воскресенье, 12 июня 2016 г.

RAA

RAA (RAA SEP) Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,39 биткоина (250 долларов), чтобы вернуть файлы обратно. Ориентирован на русскоязычных пользователей. К зашифрованным файлам добавляется расширение .locked

  Вымогатели сами называют свое детище вирусом RAA. Он на 100% написан на языке JavaScript, но т.к. в стандартной реализации JavaScript нет расширенных функций шифрования, то разработчики RAA использовали библиотеку CryptoJS, чтобы можно было использовать для шифрования алгоритм AES.

  Распространяется по email в виде вредоносных вложений, замаскированных под doc-файлы со случайными именами файлов типа mgJaXnwanxlS_doc_.js. При открытии JS-файла для отвлечения внимания демонстрируется некий документ Word (на русском языке), который автоматически генерируется вредоносом в папке "Мои документы". Cодержимое документа отображается как повреждённое. Пока пользователь это видит, начинается процесс сканирования дисков и шифрование целевых файлов. 

  Основной JS-файл будет добавлен в автозагрузку, чтобы при каждом входе пользователя в систему запускаться и шифровать его новые файлы. Попутно ставится вредонос Pony, ворующий пароли жертвы, который встраивается в Javascript-файл в качестве закодированной строки. И он тоже будет запускаться вместе с основным файлом шифровальщика, чтобы воровать информацию пользователя. Подробнее о Pony читайте ниже. 

  Теневые копии файлов удаляются вместе со службой, отвечающей за их работу.

  Жертве присваивается ID, который нужно выслать на email вымогателей raa-consult1@keemail.me вместе с несколькими зашифрованными файлами. Если ответа нет в течении 3-х часов, то нужно связаться с вымогателями через Bitmessage. 

Записка о выкупе называется !!!README!!!<ID>.rtf

Список файловых расширений, подвергающихся шифрованию:
.cd, .cdr, .csv, .dbf, .doc, .dwg, .jpg, .lcd, .mdb, .pdf, .png, .psd, .rar, .rtf, .xls, .zip (16 расширений).

При шифровании пропускаются только файлы с расширением .locked, и со знаками ~ и $ в имени. 

При шифровании пропускаются следующие пути:
Windows, RECYCLER, Program Files, Program Files (x86), Recycle.Bin, APPDATA, TEMP, ProgramData, Microsoft

Описание в энциклопедии TrendMicro >>

Файлы, связанные с RAA Ransomware:
%Desktop%\!!!README!!![id].rtf
%MyDocuments%\doc_attached_[random_chars]
%MyDocuments%\st.exe

Записи реестра, связанные с RAA Ransomware:
HKCU\RAA\Raa-fnl
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"

Подробнее о работе трояна Pony

1. Pony находится закодированном в Base64 исполняемом файле, запускающемся после шифрования. 
Он ворует следующую конфиденциальную информацию:
- сохраненные в браузере пароли; 
- логин-пароли для FTP-клиентов;
- учетные данные почтовых клиентов;
- информацию о кошельках криптовалют;
- установленные цифровые сертификаты;
- список распространенных паролей.

2. Собранную информацию Pony шифрует с помощью алгоритма RC4 и отправляет на C&C-сервер злоумышленников. При этом он фиксирует контрольные суммы всех полученных данных, выполняя действия в определённой последовательности:
1) подсчет контрольной суммы от незашифрованных данных;
2) добавление полученного значения к входным данным;
3) шифрование входных данных алгоритмом RC4 с заданным преступниками ключом;
4) подсчет контрольной суммы от зашифрованных данных;
5) добавление полученного значения к входным данным;
6) генерация случайного ключа длиной в 4 байта;
7) шифрование входных данных алгоритмом RC4, используя сгенерированный ключ;
8) формирование готовых к отправке данных.


***

Обновление от 30 августа 2016
1. Новая записка о выкупе
2. Изменения в коде
 Источник
3. Изменения в реестре:
Ключ реестра HKCU\RAA\Raa-fnl заменен на HKCU\Hff\Hff-fnl
4. Другие изменения >> 
5. Детекты: 
Детект на вложение Счет+штрафные санкции.doc >>
Детект на JS Payload >>
Детект на вредонос Pony >>


Степень распространённости: низкая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *