NMoreira 2.0

NMoreira 2.0 Ransomware

HakunaMatata Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует связаться с вымогателями посредством системы Bitmessage, чтобы вернуть файлы. Первоначально получил название HakunaMatata от добавляемого расширения, но потом оказалось, что это новая версия NMoreira. Одно другому не мешает. 

© Генеалогия: NMoreia > NMoreira 2.0 > R (NM3) > NM4

К зашифрованным файлам добавляются расширения 
.HakunaMatata

Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
Recovers files yako.html

Содержание записки о выкупе:
Encrypted files!
All your files are encrypted.Using AES256-bit encryption and RSA-2048-bit encryption.
Making it impossible to recover files without the correct private key.
If you are interested in getting is the key and recover your files
You should proceed with the following steps.
-
To get in touch you should use the Bitmessage system,
You can download the Bitmessage software at https://bitmessage.org/
After installation you should send a message to the address
Bitmsg: BM-2cWcp***

If you prefer you can send your Bitmenssages from a web browser
Through the webpage https://bitmsg.me this is certainly the most practical method!
Below is a tutorial on how to send bitmessage via web browser: https://bitmsg.me/

1 B° Open in your browser the link
https://bitmsg.me/users/sign_up
Make the registration by entering name email and password.
2 B° You must confirm the registration, return to your email and follow the instructions that were sent.
3 B° Return to site sign in
https://bitmsg.me/users/sign_in
4 B° Click the Create Random address button.
5 B° Click the New massage button
6 B° Sending message

To: Enter address: BM-2cWcp***
Subject: Enter your key: afe299***
Menssage: Describe what you think necessary
Click the Send message button.
Your message will be received and answered as soon as possible!.
Send message to: BM-2cWcp***
 Your Key: afe299***

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы. Использованы AES256-бит шифрование и RSA-2048-бит шифрование.
Это делает невозможным восстановление файлов без правильного секретного ключа.
Если вы заинтересованы в получении ключа и восстановлении файлов
Вы должны сделать следующие шаги.
-
Для контакта вы должны использовать систему Bitmessage,
Вы можете загрузить программу Bitmessage на xxxxs://bitmessage.org/
После установки вы должны отправить сообщение по адресу
Bitmsg: BM-2cWcp ***

При желании вы можете отправить битмессагу из веб-браузера
Через веб-страницу xxxxs://bitmsg.me это самый практичный метод!
Ниже есть учебник о том, как отправить битмессагу через веб-браузер: xxxxs://bitmsg.me/

1) Открыть в браузере по ссылке
xxxxs://bitmsg.me/users/sign_up
Сделать регистрацию, введя email и пароль.
2) Вы должны подтвердить регистрацию, вернуться к вашему email и следовать пришедшим инструкциям.
3) Вернуться к регистрации сайта в
xxxxs://bitmsg.me/users/sign_in
4) Нажать кнопку "Create Random address".
5) Нажать кнопку "New massage"
6) Отправить сообщениt

Кому: Ввести адрес: BM-2cWcp***
Тема: Ввести ключ: afe299***
Menssage: Написать, что вы считаете нужным
Нажать кнопку Send message.
Ваше сообщение будет получено и ответ будет как можно скорее!
Отправить сообщение для: BM-2cWcp ***
Ваш ключ: afe299 ***

Текст-обращение в коде:
"Hi debugger dude, asm is very cool to understand is not it? I used to crack lots of softwares with Ollydbg but lately I don't have time to do it. Good disassembling man or woman lol. Fwosar you are the man, I am inspired by dudes who understand what they do. Your bruteforcing tool was amazing, I am really impressed :). I was so stupid to use SHA1, the limited set of characters for the AES password and not setting up the IV correctly... Lesson to be learned: This polite idiot here really needs to stop using the predicable and insecure srand, RTLGenRandom all the way stupid me. This still idiot person hope you can break this too, I'm not being sarcastic, you're really inspiring. Hugs, NMoreira Core Dev. Btw, can anyone in this world guess what NMoreira really means?" (Indicator: "ollydbg")

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Проверяет наличие известных отладчиков и инструментов анализа. 
Создаёт множество процессов, чтобы скрыть свою деятельность. 
Удаляет теневые копии файлов с помощью команд:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Delete Shadows /All /Quiet

Завершает работу процессов: 
fb_inet_server.exe
pg_ctl.exe
sqlservr.exe

Завершает работу и отключает запуск на старте системы следующих служб: 
MSExchangeAB, MSExchangeAntispamUpdate, MSExchangeEdgeSync, MSExchangeFDS, MSExchangeFBA, MSExchangeImap4, MSExchangeIS, MSExchangeMailSubmission, MSExchangeMailboxAssistants, MSExchangeMailboxReplication, MSExchangeMonitoring, MSExchangePop3, MSExchangeProtectedServiceHost, MSExchangeRepl, MSExchangeRPC, MSExchangeSearch, wsbexchange, MSExchangeServiceHost, MSExchangeSA, MSExchangeThrottling, MSExchangeTransport, MSExchangeTransportLogSearc, MSExchangeADTopology...
BACKP, Exchange, Firebird, FirebirdServerDefaultInstance
MSSQL, MSSQL$SQLEXPRESS, MSSQLSERVER
SBS, SQL, SharePoint
post, postgresql, postgresql-9.0, tomcat, wsbex, wsbexchange

Используя wevtutil вредонос очищает следующие журналы: 
Setup
System
Security
Application

Список файловых расширений, подвергающихся шифрованию:
Это точно расширения .bmp, .cab, .doc, .jpg, .mp3, .pdf, .png, .xml ...

Скорее всего, целями являются документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Из шифрования исключаются следующие расширения: 
.bat, .dll, .exe, .ini, .lnk, .msi, .scf

Из шифрования исключаются папки, которые содержат следующие строки: 
AVAST Software
AVG
AVIRA
Atheros
CONFIG.SYS
ESET
HakunaMatata
IO.SYS
MSDOS.SYS
NTDETECT.COM
Realtek
Recovers files yako.html
Recovers your files.html
TeamViewer
Chrome
Firefox
Opera
Windows
boot
bootmgr
java
ntldr

Файлы, связанные с этим Ransomware:
Recovers files yako.html
<random>.exe
<random>.tmp
crypter_191_.exe
net1.exe
wevtutil.exe

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Timon and Pumbaa" = "<threat_name> supermetroidrules"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://gcc.gnu.org/bugs.html
BM-2cWcpA29bwGPNsyLXLDpYpxbzGsXlIvheYZ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Team XRat Ransomware - август 2016 
NMoreira Ransomware - ноябрь 2016
NMoreira 2.0 Ransomware - январь 2017
R (NMoreira3) Ransomware - март 2017
NM4 (NMoreira4) Ransomware - апрель 2017

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NMoreira 2.0)
 Write-up (n/a)

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Jakub Kroustek, GrujaRS
 Alex Svirid, Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.