пятница, 15 июля 2016 г.

Stampado Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Зашифрованные файлы получают расширение .locked

Срок уплаты выкупа — 96 часов. Иначе каждые 6 часов будет удаляться по одному случайным образом выбранному зашифрованному файлу. Вымогатели предлагают для связи email-адрес, на него надо прислать 1 зашифрованный файл, который они могут расшифровать в качестве гарантии, а затем прислать пользователю инструкции по оплате. 

Stampado написан на языке сценариев AutoIT и, по мнению специалистов, так коряво, что говорит о малоопытности разработчиков-вымогателей. 


Remove Stampado Decrypt Stampado Decode Restore files Recovery data Удалить Stampado Дешифровать Расшифровать Восстановить файлы

Этимология названия от итальянского "stampa do" - "напечатать, сделать печать", а также "надавить". Последнее значение в вымогательстве ближе к истине. 

Запиской о выкупе выступает экран блокировки "Your files have been encrypted by Stampado". 

Содержание на английском:
All your files have been encrypted.
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc) were encrypted The encryption was done using a secret key that is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
Note that every 6 hours, a random file is permanently deleted The faster you are. the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
What can I do?
Contact us by email telling your ID (below) and wait for us to send the instructions.
Contact us by teste@email.com
As a proof, you can send one encrypted file so we will send it back decrypted. Use it as a guarantee that we can decrypt your files.
--- Next Russian Rollette file deletion:
5 hours, 47 minutes and 59 seconds
--- Time until total loss:
3 days, 23 hours, 47 minutes and 59 seconds


Перевод на русский:
Все ваши файлы были зашифрованы.
Все ваши файлы были зашифрованы!
Все документы (базы данных, тексты, изображения, видео, музыка и пр.) зашифрованы. Это сделано с секретным ключом, хранимым на нашем сервере.
Для дешифровки файлов вам нужно купить у нас секретный ключ. Мы единственные на Земле, кто может это сделать.
Заметьте, каждые 6 часов будет удаляться 1 случайный файл. Торопитесь, чтобы не потерять их.
Через 96 часов ключ будет удален окончательно и восстановить файлы будет невозможно.
Что я могу сделать?
Напишите нам на email, указав свой ID (ниже) и ждите от нас инструкции.
Контакт по teste@email.com
На пробу пришлите 1 зашифрованный файл, мы вернем его дешифрованным. Это гарантия возможности дешифровки файлов.
--- Русская рулетка удалит файл через:
5 часов, 47 минут и 59 секунд
--- Время до полной потери:
3 дня, 23 часа, 47 минут и 59 секунд

Список файловых расширений, подвергающихся шифрованию:   .001, .001, .3fr, .7z, .accdb, .ai, .aiml, .ani, .apk, .arch00, .arw, .asset, .au3, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .cas, .cdr, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbfv, .dcr, .der, .desc, .dmg,  .dmp, .dng, .doc, .docx, .docm, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .hkdb, .hplg, .html, .hvpl, .ibank, .ico, .indd, .itl, .itdb, .icxs, .itm, .iwd, .iwi, .jpg, .jpeg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf,  .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt .orf, .p12, .p7b, .p7c, .pak, .pas, .pc, .pdd, .psd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .ppt, .pptx, .pptm, .ppsx, .pps, .ps, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .hkx, .rtf, .rw2, .rwl,  .sav, .sb, .sc2save, .sidn, .sidd, .sie, .sis, .sid, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t13, .t12, .tax, .tor, .txt, .unity3d,.upk, .vdf, .vfs0, .vpk, .vpp, .vtf, .w3x, .wav, .wma, .wmv, .wb2, .wmo, .wotreplay, .wpd, .wps,.x3f, .xf, .xlk, .xlsb, .xlsm, .xls, .xlsx, .xml, .skp, .xxx, .zip, .ztmp (211 расширений).

  Распространяется главным образом в Дарквебе: продается всего за $39 (~2500 рублей). Благодаря такой относительно низкой среди киберкриминала цене (другие стоят от нескольких сотен до тысяч долларов, например, Locky продавался за $3000, а Goliath за $2100), приобрести его может немало народу. Покупка обеспечит пожизненную лицензию. Стартовая цена выкупа 1BTC, покупатель может её изменитьНизкая цена вымогателя говорит о малоопытности злоумышленников, которые только набирают очки. Источник информации

  Разработчики загрузили видеоролик для демонстрации возможностей по шифрованию и дешифрованию. 

  Вредонос использует расширения exe, bat, dll, scr, cmd. для доставки на ПК и установки в системе. По желанию можно также использовать биндеры, пакеры и криптеры, чтобы упростить или осложнить доставку. На момент данной публикации использование Stampado в мошеннических кампаниях ещё не было обнаружено. 

Позже в записках о выкупе были замечены адреса вымогателей: 
paytodecrypt@sigaint.org
ransom64@sigaint.org
clesline212@openmailbox.org
getfiles@tutanota.com
successl@qip.ru

Детект на один из файлов на VirusTotal >>
Описание в Symantec: Ransom.Stampado >>
Описание в энциклопедии TrendMicro >>

Файлы, связанные со Stampado Ransomware: 
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\scvhost.exe

Записи реестра, связанные со Stampado Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update %UserProfile%\AppData\Roaming\scvhost.exe

Степень распространённости: низкая. 
Подробные сведения собираются. 



Обновление от 19 сентября 2016 г. 
- новая версия Stampado v1.18;
- улучшен алгоритм шифрования файлов;
- увеличено число целевых расширений файлов;
- была попытка защититься от декриптора Emsisoft; 
- старые клиенты получат обновление бесплатно (ЛС с подробностями заказа);
- новые покупатели получат сразу обновленную версию Stampado Ransomware. 
  С выходом этой версии дэвы Stampado пустились, как говорится, во все тяжкие. В новой версии они добавили в список ещё больше целевых расширений, включив также те расширения, которые добавляют другие криптовымогатели к зашифрованным ими файлам. Среди них такие: 
 .aaa, .axx, .bin, .breaking_bad, .btc, .ccc, .cerber, .coverton, .crjoker, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .crypz, .ecc, .enciphered, .encrypt, .encrypted, .enigma, .exx, .ezz, .fun, .ha3, .lechiffre, .legion, .locky, .lol!, .magic, .micro, .odcodc, .payms, .r5a, .rdm, .rokku, .surprise, .wflx, .windows10, .xxx, .xyz, .zcrypt, .zepto, .zyklon, .zzz и другие. 
Всего более 70 расширений от других вымогателей, см. полный список на скриншоте ниже. Более того, чтобы нанести жертвам наибольший вред, в новый список расширений добавлены файлы бэкапов всех известных расширений программ резервного копирования. 


Обновление от 28 декабря 2016:
Пост в Твиттере >>
Файлы: <random>.exe, AVG_Protection_Free_1606.exe, fulvklp.bat
Фальш-имя: AVG_5Years_Antivirus_Activated_2017



Внимание!!! 
Для зашифрованных файлов есть декриптер.
Скачать декриптер для Stampado

После выхода каждой новой версии Stampado декриптор оперативно обновляется Фабианом Восаром!!! 

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *