Locky-Asasin

Locky-Asasin Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.25 BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что угодно. По факту это новая итерация Locky. См. видео-обзор Locky-Asasin Ransomware по ссылке.

This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: Locky >> Locky-Asasin

К зашифрованным файлам добавляется расширение .asasin

С использованием расширения .asasin зашифрованные и переименованные файлы будут иметь "шестиэтажное" название и называться примерно так: 
755JU7CW-GNSP-FP00-918CB723-CF1B62832172.asasin
755JU7CW-GNSP-FP00-8646FA43-9BB033FB05E5.asasin
5DYGW691-P3PQ-SH8E-9B9400BA-2947DBA41C00.asasin
5DYGW691-P3PQ-SH8E-76198F85-4049D69A0548.asasin

Разложим на составляющие названия файл 755JU7CW-GNSP-FP00-918CB723-CF1B62832172.asasin

755JU7CW — первые восемь 16-ричных символов от ID 755JU7CWGNSPFP00
GNSP — другие четыре 16-ричных символов от ID 755JU7CWGNSPFP00
FP00 — другие четыре 16-ричных символов от ID 755JU7CWGNSPFP00
918CB723 — восемь 16-ричных символов, входящих в переименованное название файла
CF1B62832172 — двенадцать 16-ричных символов, входящих в переименованное название. 

Шаблон можно записать так:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[8_hexadecimal_chars]-[12_hexadecimal_chars].asasin
короче
[first_8_hex_chars_id]-[next_4_hex_chars_id]-[next_4_hex_chars_id]-[8_hex_chars]-[12_hex_chars].asasin
ещё короче
[8_hex_chars_id]-[4_hex_chars_id]-[4_hex_chars_id]-[8_hex_chars]-[12_hex_chars].asasin
в цифрах
8-4-4-8-12

Пример зашифрованных файлов и записка о выкупе

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Страна распространения: Испания. 

Записки с требованием выкупа называются: 
asasin.htm
asasin-<random{4}>.htm или в шаблоне asasin-<[a-z][0-9]{4}>
примеры: asasin-4364.htm, asasin-d158.htm

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
4. Follow the instructions on the site.
!!! Your personal identification ID: 755JU7CWGNSPFP00 !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Более подробную информацию о RSA и AES можно найти здесь:
хххх://en.wikipedia.org/wiki/RSA_ (криптосистема)
хххх://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Torбраузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
4. Следуйте инструкциям на сайте.
!!! Ваш персональный ID: 755JU7CWGNSPFP00 !!!

Записка с требования выкупа дублируется скринлоком, встающим обоями рабочего стола. Это файл asasin.bmp. 

После перехода по ссылка на Tor-сайт вымогателей пострадавший узнает о сумме, которую ему нужно выплатить, например, в данном случае это 0.25 BTC.

Скриншот сайта Locky Decryptor с требованиями

Содержание аналогично предыдущим, например, см. Locky-Ykcol Ransomware.

Технические детали

Распространяется через email-спам, письма которых имеют тему "Document invoice_95649_sign_and_return.pdf is complete" и как вложение 7z-архив invoice_95649_sign_and_return.7z. В нём находится VBS-файл, который при выполнении загружает исполняемый файл Locky с удаленного сайта и выполняет его. 

 

В VBS-файле содержатся один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Locky-Asasin в папку %Temp%, а затем запустит его, чтобы шифровать файлы. 

Название темы может быть и другим, например, просто "Invoice" с датой, буквенно-цифровой архив или записан как-то иначе. 

Примечательно, что распространители этих спам-писем в этой вредоносной кампании неправильно добавляют вложения, что приводит к тому, что получатели эти вложения не увидят, кроме части текста в base64, как показано на изображении ниже. Более того, снова для вложений используются 7z-архивы, которые большинство людей не смогут открыть. 

Спам-письмо с неправильным вложением

Возможно, что не все письма такие "неправильные" и не факт, что вся вредоносная кампания именно такая. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, ботнетов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Как стало известно позже, ботнет Necurs распространяет небольшой загрузчик Necurs, который затем устанавливает Locky Ransomware. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe или XFfiJK.exe
asasin.htm
asasin-4364.htm
invoice_86790_sign_and_return.7z {VBS} - вредоносное вложение к письму.
asasin.bmp

Расположения:
%TEMP%\XFfiJK.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://g46mbrrzpfszonuk.onion/***
g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
g46mbrrzpfszonuk.onion/5DYGW691P3PQSH8E
86.109.170.20:80 (Испания)
xxxx://shahanabiomedicals.com/iugftrs2***
xxxx://deltasec.net/iugftrs2***
xxxx://deltasec.net/images/***
xxxx://nsaflow.info/p66/iugftrs2***
xxxx://www.iesvalledelsegura.es/web2/***
BTC: 1EKiMyqWaqhfaZkGRvqjMdoXtZnUkGmSHd
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 октября 2017:
Пост в Твиттере >>
На файле написано: DriverMaker
Файл: Driver.exe
Tor: g46mbrrzpfszonuk.onion/***
Результаты анализов: HA+VT 
Связанные хосты: Украина, Германия
<< Скриншот записки
Результаты анализов ещё: HA+VT
Связанные хосты: Германия, Испания, Китай, США, Россия и другие

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Locky)
 Write-up, Topic of Support
🎥  Video review

 Thanks: 
 GrujaRS, Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private