Если вы не видите здесь изображений, то используйте VPN.

пятница, 15 июля 2016 г.

Stampado

Stampado Ransomware

(шифровальщик-вымогатель, RaaS)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Срок уплаты выкупа — 96 часов. Иначе каждые 6 часов будет удаляться по одному случайным образом выбранному зашифрованному файлу. Вымогатели предлагают для связи email-адрес, на него надо прислать 1 зашифрованный файл, который они могут расшифровать в качестве гарантии, а затем прислать пользователю инструкции по оплате. 

Stampado написан на языке сценариев AutoIT и, по мнению специалистов, так коряво, что говорит о малоопытности разработчиков-вымогателей. 

Этимология названия: от итальянского "stampa do" - "напечатать, сделать печать", а также "надавить". Последнее значение в вымогательстве ближе к истине. 

Зашифрованные файлы получают расширение .locked

Запиской о выкупе выступает экран блокировки "Your files have been encrypted by Stampado". 


Содержание на английском:
All your files have been encrypted.
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc) were encrypted The encryption was done using a secret key that is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
Note that every 6 hours, a random file is permanently deleted The faster you are. the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
What can I do?
Contact us by email telling your ID (below) and wait for us to send the instructions.
Contact us by teste@email.com
As a proof, you can send one encrypted file so we will send it back decrypted. Use it as a guarantee that we can decrypt your files.
--- Next Russian Rollette file deletion:
5 hours, 47 minutes and 59 seconds
--- Time until total loss:
3 days, 23 hours, 47 minutes and 59 seconds


Перевод на русский:
Все ваши файлы были зашифрованы.
Все ваши файлы были зашифрованы!
Все документы (базы данных, тексты, изображения, видео, музыка и пр.) зашифрованы. Это сделано с секретным ключом, хранимым на нашем сервере.
Для дешифровки файлов вам нужно купить у нас секретный ключ. Мы единственные на Земле, кто может это сделать.
Заметьте, каждые 6 часов будет удаляться 1 случайный файл. Торопитесь, чтобы не потерять их.
Через 96 часов ключ будет удален окончательно и восстановить файлы будет невозможно.
Что я могу сделать?
Напишите нам на email, указав свой ID (ниже) и ждите от нас инструкции.
Контакт по teste@email.com
На пробу пришлите 1 зашифрованный файл, мы вернем его дешифрованным. Это гарантия возможности дешифровки файлов.
--- Русская рулетка удалит файл через:
5 часов, 47 минут и 59 секунд
--- Время до полной потери:
3 дня, 23 часа, 47 минут и 59 секунд

Список файловых расширений, подвергающихся шифрованию:   .001, .001, .3fr, .7z, .accdb, .ai, .aiml, .ani, .apk, .arch00, .arw, .asset, .au3, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .cas, .cdr, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbfv, .dcr, .der, .desc, .dmg,  .dmp, .dng, .doc, .docx, .docm, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .hkdb, .hplg, .html, .hvpl, .ibank, .ico, .indd, .itl, .itdb, .icxs, .itm, .iwd, .iwi, .jpg, .jpeg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf,  .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt .orf, .p12, .p7b, .p7c, .pak, .pas, .pc, .pdd, .psd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .ppt, .pptx, .pptm, .ppsx, .pps, .ps, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .hkx, .rtf, .rw2, .rwl,  .sav, .sb, .sc2save, .sidn, .sidd, .sie, .sis, .sid, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t13, .t12, .tax, .tor, .txt, .unity3d,.upk, .vdf, .vfs0, .vpk, .vpp, .vtf, .w3x, .wav, .wma, .wmv, .wb2, .wmo, .wotreplay, .wpd, .wps,.x3f, .xf, .xlk, .xlsb, .xlsm, .xls, .xlsx, .xml, .skp, .xxx, .zip, .ztmp (211 расширений).


Технические детали

  Stampado распространяется главным образом в Дарквебе: продается всего за $39 (~2500 рублей). Благодаря такой относительно низкой среди киберкриминала цене (другие стоят от нескольких сотен до тысяч долларов, например, Locky продавался за $3000, а Goliath за $2100), приобрести его могут немало желающих стать вымогателем. Покупка обеспечивает пожизненную лицензию. Стартовая цена выкупа 1BTC, покупатель может её изменитьНизкая цена вымогателя говорит о малоопытности злоумышленников, которые только набирают очки. Источник информации


  Разработчики загрузили видеоролик для демонстрации возможностей по шифрованию и дешифрованию. 

  Вредонос использует расширения exe, bat, dll, scr, cmd. для доставки на ПК и установки в системе. По желанию можно также использовать биндеры, пакеры и криптеры, чтобы упростить или осложнить доставку. На момент данной публикации использование Stampado в мошеннических кампаниях ещё не было обнаружено. 

Позже в записках о выкупе были замечены адреса вымогателей: 
paytodecrypt@sigaint.org
ransom64@sigaint.org
clesline212@openmailbox.org
getfiles@tutanota.com
successl@qip.ru

Детект на один из файлов на VirusTotal >>
Описание в Symantec: Ransom.Stampado >>
Описание в энциклопедии TrendMicro >>

Файлы, связанные со Stampado Ransomware: 
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\scvhost.exe

Записи реестра, связанные со Stampado Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update %UserProfile%\AppData\Roaming\scvhost.exe

Степень распространённости: средняя
Подробные сведения собираются. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 9 сентября 2016: 
Отдельный проект вымогателей. 

Обновление от 19 сентября 2016 г. 
- новая версия Stampado v1.18;
- улучшен алгоритм шифрования файлов;
- увеличено число целевых расширений файлов;
- была попытка защититься от декриптора Emsisoft; 
- старые клиенты получат обновление бесплатно (ЛС с подробностями заказа);
- новые покупатели получат сразу обновленную версию Stampado Ransomware. 

 
 С выходом этой версии разработчики Stampado обновили список расширений. В новой версии они добавили в список ещё больше целевых расширений, включив также те расширения, которые добавляют другие криптовымогатели к зашифрованным ими файлам. Среди них такие: 
 .aaa, .axx, .bin, .breaking_bad, .btc, .ccc, .cerber, .coverton, .crjoker, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .crypz, .ecc, .enciphered, .encrypt, .encrypted, .enigma, .exx, .ezz, .fun, .ha3, .lechiffre, .legion, .locky, .lol!, .magic, .micro, .odcodc, .payms, .r5a, .rdm, .rokku, .surprise, .wflx, .windows10, .xxx, .xyz, .zcrypt, .zepto, .zyklon, .zzz и другие. 

Всего более 70 расширений от других вымогателей, см. полный список на скриншоте ниже. Более того, чтобы нанести жертвам наибольший вред, в новый список расширений добавлены файлы бэкапов всех известных расширений программ резервного копирования. 



Обновление от 28 декабря 2016:
Пост в Твиттере >>
Файлы: <random>.exe, AVG_Protection_Free_1606.exe, fulvklp.bat
Фальш-имя: AVG_5Years_Antivirus_Activated_2017
---

Внимание!!!
Для зашифрованных файлов есть 2 дешифровщика:

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *