четверг, 17 марта 2016 г.

SamSam

SamSam Ransomware
Samas Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1 BTC и больше, чтобы вернуть файлы. Оригинальное название: SamSam. На файле написано: samsam.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: SamSam. Начало

К зашифрованным файлам добавляется расширение .encryptedRSA
Позже появились расширения:
.encryptedAES
.encedRSA
.justbtcwillhelpyou
.btcbtcbtc
.btc-help-you
.only-we_can-help_you
.iwanthelpuuu
и многие другие (см. обновления после статьи). 

Активность этого крипто-вымогателя зарегистрирована в феврале-марте-апреле 2016 г. Ориентирован на англоязычных пользователей, что позволило распространять его по всему миру. 
В марте 2016 года ФБР США обратилось к экспертам в сфере информационной безопасности с просьбой оказать содействие в расследовании деятельности вымогательского ПО Ransom: MSIL/Samas.A, или SamSam, известного ФБР с февраля этого года. 

Записка с требованием выкупа называется: HELP_DECRYPT_YOUR_FILES.html

Она размещается во всех папках, где есть зашифрованные файлы, а также на Рабочем столе. 

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***



Подробнее о работе этого вредоносного ПО

Удалённые взломщики используют хакерский инструмент JexBoss для автоматического обнаружения уязвимых систем с устаревшими версиями JBOSS и последующего запуска атаки для удалённой установки вымогателей SamSam на компьютеры жертв. Вредоносное ПО, поставляющее SamSam, раздается на Windows-системы посредством эксплуатации уязвимостей в непропатченных серверах JBoss. Затем устанавливает веб-шелл, идентифицирует другие подключенные к сети системы и внедряет вымогателя SamSam для осуществления шифрования файлов на устройствах сети. 


Схема последовательности атаки

Главная особенность Samas заключается в возможности шифрования данных на всех компьютерах в скомпрометированной сети. SamSam запускает на скомпрометированной машине процесс samsam.exe и приступает к шифрованию, используя комбинацию AES-256 (CBC) + RSA-2096. SamSam совсем не скрывает свою активность в системе, не использует упаковщик и не обнаруживает системных отладчиков. Работает автономно, но прекращает шифрование, если версия Windows ниже Vista, из-за проблем с совместимостью.

SamSam удаляет теневые копии файлов с помощью системного приложения  Vssadmin.exe. Эта функция впоследствии станет очень популярной среди шифровальщиков-вымогателей... 


Спустя некоторое время...

Спустя некоторое время после публикации новости, распространители Samsam подняли планку и стали требовать выкуп в 1,5-1,7 биткоина на зараженной системе, или 22 биткоинов за расшифровку файлов всех зараженных компьютеров сети. Malware-аналитики проконтролировали несколько кошельков Bitcoin, связанных с этими атаками, и заметили, что на них поступили выплаты в сотни тысяч долларов.

По словам исследователей, судя по всему, атаки совершались несколькими группами злоумышленников, на что указывает внедрение в системы различных бэкдоров: mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3l, Inovkermngrt и jbot.

Среди признаков, свидетельствующих о получении преступниками контроля над системой, упоминается появление сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class.


География распространения вымогательской инфекции SamSam


Технические подробности

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db3, .dbf, .db-journal, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b.p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (327 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
samsam.exe
HELP_DECRYPT_YOUR_FILES.html - записка о выкупе;
<random>.exe - исполняемый файл вымогателя;
delfiletype.exe - копия исполняемого файла вымогателя;
sqlsrvtmg1.exe - копия исполняемого файла вымогателя;
psexec.exe - развертывает другие компоненты; 
del.exe - делает зачистку следов присутствия вымогателя в системе;
list.txt - содержит украденные учётные данные.

Расположения:
C:\Windows\system32\samsam.exe
\User_folders\HELP_DECRYPT_YOUR_FILES.html
\Desktop\HELP_DECRYPT_YOUR_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://lordsecure4u.wordpress.com
xxxx://wzrw3hmj3pveaaqh.onion/diana
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 6 апреля 2016:
Пост в Твиттере >>
Расширение: .justbtcwillhelpyou

Обновление от 16 апреля 2016:
Пост в Твиттере >>
Расширение: .btcbtcbtc

Обновление от 26 апреля 2016:
Пост в Твиттере >>
Записка: HELP_FOR_DECRYPT_FILE.html
Расширение: .btc-help-you

Обновление от 11 мая 2016: 
Пост в Твиттере >>
Расширение: .only-we_can-help_you
Результаты анализов: HA+VT

Обновление от 30 июня 2016: 
Пост в Твиттере >>
Файл: wanadoesme.exe
Записка: 000-HELP_FOR_DECRYPT_FILE.html
Расширение: .iwanthelpuuu
Результаты анализов: HA+VT

Обновление от 4 ноября 2016:
Пост в Твиттере >>
Расширение: .notfoundrans
Записка: READ-FOR-HELLPP.html
BTC: 15gbE7z9cbxg5Gvh2rDFPdU1a1VLu9rnBa
Tor: ***qjvah4btqkppaudo.onion/gclass007/
Результаты анализов: VT

Обновление от 14 декабря 2016:
Файл: barbimos2.exe
Записка: READ-FOR-HELLPP.html
Расширение: .checkdiskenced
BTC: 15zpJyi4DaqRhTS2PRDHt4z1WQiGm5gsMZ
Tor: ***qjy2f3q45elp2tlc.onion/33fiveman/
Результаты анализов: VT

Обновление от 14 декабря 2016:
Пост в Твиттере >>
Файл: sobusy.exe
Фальш-имя: Contact MSoffice
Записка: 000-PLEASE-READ-WE-HELP.html
Расширение: .VforVendetta
BTC: 12Z7QctstwkxxfWdrFJs1oEpDLT3jpqcPq
Tor: ***qjy2f3q45elp2tlc.onion/sking01/
Результаты анализов: VT

Обновление от 23 декабря 2016:
Файлы: WinDir.exe (Desktop Windows Manager)
anabella2.exe
Записка: READ-FOR-HELLPP.html
Расширение: .checkdiskenced
BTC: 1Ar31oJp7ALcErh61KGiu18WsmjWpHc9pi
Tor: ***qjy2f3q45elp2tlc.onion/stackoverflow42/
Результаты анализов: VT

Обновление от 25 декабря 2016:
Пост в Твиттере >>
Записка: 002-HAPPEN-ENCED-FILES.html
Расширение: .happenencedfiles

Обновление от 30 декабря 2016:
Пост в Твиттере >>
Записка: WHERE-YOUR-FILES.html
Расширение: .Whereisyourfiles

Обновление от 1 января 2017:
Пост в Твиттере >>
Записка: HELP-ME-ENCED-FILES.html
Расширение: .helpmeencedfiles
Tor: ***heyvkn3uty2irsjx.onion/xmanx665
BTC: 1DyCVs9fBcxvd56R7tPRG1ENY1hZ4NZGcZ
Результаты анализов: VT

Обновление от 4 января 2017:
Пост в Твиттере >>
Записка: 001-PLS-DEC-MY-FILES.html
Расширение: .wowwhereismyfiles

Обновление от 10 января 2017:
Пост в Твиттере >>
Записка: 000-WOW-READ-FOR-DECRYP.html
Расширение: .wowreadfordecryp

Обновление от 14 января 2017:
Пост в Твиттере >>
Записка: WE-MUST-DEC-FILES.html
Расширение: .powerfulldecrypt
BTC: 1CMJGvv6usQ5tz4z8miDngQeRzrgvBuz8H
Tor: ***heyvkn3uty2irsjx.onion/shield221/
Результаты анализов: HA+VT

Обновление от 25 января 2017:
Пост в Твиттере >>
Записка: 000-IF-YOU-WANT-DEC-FILES.html
Расширение: .otherinformation

Обновление от 1 февраля 2017:
Пост в Твиттере >>
Записка: LET-ME-TRY-DEC-FILES.html
Расширение: .letmetrydecfiles

Обновление от 13 февраля 2017:
Пост в Твиттере >>
Записка: 001-READ-FOR-DECRYPT-FILES.html
Расширение: .encryptedyourfiles

Обновление от 21 февраля 2017:
Пост в Твиттере >>
Файл: preguess2.exe
Записка: READ-READ-READ.html
Расширение: .weencedufiles
Tor: ***v45y2fwx5ugpegmi.onion/11preguess990/
Результаты анализов: VT

Обновление от 3 марта 2017:
Пост в Твиттере >>
Записка: PLEASE-READIT-IF_YOU-WANT.html
Расширение: .filegofprencrp

Обновление от 11 марта 2017:
Пост в Твиттере >>
Файл: emetic45.exe
Записка: IF_WANT_FILES_BACK_PLS_READ.html
Расширение: .iaufkakfhsaraf
Tor: http://v45y2fwx5ugpegmi.onion/246526744emetic76453434/
BTC: 1Lmio7ee8nBk98ZWBEWi98NL3qBCWvshuJ
Результаты анализов: VT

Обновление от 20 марта 2017:
Пост в Твиттере >>
Записка: READ_READ_DEC_FILES.html
Расширение: .cifgksaffsfyghd

Обновление от 23 марта 2017:
Расширение: .checkdiskenced" - 
Записка: READ-FOR-HELLPP.html
BTC: 1DA1gyQNpCRM1292nV3xY53tkDzeJ7SgZ4
Tor: ***qjy2f3q45elp2tlc.onion/22ultra/
Результаты анализов: HA+VT

Обновление от 24 марта 2017:
Записка: WE-CAN-HELP-U.html
Расширение: .vekanhelpu
BTC: 1G8CNAevnbz4iu2PUGMU65FyoNgZeNVYQY
Tor: ***pt7ow5kk6dxkobcq.onion/6petro33/
Результаты анализов: VT

Обновление от 26 июня 2017:
Пост в Твиттере >>
Расширение: .moments2900



 Read to links: 
 Write-up, Write-up, Write-up, Write-up
 ID Ransomware
 Topic of Support
 * 
 Thanks: 
 авторам статей из раздела "Write-up"
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *