Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 26 ноября 2017 г.

StorageCrypter

StorageCrypter Ransomware

SambaCry Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English


Этот крипто-вымогатель шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах с помощью AES/RSA, а затем требует выкуп от 0.2-0.4 BTC до 2 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: WinGame и WinGame.exe. Разработчик: zoom technology.

Атаке подвержены ЛЮБЫЕ компьютеры, Linux-устройства и Android-устройства, подключаемые к компьютерам и сетевым устройствам, используемые для выхода в Интернет. 

© Генеалогия: EternalMiner > SHELLBIND + Ransomware > StorageCrypter > Cr1ptT0r, MegaLocker

К зашифрованным файлам добавляется расширение .locked


Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


⛳ Внимание!!! Данное название StorageCrypter дал этому крипто-вымогателю автор этого блога и раньше всех составил здесь его первое описание. Так информация вошла в поисковые системы. Её прочитали сотни тысяч людей (в блоге, в Твиттере, на форумах). Так StorageCrypter стал идентифицироваться в сервисе ID-Ransomware
Потом зачем-то другие люди переиначили его в StorageCrypt, и в таком виде веб-СМИ перепечатали искажённое название, выдавая за своё или ссылаясь на какой-то другой источник, не указавший ссылку на эту статью. 
Более того, легитимное ПО StorageCrypt разрабатывается и поддерживается много лет компанией Magiclab для защитного шифрования дисков, потому использование в СМИ этого названия неправомерно. 


Записка с требованием выкупа называется: _READ_ME_FOR_DECRYPT.txt

Содержание записки о выкупе:
Warning
    Your documents,photos,databases,important files have been encrypted by RSA-4096 and AES-256!
    If you modify any file, it may cause make you cannot decrypt!!!
    You have to pay for decryption in bitcoin
    Before paying you can send to us up to 2 files for free decryption
    and it can also prove that we have ability to decrypt.
    Please note that files must NOT contain valuable information
    and their total size must be less than 2Mb

    How to decrypt your files  ?

        To decrypt your files,please following the steps below
        1,Pay 0.4 bitcoin  to this address: 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq
            Pay To : 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq
            Amount : 0.4
        2,After you have finished paying,Contact us and Send us your Decrypt-ID via email
        3,Once we have confimed your deal,You can use the tool we sent to you to decrypt all your files.

    How to obtain bitcoin ?

        The easiest way to buy bitcoin is LocalBitcoins site.
        You have to register, click Buy bitcoins  and select the seller
        by payment method and price
        https://localbitcoins.com/buy_bitcoins
        https://paxful.com/buy-bitcoin
        http://bitcointalk.org/
    If you have any questions please do not hesitate to contact us
Contact Email    :    JeanRenoAParis@protonmail.com
Decrypt-ID        :
    CDwQ5HyOC0s+EM*****

Перевод записки на русский язык:
Предупреждение
    Ваши документы, фотографии, базы данных, важные файлы были зашифрованы RSA-4096 и AES-256!
    Если вы измените какой-то файл, это может привести к тому, что вы не сможете расшифровать !!!
    Вы должны заплатить за дешифрование в биткоинах
    Перед оплатой вы можете отправить нам до 2 файлов для бесплатного дешифрования
    и это также может доказать, что мы можем расшифровать.
    Обратите внимание, что файлы НЕ должны содержать ценную информацию
    и их общий размер должен быть меньше 2 Мб

    Как расшифровать ваши файлы?

        Чтобы расшифровать ваши файлы, выполните следующие действия:
        1, заплатите 0,4 биткоина по этому адресу: 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq
            Платите на: 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq
            Сумма: 0.4
        2, После того, как вы заплатили, свяжитесь с нами и отправьте нам ваш Decrypt-ID по email
        3. Как только мы подтвердим ваш платеж, вы сможете использовать инструмент, который мы отправим вам, чтобы дешифровать все ваши файлы.

    Как получить биткоины?

        Самый простой способ купить биткоины - сайт LocalBitcoins.
        Вам надо зарегистрироваться, нажать Buy bitcoins и выбрать продавца
        по способу оплаты и цене
        https://localbitcoins.com/buy_bitcoins
        https://paxful.com/buy-bitcoin
        http://bitcointalk.org/
    Если у вас есть какие-то вопросы, не стесняйтесь обращаться к нам
Контактный Email    :    JeanRenoAParis@protonmail.com
Decrypt-ID        :
    CDwQ5HyOC0s+EM*****




Технические детали


Большинство атак StorageCrypter Ransomware нацелено на устройства сетевого хранения (NAS), некоторые из которых поставляются с сервером Samba для обеспечения совместимости при совместном использования файлов между различными операционными системами. Использует уязвимость SambaCry. 


SambaCry - это уязвимость Linux Samba, позволяющая злоумышленнику открыть командную оболочку, которую можно использовать для загрузки файлов и выполнения команд на уязвимом устройстве. Текущий метод заражения устройств NAS с помощью StorageCrypter, по-видимому, аналогичен варианту Elf_Shellbind (SHELLBIND), который  ранее использовался для распространения майнеров.

Как защититься? 

Разработчики Samba регулярно устраняют уязвимости. Нужно срочно установить все выпущенные патчи, если ранее это не было сделано. Официальная страница с патчами и описаниями каждой уязвимости. 

Вполне возможно, что может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
_READ_ME_FOR_DECRYPT.txt
<random>.exe
美女与野兽.exe
SMSS.EXE
REDIR.EXE
DOSX.EXE
<random>.dll
dntboot.bin
scs1.tmp
scs2.tmp
Autorun.inf
<random>.so
sambacry - предполагаемая связь с уязвимостью SambaCry
minerd32 - троян-майнер CoinMiner

Расположения:
C:\WINDOWS\TEMP\scs1.tmp
C:\WINDOWS\TEMP\scs2.tmp
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: JeanRenoAParis@protonmail.com
BTC: 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq

18QXmwbV1DCyTmqc2bScYKG4NLJMANt98X
URL: xxxx://45.76.102.45/sambacry
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ sambacry >>
VirusTotal анализ SO-файла >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




Почему это стало возможным?

  Киберкриминал использует специальные поисковые системы (Shodan и пр.) и инструменты (Nmap и пр.), которые в автоматическом режиме сканируют Интернет в поисках открытых сетевых портов, расшаренных и потенциально уязвимых сетевых ресурсов. Так, малопримечательный StorageCrypter распространяется через Интернет с помощью уязвимости в протоколе SMB, атакуя ПК пользователей через 139 и 445 открытые сетевые порты.

Чтобы надёжно защитить свои данные от StorageCrypter и его будущих последователей прочтите 5 простых советов по настройке NAS.

- Отключите в настройках NAS онлайн-доступ к файлам, оставьте доступ только из локальной сети. 
- Отключите в настройках NAS уязвимый протокол SMB, это есть в руководстве пользователя NAS.
- Регулярно обновляйте прошивку NAS, это позволит исправить уязвимости и обновить устройство.
- Закройте сетевые порты 139 и 445 с внешней стороны вашего домашнего роутера (маршрутизатора). 
- Установите на каждом домашнем сетевом устройстве надёжную современную защиту от вредоносов.  


Будьте в Безопасности!



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


По предположению специалистов для атаки в NAS используется уязвимость SambaCry. При этом файл sambacry загружается в папку /tmp и распаковывается, сохраняется как apaceha, а затем запускается. SambaCry позволяет злоумышленникам выполнять shell-команды и затем запускать шифровальщик. 


Я не могу гарантировать публикацию всех реальных вариантов этого Ransomware.
Я не могу гарантировать полной достоверности всех обновлений этого Ransomware

Обновление от 11 сентября 2018:
Топик на форуме >>
Расширение: .lock или .locked
Шифрует данные в NAS-хранилищах. 
Email: Leviathan13@protonmail.com
Записка: read_me_for_recover_your_files.txt
➤ Содержание записки (полный вариант): 
All your important files on this device have been encrypted.
No one can decrypt your files except us.
If you want to recover all your files. contact us via E-mail.
DON'T forget to send us your ID!!!
To recover your files,You have to pay 0.8 bitcoin.
Contact Email :  Leviathan13@protonmail.com
Your ID :
HOpwRNL4lAWz7eeb5/G5LsEMqAj*** - 0x200 bytes in base64
Free decryption as guarantee
If you can afford the specified amount of bitcoin,
you can send to us up to 2 files for demonstration.
Please note that files must NOT contain valuable information
and their total size must be less than 2Mb.

*| Мы не уверены в 100% родстве этого вымогательства с описанным в основной статье. Но он также шифрует данные в NAS (Network Attached Storage) - сетевых (облачных) хранилищах данных. По этому признаку они точно "родня". 

Обновление от 12 февраля 2019:
Пост на форуме >>
Расширение: .lock или .locked
Email: gentilpascal@bitmessage.ch
Записка: read_me_for_recover_your_files.txt
➤ Содержание записки:
All your important files on this device have been encrypted.
No one can decrypt your files except us.
If you want to recover all your files. contact us via E-mail.
DON'T forget to send us your ID!!!
To recover your files,You have to pay 0.55 bitcoin.
Contact Email : gentilpascal@bitmessage.ch
Your ID :
FVdDHR5/QbCeXVvSC0LuMCUG*****
Free decryption as guarantee
If you can afford the specified amount of bitcoin,
you can send to us up to 2 files for demonstration. 
Please note that files must NOT contain valuable information
and their total size must be less than 2Mb.






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (iD as StorageCrypter)
 Write-up, Topic of Support
 * 
Added later:
Write-up about SambaCry, added November 6, 2017
Критическая уязвимость SambaCry: как защититься 
StorageCrypt ransomware, a coinminer and more
 Thanks: 
 (victims in the topics of support)
 Michael Gillespie
 Andrew Ivanov
 Lawrence Abrams
 Bart

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *