среда, 28 июня 2017 г.

Nemucod-AES

Nemucod-AES Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей (первые 2 Кб файла) с помощью AES-128 (режим ECB) + RSA-2048, а затем требует выкуп в ~0,11-~0,13 BTC, чтобы вернуть файлы. Оригинальное название Nemucod xxx. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Nemucod > Nemucod-AES

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
Decrypt.txt
Decrypt.hta

Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола. Или это файл HTA. Содержание текста видимо аналогичное. 
Nemucod-AES

Содержание записки о выкупе:
ATTENTION!
All your documents, photos, databases and other important personal files were  encrypted using a combination of strong RSA-2048 and AES-128 algorithms.
The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here:
xxxxs://blockchain.info/wallet/new
2. Buy 0.11471 bitcoins here:
https://localbitcoins.com/buy_bitcoins
3. Send 0.11471 bitcoins to this address:
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Open one of the following links in your browser:
xxxx://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Download and run decryptor to restore your files.
You can find this instruction in "DECRYPT" file on your desktop.

Перевод записки на русский язык:
ВНИМАНИЕ!
Все ваши документы, фото, базы данных и другие важные личные файлы были зашифрованы с сочетания сильных алгоритмов RSA-2048 и AES-128.
Единственный способ восстановить ваши файлы - купить декриптор. Пожалуйста, выполните следующие действия:
1. Создайте свой биткойн-кошелек здесь:
xxxxs://blockchain.info/wallet/new
2. Купите 0.11471 биткойна здесь:
https://localbitcoins.com/buy_bitcoins
3. Отправьте 0.11471 биткойна по этому адресу:
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Откройте в браузере одну из следующих ссылок:
хххх://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Загрузите и запустите декриптор для восстановления ваших файлов.
Вы можете найти эту инструкцию в файле "DECRYPT" на своем рабочем столе.


Другой вариант записки о выкупе:
ATTENTION!
All your documents, photos, databases and other important personal files were encrypted
using a combination of strong RSA-2048 and AES-128 algorithms.
The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here: 
xxxxs://blockchain.info/wallet/new
2. Buy 0.13066 bitcoins here: 
xxxxs://localbitcoins.com/buy_bitcoins
3. Send 0.13066 bitcoins to this address: 
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Open one of the following links in your browser: 
xxxx://luxe-limo.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://musaler.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://vinoteka28.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://www.agrimixxshop.com/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://sharedocsrl.it/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
Download and run decryptor to restore your files. 
You can find this instruction in "DECRYPT" file on your desktop.

Этот вариант записки различается лишь деталями (сумма выкупа, адреса и пр.). 


Технические детали

Как и предыдущие версии Nemucod-семейства новый Nemucod-AES шифрует только первые 2 Кб каждого целевого файла. Однако, в отличие от своих предшественников, Nemucod-AES использует шифрование AES со случайным образом созданным 128-битным ключом для каждого файла. 

Зашифрованные данные, а также имя файла и ключи AES, зашифрованные RSA, затем сохраняются в файле базы данных (с раширением .db) внутри каталога %TEMP%. Затем Nemucod-AES перезаписывает исходные первые 2 Кб файла случайными данными.

Поскольку зашифрованные данные хранятся не в файлах, а в отдельном файле базы данных, то этот файл необходим для процесса дешифрования.

Затем Nemucod-AES удаляет все теневые копии файлов и создаёт заметку о выкупе DECRYPT.hta на рабочем столе, потребовав от жертвы выкуп $300 в биткоинах, чтобы вернуть свои файлы.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (JS, EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .als, .arc, .arj, .asc, .asf, .asm, .asp, .aup, .avi, .backup, .bak, .bas, .bat, .blend, .bmp, .brd, .bz, .bz2, .bza, .bzip, .bzip2, .c, .cad, .cdr, .cgm, .class, .cmd, .cpp, .cpr, .cpt, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dsk, .dwg, .eps, .fb2, .fla, .flv, .frm, .gif, .gpg, .gz, .gzip, .h, .hwp, .ibd, .ice, .img, .indd, .iso, .jar, .java, .jpeg, .jpg, .js, .kdb, .kdbx, .key, .lay, .lay6, .ldf, .lwo, .lws, .m3u, .m4u, .m4v, .max, .mb, .mdb, .mdf, .mid, .midi, .mkv, .mml, .mov, .mp3, .mp4, .mpe, .mpeg, .mpg, .mpp, .ms11, .ms11, .myd, .myi, .nef, .npr, .odb, .odg, .odm, .odp, .ods, .odt, .ogg, .onenotec2, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .pgp, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pub, .py, .qcow2, .r00, .r01, .r02, .r03, .rar, .raw, .rb, .rm, .rtf, .scad, .sch, .sh, .skp, .sldasm, .slddrw, .sldm, .sldprt, .sldx, .slk, .sql, .sqlite3, .sqlitedb, .ssh, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .tsv, .txt, .u3d, .uop, .uot, .vb, .vbproj, .vbs, .vcproj, .vdi, .veg, .vhd, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wk1, .wks, .wma, .wmf, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (222 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключения из шифрования:
\winnt, \boot, \system, \windows, \tmp, \temp, \program,\appdata, \application, \roaming, \msoffice, \temporary, \cache, recycler

Файлы, связанные с этим Ransomware:
UPS-Delivery-005156577.doc.js
UPS-Receipt-4424638.doc.js
Decrypt.txt
Decrypt.hta
<random>.doc
<random>.exe
Cab<random>.tmp
Tar<random>.tmp

Расположения:
\Desktop\Decrypt.txt
%TEMP%\<random>.doc
%TEMP%\<random>.exe
%TEMP%\Cab<random>.tmp
%TEMP%\Tar<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://elita5.md/counter/***
xxxx://artdecorfashion.com/counter/***
xxxx://goldwingclub.ru/counter/***
xxxx://perdasbasalti.it/counter/***
xxxx://natiwa.com/counter/***
xxxx://luxe-limo.ru/counter/***
xxxx://musaler.ru/counter/***
xxxx://vinoteka28.ru/counter/***

xxxx://www.agrimixxshop.com/counter/***
elita5.md (217.26.160.15 Молдова)
goldwingclub.ru (62.109.17.210  Россия)
amis-spb.ru (77.222.61.227  Россия)
и другие (см. гибридный анализ)
BTC: 1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Nemucod-AES)
 Write-up (July 12th, 2017), Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Emsisoft Lab
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *