания ярлыка в директории автозапуска пользователя с названием «ChromeService». Далее вредонос запустит файл клиента Tor для подключения к C&C-серверу. После его уже отобразит пользователю сообщение с требованием выкупа.
Рис.4. Окно с требованием выкупа

Вымогатель предлагает жертве расшифровать один файл для демонстрации того, что эта процедура возможна. При этом отправит на C&C-сервер зашифрованный с AES ключ указанного файла и получит расшифрованную версию ключа. 

 Список файловых расширений, подвергающихся шифрованию: 
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .game, .gif, .grle, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg,  .jpg, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mlx, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .ra, .raw, .rb, .rtf, .sav, .sdf, .ses, .sldm, .sldx, .slot, .spv, .sql, .sv5, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx (127 расширений). 

Не шифруются файлы в директориях с названиями:
windows\ 
winnt\ 
programdata\ 
boot\
temp\
tmp\
$recycle.bin\

Файлы, связанные с Ransomware: 
Download client.scr
chrome.exe и другие
<random>.exe
<random>.cmd
<random>.vbs
<random>.js
<random>.tmp

Расположения:
%Temp%\nw3932_17475
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ChromeService.lnk
%AppData%\Chrome Browser\
%AppData%\Chrome Browser\.chrome\
%AppData%\Chrome Browser\.chrome\cached-certs
%AppData%\Chrome Browser\.chrome\cached-microdesc-consensus
%AppData%\Chrome Browser\.chrome\cached-microdescs
%AppData%\Chrome Browser\.chrome\cached-microdescs.new
%AppData%\Chrome Browser\.chrome\lock
%AppData%\Chrome Browser\.chrome\state
%AppData%\Chrome Browser\chrome
%AppData%\Chrome Browser\chrome.exe
%AppData%\Chrome Browser\ffmpegsumo.dll
%AppData%\Chrome Browser\g
%AppData%\Chrome Browser\icudtl.dat
%AppData%\Chrome Browser\locales\
%AppData%\Chrome Browser\msgbox.vbs
%AppData%\Chrome Browser\n.l
%AppData%\Chrome Browser\n.q
%AppData%\Chrome Browser\nw.pak
%AppData%\Chrome Browser\rundll32.exe
%AppData%\Chrome Browser\s.exe
%AppData%\Chrome Browser\u.vbs

Записи реестра, связанные с Ransomware: 
См. ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя
Подробные сведения собираются.

Статья для чтения >>
Статья для чтения >>


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as ***)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Fabian Wosar, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.


четверг, 24 декабря 2015 г.

Bitmessage

Bitmessage Ransomware

Ungluk Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2,5 BTC, чтобы вернуть файлы обратно. Зашифрованные файлы получают расширения: .bleep, .1999, .0x0, .H3LL, .fuck, .him0m и другие.

Активность этого крипто-вымогателя пришлась на декабрь 2015 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Содержание записки FILESAREGONE.TXT: 
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get 
your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with 
us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your 
personal address, you need to do this just once). Then click Send tab. 
TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.
Click Send button.
You are done.
To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки FILESAREGONE.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. Если вы хотите вернуть файлы, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем. Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.
Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет генерирован ваш личный адрес, это делается только один раз). Затем клик на Send.
TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.
Нажмите кнопку Send .
Вы это сделали.
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Содержание записки READTHISNOW !!!.TXT:
Hello. 
All your files have been encrypted using our private key. There is no way to recover them without our assistance. 
If you want to get your files back you must be ready to pay for them. If you are ready to pay then follow the instructions: 
1) Create an archive (rar or zip) with 3 files inside: Secret.key + Secret.key2 (should be on your desktop) + Any encrypted file of a small size. It can be a .doc or .pdf or .xls or whatever you have. 5 mb max. Note that this file should have this extention: .0x0; please don’t put more than one file in the archive, one file is enough. If you can’t find Secret.key2, that’s OK. It will take just a little bit more time to restore your files, so you shouldn’t worry. 
2) Upload this archive to any file sharing site. Dropbox, Google Drive, sendspace.com etc. 
3) Go to http://bitmessage.org/ and download Bitmessage. 
4) Run Bitmessage. Select ‘Your Identities’ tab. Then click New. Then click OK. Then select ‘Send’ tab. 
TO: BM-%redacted% (this is our address)
SUBJECT: your PC name (Start -> Control Panel -> System) 
MESSAGE: Link to the archive with three files in it. Then click ‘Send’. 
You are done! 
To get the fastest reply from us with all further instructions, please keep Bitmessage running on your computer all the time, if possible. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки READTHISNOW !!!.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. 
Если хотите вернуть файлы, то должны заплатить за них.  Если вы готовы платить, следуйте инструкциям:
1) Создайте архив (RAR или ZIP) с 3-мя файлами внутри: Secret.key + Secret.key2 (должны быть на вашем рабочем столе) + любой зашифрованный файл небольшого размера. Это может быть .doc, .pdf, .xls или что у вас есть. 5 Мб макс. 
Обратите внимание, что этот файл должен иметь расширение .0x0; пожалуйста, не помещайте более одного файла в архиве... 
Если не можете найти Secret.key2, это ОК. Понадобится больше времени, чтобы восстановить ваши файлы, так что вы не должны беспокоиться.
2) Вы можете отправить этот архив на любой сайт для обмена файлами. Dropbox, Google Drive, sendspace.com и т.д.
3) Перейти к http://bitmessage.org/ и скачать Bitmessage.
4) Установить Bitmessage. Выбрать Your Identities > New  кнопку OK > Send.
TO: BM-адрес
SUBJECT: имя вашего ПК (Пуск > Панель управления > Система)
MESSAGE: Ссылка на архив с тремя файлами в нем. Затем нажмите кнопку "Отправить". 
Вы это сделали! 
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.



Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По завершении шифрования крипто-вымогатель удаляет теневые копии файлов. 

Цели шифрования: базы данных, документы, PDF, музыка, видео, общие сетевые папки и пр. 

Список файловых расширений, подвергающихся шифрованию:
.113, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .73b, .7z, .a3d, .ab4, .abf, .abk, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .aep, .agd1, .ach, .ai, .ait, .al, .apj, .apk, .ark, .arw, .as4, .asf, .asm, .asp, .asset, .asvx, .asx, .ate, .ati, .avi, .awg, .azw, .azw4, .b1, .bac, .back, .backup, .backupdb, .bak, .bakx, .bar, .bay, .bb, .bc6, .bc7, .bck, .bcm, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bpw, .bsa, .c, .cab, .cas, .cb7, .cbr, .cbt, .ccd, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cf, .cfp, .cfr, .cgm, .cib, .cls, .cmt, .con, .cpi, .cpp, .cpt, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .ctb, .d3dbsp, .dac, .das, .dat, .data, .db, .db0, .db3, .dba, .dbf, .dc2, .dc3, .dcr, .dcs, .ddrw, .dds, .der, .des, .desc, .design, .dgb, .dgc, .dicom, .divx, .djvu, .dmg, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dt, .dta, .dtaus, .dtd, .dwfx, .dwg, .dxb, .dxf, .dxg, .edi, .eml, .emlx, .epk, .eps, .epub, .erbsql, .erf, .esm, .exf, .fb2, .fbf, .fbk, .fbw, .fbx, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gbk, .gdb, .gho, .gif, .gpx, .gray, .grey, .gros, .gry, .h, .hbk, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .hxi, .hxq, .hxr, .hxs, .hxw, .chi, .chm, .chq, .chw, .ibank, .ibd, .ibz, .icxs, .idx, .iff, .img, .inc, .incpas, .iso, .itdb, .itl, .itm, .iv2i, .iwd, .iwi, .jar, .java, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .keystore, .keystore, .kf, .kpdx, .layout, .lbf, .ldf, .lic, .lit, .litemod, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2v, .m3d, .m3u, .m4a, .m4v, .map, .max, .mcmeta, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mds, .mef, .menu, .mfw, .mkv, .mlx, .mmw, .mobi, .model, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg-1, .mpeg-2, .mpeg-4, .mpg, .mpg, .mpq, .mpqge, .mrw, .mrwref, .msg, .myd, .nbd, .ncf, .nd, .ndd, .nef, .netcdf, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nwb, .nx1, .nx2, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pub, .pwm, .py, .pz3, .qba, .qbb, .qbm, .qbo, .qbr, .qbw, .qbx, .qby, .qdf, .qfx, .qic, .qif, .qt, .qvw, .s3db, .sav, .sb, .sbs, .sd0, .sd1, .sda, .sdf, .sdxf, .shtm, .shtml, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldm, .sldprt, .sldx, .slm, .sln, .sn1, .sna, .snx, .spf, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sub, .sum, .suo, .svg, .swf, .swm, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .t12, .t13, .tar, .tax, .tbl, .tex, .tga, .tib, .tis, .tlg, .trn, .txt, .upk, .vcf, .vdf, .vfs0, .vob, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wallet, .wav, .wbb, .wbcat, .wdb, .wif, .wim, .win, .wma, .wmo, .wmv, .wpd, .wps, .x3f, .xar, .xf, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsk, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmi, .xml, .ycbcra, .yuv, .z, .zip, .ztmp (501 расширение). 

Файлы, связанные с этим Ransomware:
FILESAREGONE.TXT - записка с требованием выкупа "Файлы исчезли";
READTHISNOW !!!. TXT  - записка с требованием выкупа "Прочти сейчас";
IHAVEYOURSECRET.KEY  - специальный файл с ключом;
Secret.key, Secret.key2 - специальные файлы;
<random>.exe - случайное название

Степень распространенности: средняя.
Подробные сведения собираются. 


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bitmessage (Ungluk) Ransomware - декабрь 2015
WonderCrypter (YouGotHacked) Ransomware - июнь 2016
Moth Ransomware - июнь 2016



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний образец от 15 декабря 2015 года:
Сообщение >>
Расширение: .him0m или без расширения
Файл: SECRETKEYISHIDINGHERE.KEY
Записка: READTHISSHITNOWORELSE.TXT 
Bitmessage: BM-NByDti9xJ9NcFShLaBfE1fkAW8uk51WQ
 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Ungluk)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

среда, 16 декабря 2015 г.

XRTN

XRTN Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот криптовымогатель шифрует данные с помощью RSA-1024 с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). К зашифрованным файлам добавляется расширение .xrtn

Вымогатель XRTN относится к семейству VaultCrypt. Распространялся с декабря 2015 г. Затем ему на смену пришли Trun и Xort с теми же записками, но с другими ящиками на Яндексе. 

© Генеалогия: VaultCrypt > XRTN 

  После шифрования жертве показывается HTA-документ с названием <random_name>.hta, в котором предписывается связаться по адресу xrtnhelp@yandex.ru с "экспертами". 

Содержание текста о выкупе:
ATTENTION!
All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm
Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
contact an expert on email: xrtnhelp@yandex.ru

Перевод на русский:
ВНИМАНИЕ!
Все важные файлы и информацию на этом comuter (документы, базы данных и т.д.) можно расшифровать используя криптографический алгоритм RSA
Без спец. программы декодирование одного файла с помощью самых мощных компьютеров займет около 20 лет.
контакт с экспертом по email: xrtnhelp@yandex.ru

Ошибки в тексте:
comuter - правильно: computer (компьютер)

Email-адрес вымогателей: xrtnhelp@yandex.ru

После шифрования удаляются теневые копии файлов, если UAC отключена, или выводится при активной UAC запрос на внесение изменений. Разумеется, нужно отказаться, чтобы копии файлов сохранились и можно было восстановить хотя бы часть утраченной информации после удаления вредоносных файлов. 

  Распространяется с помощью email-спама с вредоносным вложением в виде некоего Word-файла. Состоит из множества инструментов и пакетных файлов, которые выполняют шифрование файлов. Устанавливается с помощью файла JavaScript, который загружает на компьютер жертвы файлы из gusang.vpscoke.com. Эти загруженные файлы файлы включают GnuPG.exe, документ Word, и пакетный файл, который выполняет процедуру шифрования. После запуска установщик JavaScript сначала загрузит файлы, запустит документ Word, а затем командный файл. Когда пакетный файл выполняется, он генерирует ключ RSA-1024 и сканирует по-буквенно все диски для поиска файлов которые нужно зашифровать согласно заложенной в него конфигурации, и добавлять к ним расширение .XRTN. Затем удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .xlsx, .zip и многие другие. 

См. более полный список в описании вымогателей Xort и Trun

  В процессе шифрования пакетный файл экспортирует закрытый ключ, который был использован для шифрования данных, в файл с именем XRTN.key. В нем также содержатся: имя пользователя, имя компьютера, дата, количество зашифрованных файлов, подсчет всех типов зашифрованных расширений и другие параметры. XRTN.key файл необходим для дешифровки файлов жертвы.

Файлы, связанные с XRTN Ransomware:
%Temp%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
%AppData%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
C:\Users\User_name\AppData\Roaming\<random_name>.hta - полный путь
%Temp%\4077430c_xrtn.KEY
%Temp%\CONFIRMATION.KEY
%Temp%\Do_88u.docx
%Temp%\gPG.EXE
%Temp%\<random>.js
%Temp%\dsfsdghd.bat, шаблон <random>.bat
%Temp%\ez3x7je8.cmd, шаблон <random>.cmd
%Temp%\xrtn.KEY
%Temp%\xrtn.txt
%AppData%\xrtn.KEY

Записи реестра, связанные с XRTN Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\onuntsss
mshta %AppData%\3cnq8256w5rxxavz.hta

Степень распространенности: средняя.
Подробные сведения собираются. 



Read to links: 
Write-up on BC + other
ID Ransomware

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 al1963

 

среда, 25 ноября 2015 г.

Fakben Team

Fakben Team Ransomware


  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп 1,505 биткоина, чтобы вернуть файлы. 

К зашифрованным файлам добавляется расширение .locked

© Генеалогия: Hidden Tear >> Fakben Team

  Основан на Hidden Tear, но очень плохо написан, по мнению исследователей "как будто детишки баловались". Но тем не менее поставляется как Ransomware-as-a-Service (RaaS). 

Очень похож на Hi Buddi! Ransomware, но есть отличия. Активность пришлась на конец 2015 года. 


Remove Fakben Team Decrypt Fakben Decode Restore files Recovery data Удалить Fakben Team Дешифровать Расшифровать Восстановить файлы


Записка о выкупе называется READ ME FOR DECRYPT.txt и дублируется скринлоком с QR-кодом. 

  Вредонос прописывается в Автозагрузку, чтобы выполняться при каждом запуске системы для текущего пользователя и системы. Также завершает процесс и отключает диспетчер задач, установив на DisableTaskMgr значение "1". 

  Fakben регистрируется на своем C&C-сервере, используя информацию о системе пострадавшего ПК и GeoIP-местонахождение, определяемое с помощью сайта www.hostip.info. Затем поддерживает связь с C&C-сервером через определенные промежутки времени. 

Шифрованию подвержены директории Desktop, Personal, MyPictures, MyMusic и файлы со следующими расширениями:
doc, docx, xls, xslx, ppt, pptx, odt, txt, jpg, png, csv, js, sql, mdb, sln, php, asp, aspx, html, xml, psd, pdf

Подробности по функциональному коду в блоге Fortinet

Степень распространенности: низкая.
Подробные сведения собираются. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *