понедельник, 31 октября 2016 г.

Ishtar

Ishtar Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует связаться с вымогателями по email, чтобы вернуть файлы. В среднем сумма выкупа, по сообщениям пострадавших, составляет 15 тысяч рублей. Название получил от используемого вымогателем слова ISHTAR. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется приставка ISHTAR- . Таким образом файл image.jpg после шифрования станет файлом ISHTAR-image.jpg

Первая активность этого криптовымогателя пришлась на конец октября 2016 г., но продолжается на протяжении ноября. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает ему атаковать и иноязычных пользователей. 

Записка с требованием выкупа написана сразу на двух языках (русском и английском) и называется: README-ISHTAR.txt

Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. 
If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.

Содержание записки о выкупе:
 ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ youneedmail@protonmail.com
 ЛИБО НА
 BM-NBYR3ctSgr67iciT43rRNmHdHPAYBBK7 ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/

 БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
 > Стандартный порядок шифрования: AES 256 + RSA 2048.
 > Для каждого файла создается уникальный AES ключ.
 > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
 -----
 TO DECRYPT YOUR FILES PLEASE WRITE TO youneedmail@protonmail.com
 OR TO
 BM-NBYR3ctSgr67iciT43rRNmHdHPAYBBK7 USING BITMESSAGE DESKTOP OR https://bitmsg.me/

 BASIC TECHNICAL DETAILS:
 > Standart encryption routine: AES 256 + RSA 2048. 
 > Every AES key is unique per file.
 > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).

Распространяется с помощью email-спама и вредоносных вложений, в том числе под видом документов MS Office с макросами, фальшивых обновлений, перепакованных и заражённых инсталляторов.
Ishtar Ransomware заставляет пользователя "исправить" документ

После шифрования теневые копии файлов удаляются командой:
cmd.exe /c vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .accdb, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpeg, .jpg, .kdb, .kdc, .layout, .lbf, .lrf, .ltx, .lvl, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mddata, .mdf, .mef, .menu, .mlx, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .qdf, .qic, .r3d, .raf, .rar, .raw, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sid, .sidn, .sie, .sis, .slm, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb,.t12, .t13, .tax, .tor, .txt, .upk, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (168 расщирений).

Файлы, связанные с Ishtar Ransomware:
%User_name%/AppData/Roaming/winishtar.exe - исполняемый файл шифровальщика
ishtar_ransomware.exe - исполняемый файл шифровальщика (23-24 ноября)
%User_name%/AppData/Roaming/<ransom_name>.exe - копия исполняемого файла
%User_name%/AppData/Roaming/<ransom_name>.tmp
%APPDATA%\<random>.exe - копия исполняемого файла
%APPDATA%\<random>.tmp
C:\README-ISHTAR.txt - записка о выкупе
%AppData%\Roaming\README-ISHTAR.txt - копия записки о выкупе
C:\ISHTAR.DATA - уникальный файл-ключ для ПК с Windows 7 и выше
%AppData%\ISHTAR.DATA - тот же уникальный файл-ключ для ПК с Windows 7 и выше
%AppData%\Roaming\ISHTAR.DATA - копия уникального ключа для ПК с Windows 7 и выше
C:\Documents and Settings\<USER>\Application Data\ISHTAR.DATA - файл-ключ для ПК с Windows XP
%USERPROFILE%\Desktop\Ishtar_ransomware.docx
%APPDATA%\Microsoft\Templates\~$Normal.dotm
Anketa sotrudnikov pretend na povushenie.exe - пример вредоносного вложения
Счет_отправлено_контрагенту_22_11.exe - пример вредоносного вложения

Записи реестра, связанные с Ishtar Ransomware:
См. ниже гибридный анализ. 

Сетевые подключения и связи:
хттп://5.189.156.184/files_rec/gate_rec.php
хттпs://bitly.com (67.199.248.11:80) (США)
www.google.ru (216.58.210.3) (США)
хттп://46.45.138.138/pw/gate.php (Турция) - 23-24 ноября

Результаты анализов:
Гибридный анализ >> 
Гибридный анализ от 23-24 ноября >>
VirusTotal анализ >>
VirusTotal анализ ещё >>
VirusTotal анализ от 24 ноября >>
Гибридный анализ от 15 декабря >>
VirusTotal анализ от 15 декабря >>

Обновление от 2 февраля:
Email: youneedmail@bitmai.la
Записка: 
# TO DECRYPT YOUR FILES PLEASE WRITE TO youneedmail@bitmai.la
# OR TO
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV 

USING BITMESSAGE DESKTOP OR https://bitmsg.me/ 
Злоумышленники не отвечают пострадавшим. 


Обновление от 27 февраля 2017:

Email: youneedhelp@mail2tor.com

Степень распространённости: высокая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Topic of Support
 *
 Thanks: 
 Michael Gillespie
 Jakub Kroustek
 mike 1 (за список расширений)
 

© Amigo-A (Andrew Ivanov): All blog articles.

45 комментариев:

  1. Характерный признак - наличие файла winishtar.exe в %username%/AppData/Local/Roaming

    ОтветитьУдалить
  2. Там я чуть ошибся вчера, верный путь C:\Users\%username%\AppData\Roaming\

    ОтветитьУдалить
  3. В итоге ключа-дешифровщика пока нет?

    ОтветитьУдалить
  4. Я попался. Сами "гады" просят 15000, посредники 30000. Dr. WEB сказали сложный, нужно много времени. Так, что не знаю, когда станет возможно всё восстановить?

    ОтветитьУдалить
  5. Пока нет дешифровщика, надо сложить все зашифрованные файлы в отдельную папку. Систему лучше переустановить. Установить комплексный антивирусный продукт вроде Norton Internet Security. Ключ можно получить здесь: http://club-symantec.ru/

    ОтветитьУдалить
  6. Есть дешифровщик купленный, но там в комплекте ключ на каждую сессию, подозреваю что шифровщик приватную часть ключа отправляет злоумышленникам.

    ОтветитьУдалить
    Ответы
    1. А за сколько покупали? И как все прошло, дешифровщик рабочий, все ок?
      Просто есть опасение заплатить денег и не получить ничего :(

      Удалить
    2. $300, биткоинами, конечно же.
      Рабочий, ага, даже лог действий показывает.

      Удалить
  7. Тоже попались на эту гадость. Подскажите, где можно отслеживать создание расшифровщика?
    Есть сроки создания расшифровщика?
    Очень не хочется платить пиратам.

    ОтветитьУдалить
    Ответы
    1. Создание дешифровщика можно отслежить ЗДЕСЬ.

      Удалить
    2. Ссылки нет, приложите, пожалуйста.

      Удалить
    3. Здесь, это в этой статье. Я всегда публикую ссылку на дешифровщик, когда он появляется.

      Удалить
  8. А чего ждать? Я попросил создать тему поддержки пострадавших от действия крипто-вымогателя Ishtar на форуме BleepingComputer. Всем пострадавшим нужно обратиться вот в этот топик: http://www.bleepingcomputer.com/forums/t/633083/ishtar-ransomware-help-and-support-topic/
    Как можно скорее. Специалистам нужны будут зашифрованные и незашифрованные копии нескольких ваших файлов и файлы вредоноса, которые можно найти по указанным в этой статье выше путям.
    Загружайте эти файлы на https://www.sendspace.com/
    и обязательно сюда http://www.bleepingcomputer.com/submit-malware.php?channel=168
    Пишите в тему хоть на английском, хоть на русском, хоть через гугле-переводчик.
    Тем более, что уже появилась новая версия этого вымогателя.
    Смелее! И Быстрее!

    ОтветитьУдалить
    Ответы
    1. А как там на русский переключить?

      Удалить
    2. Там нет переключателя. В гугле-переводчике написать текст и перевести на английский. Вставить в тему готовый текст. Ссылка на этот топик там уже есть.
      https://translate.google.ru/?hl=ru

      Удалить
    3. ребята, я пытаюсь сюда написать сообщение: http://www.bleepingcomputer.com/forums/t/633083/ishtar-ransomware-help-and-support-topic/, а мне выходит:

      You are not allowed to use that image extension on this community.

      как быть? как добавить пост?

      Удалить
    4. Этот комментарий был удален автором.

      Удалить
    5. А пользователь "bluntschi" со ссылкой это ваш пост? Вроде же пост опубликован. Возможно при добавлении изображений действует ограничение. Вы вставьте сообщение на radikal.ru или файл на http://rgho.st/ а потом туда ссылку. Или используйте сайт www.sendspace.com если он у вас открывается. У меня не отрывается.

      Удалить
  9. С наступившими! Новостей нет?

    ОтветитьУдалить
  10. Спасибо за инфо. Скажите, надежды на создание дешифратора откровенно нет, так? Или все-таки можно надеяться, пусть и в отсроченном времени? И еще: есть ли достоверные сведения (кроме коммента выше) по случаям оплаты мошенникам, действительно ли они высылают рабочий ключ после оплаты? Пропал очень дорогой мне фотоархив...

    ОтветитьУдалить
    Ответы
    1. Надежда есть. Ранее тоже все думали, что никогда не дешифруют CrySiS, Cerber или Shade-Troldesh или ряд других "монстров". Но ведь дешифровали! У меня тоже был архивчик с ценными файлами. Часть я просто удалил, другие оставил и надо же - через полгода, даже больше - ЛК выпустили декриптор, который расшифровал файлы, зашифрованные первыми двкмя версиями Shade. Да так удачно, что я пожалел, что удалил свои файлы. В самом заголовке есть еще одна рекомендация - не помешает в любом случае.

      Удалить
    2. Периодически открываю Вашу статью и комментарии к ней. Жаль, что нет новостей, и спасибо за все ответы!
      Продолжение моей истории: через месяц после переписки о стоимости расшифровки, в феврале, приходит письмо с другого адреса. В нем сообщается, что почта, указанная в readme, заблокирована, проект закрывается, до конца недели расшифровка вчетверо дешевле. Обнаружила это сообщение только сейчас (мой ящик создан был конкретно под эту переписку и почти не посещался), готова платить, но увы, на мое письмо уже сутки нет ответа и видимо и не будет. Возможно, вторая почта тоже уже нерабочая.
      На форуме Клуба Касперского модератор (ник тот же, что и на bleepingcomputer, видимо, это один и тот же человек), отвечает, что вернуть файлы нет ни единого шанса. То есть, если я правильно понимаю, работа над этим и не будет вестись.

      Удалить
    3. Marina, если модератор с ником thyrex, то мы сотрудничаем. За таким шифровальщиком, как Ishtar, стоит "теневая сторона" с хорошей финансовой и программной поддержкой. Нам, простым хелперам, их не одолеть. Вымогательские проекты через какое-то время закрываются, чтобы их было труднее отловить, но как я и говорил выше, нередко, их взламывают или перепродают базу ключей дешифрования. Недавно, благодаря подобному Его Величеству Случаю, обломали другой, ранее безнадежный шифровальщик Dharma. Кто-то выложил большую часть ключей, на их основе сразу три антивирусные компании, включая Лабораторию Касперского, выпустили дешифратор. Я предлагаю воспользоваться инструментом CryptoSearch, чтобы избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch.
      Моё подробное описание на русском языке:
      http://anti-ransomware.blogspot.ru/2017/03/cryptosearch.html

      Удалить
  11. Сведения из комментариев я не могу проверить. Их могут оставлять кто-то угодно, даже заинтересованные в оплате. Я не могу их отредактировать - только удалить, если подобный факт подтвердится.

    ОтветитьУдалить
  12. Есть информация, ктото работает над расшифровкой ishtar? Может есть примерные сроки создания расшифровщика?

    ОтветитьУдалить
    Ответы
    1. См. выше мою запись от 25 ноября 2016 г., 9:32

      Удалить
  13. Добрый день. Зашифровало у меня все фотки семейные за несколько лет наснятые.Есть ли надежда вернуть всё ?

    ОтветитьУдалить
    Ответы
    1. Константин, ответил вам на почту.

      Удалить
    2. Почему на почту, а не в группу? Многим думаю важно.

      Удалить
    3. Благодарю. Заявление написано,но думаю толку мало. остальное не дало результатов.

      Удалить
    4. djkjiby
      В числе прочего я предлагал Константину воспользоваться инструментом CryptoSearch.
      С его помощью можно избавить себя от рутины сохранения зашифрованных файлов, доверив этот процесс утилите CryptoSearch.
      Подробное описание на русском языке:
      http://anti-ransomware.blogspot.ru/2017/03/cryptosearch.html

      Удалить
  14. Есть ли способ восстановить файлы? Ответьте на почту плиз.

    ОтветитьУдалить
    Ответы
    1. Я не вижу ваш email. Потому отвечаю здесь. Надежда есть. Раньше тоже все думали, что никогда не дешифруют CrySiS, Cerber или Shade-Troldesh или ряд других "монстров". Но ведь дешифровали!

      Удалить
  15. здравствуйте. подкинули мне тут файлы, имя и расширение не меняется. создаётся записка, адрес почты sp02@protonmail.com
    при этом в папке пользователя создаётся файл с именем cl_data_#.bak
    вместо # адрес биткоин кошелька для оплаты. кто-нибудь знает, что это за зверь?

    ОтветитьУдалить
    Ответы
    1. Егор, нам нужно увидеть эту записку, чтобы ознакомиться с её содержимым и файлы, что создаются. Закачайте их на бесплатный хостинг http://rgho.st/ и дайте ссылку. Или пришлите нам на почту, указана в разделе Add info.

      Удалить
    2. Егор, судя только по названию записки, это один из PClock3 или PClock4. См. их статьи-ссылки по алфавиту в "Список" https://id-ransomware.blogspot.ru/2016/07/ransomware-list.html
      Странно, загруженные файлы не качаются. Продублируйте на почту из раздела "Add info".

      Удалить
    3. http://www.fayloobmennik.net/6961966
      отсюда вроде качается.

      Удалить
    4. Да, по всей видимости, это PClock3 или PClock4. Универсальных декриптеров пока нет.

      Удалить
    5. ясно. ждём ответ от техподдержки касперского, dr.web отфутболил уже. в индивидуальном порядке иногда расшифровывают.

      Удалить

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *