среда, 1 ноября 2017 г.

Halloware

Halloware Ransomware
 🎃 THE HALLOWEEN VIRUS

(шифровальщик-вымогатель или фейк-шифровальщик)


Этот крипто-вымогатель шифрует (или пишет, что шифрует) данные пользователей с помощью AES-256, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Halloware. На файле может быть написано, что угодно. Разработчик: tn cyber squard. В новой версии: Luc1F3R. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  🎃 THE HALLOWEEN VIRUS

К зашифрованным файлам добавляется слово в скобках (Lucifer)

Активность этого крипто-вымогателя пришлась на первую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовая записка с требованием выкупа не оставляется. 

Запиской с требованием выкупа выступает onion-сайт, на котором используется "жуткое изображение" из набора обоев (creepy-christmas-wallpaper). 
Изображение "creepy-christmas-wallpaper"

Более ранний вариант Halloware со словом Unencrpyt в конце


Требования выкупа на Tor-сайте со словом decrypt в конце


Содержание записки о выкупе (два варианта):
Your Data Have Been Encrpyted
If You Need Your Data Back You Need To
Pay Us 150 Dollar bitcoin
btc address = 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
for help contact us Launch browser and go to the link (create email in TOR network): torbox3uiot6wchz.onion Write on email: tncybersquard@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data

***
Your Data Have Been Encrpyted
If You Need Your Data Back You Need To
Pay Us 150 Dollar bitcoin
for help contact us Launch browser and go to the link (create email in TOR network): torbox3uiot6wchz.onion Write on email: tncybersquard@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can decrypt Your Data


Перевод записки на русский язык (грамота сохранена):
Ваши данные были зашифированы
Если вам нужны ваши данные назад, вам нужно
Заплатить нам 150 долларов
btc address = 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
для помощи свяжитесь с нами Запустите браузер и перейдите по ссылке (создайте email в сети TOR): torbox3uiot6wchz.onion Напишите на email: tncybersquard@torbox3uiot6wchz.onion
Ваши данные безопасны, когда вы платите нам. Мы дадим вам ключ, и вы можете расшифровать ваши данные



Технические детали

Был продемонстрирован в частном порядке. После доработки может начать распространяться любым из следующих способов: путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asp, .aspx, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .html, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa,  .mpeg, .mpg, .msg, .odt, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sln, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (131 расширение без дублей). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Halloware.exe
<random>.exe

Видеопрезентация Halloware.exe - 🎃The Halloween Virus:
ссылка на ролик от 31 октября 2017 >>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://b6tnq5nrhxu6tqeu.onion
xxxx://b6tnq5nrhxu6tqeu.onion.rip
xxxx://zinrm67igbdcdy5h.onion
xxxx://zinrm67igbdcdy5h.onion.rip
Email: tncybersquard@torbox3uiot6wchz.onion
BTC: 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 2 декабря 2017:
Файлы: hmavpncreck.exe, bill.exe, hma_vpn_crecked.exe
Результаты анализов: VT + VT
Когда этот образец Halloware шифрует файлы с использованием жёстко закодированного ключа AES-256, то добавляет слово (Lucifer) к зашифрованным файлам. Например, после шифрования файл image.png станет (Lucifer)image.png
Примеры зашифрованный файлов от BC

По окончании шифрования Halloware выдаёт окно, показывающее жуткого клоуна с сообщением о выкупе, ссылкой на сайт оплаты и заменяет обои рабочего стола аналогичным сообщением. Эта версия Halloware также не оставляет текстовые записки о выкупе.

 Скриншоты этой версии Halloware из статьи на сайте BC


Часть скриншота с продающего сайта (адрес скрыт)

Версия Halloware с реализованным шифрованием продаётся в Даркнете за 40 долларов. Всё, что нужно сделать покупателю, это заменить два изображения и добавить свой сайт с помощью настраиваемой формы для URL-адреса сайта.
---

Обновление от 3 декабря 2017:
Пост в Твиттере >>
Email не менялся: tncybersquard@torbox3uiot6wchz.onion
Halloware переместил сайт продажи на новый Tor-адрес, получил редизайн страницы  и добавил немного жуткой музыки.

Обновление от 3 декабря 2018: 
Файлы: bill.exe, Bill_Details.docx.exe
URL: lucifer9706.5gbfree.com (209.90.88.135:80 США)
xxxx://lucifer9706.5gbfree.com/hma_vpn_crecked.exe***
xxxx://maxclassic.5gbfree.com/fu/negud.exe***
xxxx://newew.whatisthis988.5gbfree.com/new.zip***
xxxx://paypalload.5gbfree.com/***
xxxx://bankofamerlca.ga/***
Результаты анализов: HA

Обновление от 27 декабря 2017:
Пост в Твиттере >>
Tor-URL: xxxp://j3t2jilixktibqof.onion
Email: blackpanda007@torbox3uiot6wchz.onion
Содержание текста: 
Your Data Have Been Encrpyted. 
If You Need Your Data Back You Need To 
Pay Us $300 Dollar
Contect: torbox3uiot6wchz.onion create a account here and email us blackpanda007@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data
Скриншот с onion-сайта. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Halloware)
 Write-up, Topic of Support
 *
 Added later:
Write-up on BC
*
 Thanks: 
 Roland Dela Paz‏
 dev halloware
 Catalin Cimpanu 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton