Если вы не видите здесь изображений, то используйте VPN.

понедельник, 24 июля 2017 г.

WannaCryOnClick

WannaCryOnClick Ransomware

(подражатель, zip-вымогатель)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $7000 в BTC, чтобы вернуть файлы. Оригинальное название: Wanna. На самом деле файлы не шифруются, а помещаются в архив. На файле написано: Wanna.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > WannaCryOnClick


Этимология названия:
Шифровальщик имитирует WannaCryДля создания защищенного паролем ZIP-файла с расширением .EOC используется программа EncryptedOnClick. Путём сложения названий "WannaCry" + "EncryptedOnClick" получилось название "WannaCryOnClick"

К фейк-зашифрованным, а фактически помещённым в общий zip-архив файлам, добавляется расширение .EOD

Активность этого крипто-вымогателя пришлась на вторую половину июля 2017 г. Ориентирован на турецких пользователей, что не мешает распространять его по всему миру. Часть текста на английском языке. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, your files have been encrypted!
---
Sisteminizdeki tüm datalar backuplarınız dahil tümüyle şifrelenmiştir.
Datalarınızı eksiksiz olarak geri alabilmek için tek yol aşağıdaki bitcoin adresine 57,000 göndermektir
Şu anda sisteminize tam erişimimiz var. Eğer isteseydik tüm datalarınızı yok edebilirdik.
Yerel ve Nas sunucunuza ve terminal makinalarınıza herhangi bir zarar verilmemiştir.
Bilgi ve belgelerin içeriklerine herhangi bir erişimimiz olmadı.
Ancak öngörülen süre içerisinde ödemeyi yaparsanız datalarınızdaki şifre kaldınlacaktır.
Ödemeyi yapmaz ve bizimle anlaşmazsanız dataları halka açmaktan geri durmayacağız,
bitcoin transferi tamamlandıktan sonra "Check Payment" butonuna tıklamanız yeterli.
Programdan bize bildirim gelecektir.
Sunucunun internet bağlantısını kesmeyin...
bitcoin transferi işlemi başarılı olduğunda <Decrypt> butonu aktif olacaktır.
<1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz>
---
Send $7000 worth of bitcoin to this address:
1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz
[Сheck Payment]   [Decrypt]

Перевод записки на русский язык:
Упс, ваши файлы были зашифрованы!
---
Все данные в вашей системе, включая резервные копии, полностью зашифрованы.
Единственный способ вернуть данные полностью - отправить $7000 на следующий биткоин-адрес
У нас есть полный доступ к вашей системе прямо сейчас. Мы уничтожим все данные, если захотим.
Ваши локальные и Nas-серверы и ваши терминальные машины не повреждены.
У нас не было никакого доступа к содержимому информации и документов.
Однако, если вы платите в течение установленного срока, пароль в ваших данных будет удален.
Если вы не платите, и вы не согласны с нами, мы не будем останавливаться на открытии данных для общественности.
По завершении передачи биткоинов нажмите кнопку "Check Payment".
Программа уведомит нас.
Не прерывайте подключение к Интернету сервера ...
Когда передача биткоинов будет успешна, кнопка <Decrypt> будет активна.
<1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz>
---
Отправьте $7000 в биткоинах по этому адресу:
1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz
[Сheck Payment]   [Decrypt]


Важное замечание!
Кнопки "Сheck Payment" и "Decrypt", которые находятся под текстом о выкупе, не соответствуют своим надписям. Вместо этого, при каждом нажатии они отправляют электронное сообщение на адрес nazm.fatma@yandex.com, автоматически информируя разработчиков о том, какая кнопка была нажата пользователем. Причем, в качестве отправителя задан email-адрес muhasebe@komposan.com, а в качестве получателя - email-адрес nazm.fatma@yandex.com

Турецкое слово "muhasebe" означает "учёт". 
Fatma Nazm - по-видимому, это имя и фамилия. 

Вероятно, такое нетрадиционное предназначение кнопок сделано с целью, так сказать, "изучения спроса" и для информирования вымогателей о том, что кто-либо из напуганных жертв согласен заплатить затребованную сумму в 7000 долларов в качестве выкупа.

 Важное замечание для тех, кто думает, что Яндекс - это Россия. 
Нет, Яндекс - это также Украина, Турция и ряд других стран. 
Поисковая система Яндекс недавно стала и турецкой поисковой системой, включая все сервисы Яндекса (поиск, почта, облачный диск и пр.), со всеми вытекающими отсюда последствиями. Мошенники, вымогатели и другие злоумышленники тоже стали этим пользоваться. Этот пример с почтой на Яндексе, тому подтверждение. Более того, любой человек, из любой точки мира может завести себе почту на Яндексе. 



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует программу EncryptedOnClick для создания защищенного паролем ZIP-файла с расширением .EOC, а затем запускает экран с требованиями выкупа.

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются в текущей версии. После доработки это вполне могут отказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
Wanna.exe
<random>.exe
<random>.tmp

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: muhasebe@komposan.com
nazm.fatma@yandex.com
BTC: 1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as WannaCryOnClick)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏, Toffee‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 23 июля 2017 г.

Bam!

Bam! Ransomware

BkavRansomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы узнать, как вернуть файлы. Оригинальное название: BkavRansomware (появилось в новой версии). Раннее название получил от добавляемого расширения. 
---
Обнаружения: 
DrWeb -> Trojan.Encoder.13136
ALYac -> Trojan.Ransom.Bam
BitDefender -> Generic.Ransom.Bam.89FB9098
Bkav Pro -> W32.AIDetect.malware1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEB
Kaspersky -> Trojan-Ransom.Win32.Agent.abgf
Microsoft -> Trojan:Win32/Vagger!rfn
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_BAM.B
---

© Генеалогия: Bam! (2017) > Bkav > пропуск в 4 года > 
Bam! (2021)

К зашифрованным файлам добавляется расширение .bam!

Активность этого крипто-вымогателя пришлась на вторую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Вероятно, распространяется во Вьетнаме. 

Запиской с требованием выкупа выступает скринлок, встающий обоями рабочего стола:

Содержание текста о выкупе:
Your files will be lost on:
23:58:26
YOUR COMPUTER AND FILES ARE ENCRYPTED
Encryption was made with a special crypto-code!
There are NO CHANCE to decrypt it without our special software and your unique private key!
To buy software. You need to contact us by Email:
1. abc@xyz.com
2. acc@xyz.com

Перевод текста на русский язык:
Ваши файлы будут потеряны:
23:58:26
ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ
Шифрование было сделано с помощью специального криптокода!
Нет шанса расшифровывать его без нашей специальной программы и вашего уникального секретного ключа!
Купите программу. Вам надо связаться с нами по email:
1. abc@xyz.com
2. acc@xyz.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Изображение, заменящее обои. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bam! (Bam) Ransomware - июль 2017
Bkav Ransomware - август 2017 
--- 4 года пропуска ---
Bam! Ransomware - июнь 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление без даты:
В новой версии использует файл с другим названием.
На файле написано: BkavRansomware

Вариант от 4 июня 2021 года:
Отдельная статья: Bam-2021 Ransomware >>
Расширение: .bam!
Маркер файлов: .bam! 
Сумма выкупа: $300 в BTC
BTC-кошелек: 1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Bam!)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏, Michael Gillespie
 TrendMicro
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 21 июля 2017 г.

SnakeLocker

SnakeLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные с помощью AES/RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: SnakeLocker. На файле написано: SnakeLocker.exe. Написан на языке программирования Python.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .snake и .TGIF

Образец этого крипто-вымогателя был обнаружен в июле 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока шифрует только файлы в специальном месте — во временной папке "_MEI2242

Записка с требованием выкупа называется: INSTRUCTIONS-README.html

Содержание записки о выкупе:
Your files have been locked!
---
Your files have been securely encrypted with a top notch, extremely secure encryption algorithm. The only way you can
get these files back is to pay a ransom of 0.1 Bitcoins.
To proceed to the next step in this process, download the Tor Browser Bundle here. Open the Tor Browser bundle and
proceed to the following link: 
xxxxxxxx.onion/decrypt.php
This link will give you payment instructions.
Don't know how to get Bitcoins? No problem. You can buy bitcoins at any of the following websites:
1. xxxxs://localbitcoins.com/ (cash)
2. xxxxs://buy.bitcoin.com/ (credit card)
---
For more options on purchasing bitcoins, see this article.

Перевод записки на русский язык:
Ваши файлы заблокированы!
---
Ваши файлы были надежно зашифрованы с помощью первоклассного, чрезвычайно безопасного алгоритма шифрования. Единственный способ, которым вы можете вернуть эти файлы, это заплатить выкуп в размере 0,1 биткоинов.
Чтобы перейти к следующему этапу этого процесса, загрузите пакет Tor Browser Bundle. Откройте пакет Tor Browser и перейдите по следующей ссылке:
xxxxxxxx.onion/decrypt.php
Эта ссылка даст вам инструкции по оплате.
Не знаете, как получить биткоины? Нет проблем. Вы можете купить биткоины на любом из следующих веб-сайтов:
1. xxxxs://localbitcoins.com/ (наличные)
2. xxxxs://buy.bitcoin.com/ (кредитная карта)
---
Сведения о покупке биткоинов см. в этой статье.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS-README.html
SnakeLocker.exe
\_MEI2242\
Crypto.Cipher._AES.pyd
Microsoft.VC90.CRT.manifest
SnakeLocker.exe.manifest
_ctypes.pyd
_hashlib.pyd
_multiprocessing.pyd
_socket.pyd
_ssl.pyd
bz2.pyd
msvcm90.dll
msvcp90.dll
msvcr90.dll
pyexpat.pyd
python27.dll
pywintypes27.dll
select.pyd
unicodedata.pyd
win32api.pyd
win32console.pyd
win32event.pyd
win32gui.pyd
Include\pyconfig.h

Расположения:
\Temp\_MEI2242\Crypto.Cipher._AES.pyd
\Temp\_MEI2242\Microsoft.VC90.CRT.manifest
\Temp\_MEI2242\SnakeLocker.exe.manifest
\Temp\_MEI2242\_ctypes.pyd
\Temp\_MEI2242\_hashlib.pyd
\Temp\_MEI2242\_multiprocessing.pyd
\Temp\_MEI2242\_socket.pyd
\Temp\_MEI2242\_ssl.pyd
\Temp\_MEI2242\bz2.pyd
\Temp\_MEI2242\msvcm90.dll
\Temp\_MEI2242\msvcp90.dll
\Temp\_MEI2242\msvcr90.dll
\Temp\_MEI2242\pyexpat.pyd
\Temp\_MEI2242\python27.dll
\Temp\_MEI2242\pywintypes27.dll
\Temp\_MEI2242\select.pyd
\Temp\_MEI2242\unicodedata.pyd
\Temp\_MEI2242\win32api.pyd
\Temp\_MEI2242\win32console.pyd
\Temp\_MEI2242\win32event.pyd
\Temp\_MEI2242\win32gui.pyd
\Temp\_MEI2242\Include\pyconfig.h
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  +VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Имеется также доделанная версия, которая может шифровать файлы уже в директориях пользователя. Удаляет теневые копии файлов. 
Расширение: .TGIF
Список файловых расширений: тот же. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SnakeLocker)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 TrendMicro
 

© Amigo-A (Andrew Ivanov): All blog articles.

Symbiom

Symbiom Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Symbiom.exe или OverWatch_Hack.exe. Фальш-имя: OverWatch_Hack.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Symbiom

К зашифрованным файлам добавляется расширение .symbiom_ransomware_locked

Активность этого крипто-вымогателя пришлась на вторую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_Ransomware_Symbiom.txt

Содержание записки о выкупе:
Your files have been locked by Symbiom!
Send 0.1 bitcoin (It is about 250 dollars) to : 13NjrGWP8GBRSWCgNBPYpPsGUfbyiYGnDc
Afterwards, send your bitcoin address which you payed with to : hackerz6924@tutanota.com
Don't worry. I will save your files if you pay.
GOOD LUCK!

Перевод записки на русский язык:
Твои файлы блокированы Symbiom!
Отправь 0.1 биткойн (около 250 долларов): 13NjrGWP8GBRSWCgNBPYpPsGUfbyiYGnDc
Затем отправь свой биткойн-адрес, с которого платил, на: hackerz6924@tutanota.com
Не волнуйся. Я сохраню твои файлы, если заплатишь.
УДАЧИ!


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_Ransomware_Symbiom.txt
Symbiom.exe (OverWatch_Hack.exe)

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hackerz6924@tutanota.com
BTC: 13NjrGWP8GBRSWCgNBPYpPsGUfbyiYGnDc
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Bitshifter, Gollum

Bitshifter Ransomware

Gollum Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Bitshifter. Среда разработки: Visual Studio 2017.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Satan (Satan RaaS) >> Bitshifter > ApolloLockerWinsecure

К зашифрованным файлам добавляется расширение .gollum

Активность этого крипто-вымогателя пришлась на вторую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ARE_YOU_WANNA_GET_YOUR_FILES_BACK.txt

Содержание записки о выкупе:
Are you wanna get your files back?
***

Перевод записки на русский язык:
Вы хотите вернуть свои файлы?
***


Технические детали

Распространяется как фальшивый вспомогательный файл к игре "The Witcher 3". Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Пытается украсть кошельки криптовалют и другую информацию. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ARE_YOU_WANNA_GET_YOUR_FILES_BACK.txt
launcher.exe (network.exe)
the_witcher_3_wild_hunt_optimizatsiya_dlya_slabyh_pk.rar

Расположения:
%TEMP%\network.exe
%TEMP%\<random>.exe
%TEMP%\<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.whatismyip.org
myip.dnsomatic.com
www.showmyip.com
xxxx://www.playground.ru/files/the_witcher_3_wild_hunt_optimizatsiya_dlya_slabyh_pk_podyom_fps-157259/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer Analyze анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Bitshifter)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 20 июля 2017 г.

GonnaCry

GonnaCry Ransomware

(шифровальщик-вымогатель, OSR) (первоисточник)
Translation into English


Этот крипто-вымогатель для Linux шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA для ключа AES, а затем вполне может требовать выкуп, чтобы вернуть файлы. Оригинальное название: GonnaCry. На файле написано: нет данных. Разработчик: Tarcísio Marinho (Бразилия).  Open-source Ransomware (OSR).

Обнаружения:
DrWeb -> Linux.Encoder.61
Avira (no cloud) -> LINUX/Encoder.sotbg
BitDefender -> Trojan.Ransom.CCD
Kaspersky -> HEUR:Trojan-Ransom.Linux.Gonnacry.a
ALYac -> Trojan.Ransom.GonnaCry
Symantec -> Ransom.Cry

© Генеалогия: GonnaCry >> LuckyJoe 


Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .GNNCRY


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


О выпуске этого крипто-вымогателя стало известно из СМИ в середине июля 2017 г. Позже разработчик его доработал. GonnaCry не предназначался для распространения и причинения вреда другим компьютера. Основная цель — изучение вредоносных программ для Linux. Ориентирован на англоязычных пользователей. Так как является открытым проектом, то может быть модифицирован и в новом виде начать распространяться другими вымогателями по всему миру

Записка с требованием выкупа называется: GNNCRY_Readme

Содержание записки о выкупе:
***нет данных***

Перевод записки на русский язык:
***нет данных***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробности работы шифровальщика:
Перед шифрованием создает копию оригинального файла (новый файл), который должен быть зашифрован. Генерирует уникальный случайный ключ и вектор инициализации для каждого файла. После шифрования пытается уничтожить старый файл, чтобы его невозможно было восстановить программами восстановления данных. Для этого все старые файлы сначала  перезаписываются нулями, а затем удаляются. 

Порядок действий: 
Шифрование всех файлов с помощью AES-256-CBC.
Шифрование периферийных устройств: флешки. 
Случайная генерация AES-ключей для каждого целевого файла.
Шифрование работает даже без подключения зараженного устройства к Интернету.
Выполняется связь с сервером для запроса закрытого ключа.    
Шифрование AES-ключа с помощью RSA-1024.    
Шифрование секретного ключа с помощью RSA-1024 с сервера. 
Генерация сервером закрытых и открытых ключей (RSA) 
Замена обоев рабочего стола в UNIX-подобных ОС (Gnome, LXDE, KDE, XFCE).    
Перезапись оригинальных файлов нулями.
Удаление перезаписанных файлов без возможности восстановления.    
Завершение работы программы.

Визуализация зашифрованного файла:


Список файловых расширений, подвергающихся шифрованию:

.3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (178 расширений).

Список расширенией в другом варианте: 
.7z, .apk, .asp, .aspx, .bak, .bin, .bz2, .c, .cer, .csv, .db, .dmp, .doc, .docx, .gz, .hdf, .htm, .html, .jar, .java, .jpg, .jsp, .jspx, .ldf, .mdf, .myd, .myi, .pdf, .pem, .pfx, .php, .png, .ppt, .pptx, .psd, .py, .rar, .rdb, .rtf, .sql, .tar, .txt, .vdi, .vmdk, .vmx, .xls, .xlsx, .zip (48 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GNNCRY_Readme.txt
elf-файл (ELF64)
gonnacry

Расположения:
/tmp/GNNCRY_Readme

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL GitHub: xxxxs://github.com/tarcisio-marinho/GonnaCry/
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Write-up, Write-up, Topic of Support
 * 


 Thanks: 
 Tarcísio Marinho, mass media
 Andrew Ivanov (author)
 Shaul Holtzman
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *