Если вы не видите здесь изображений, то используйте VPN.

вторник, 28 апреля 2015 г.

Crypt0L0cker

Crypt0L0cker Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует данные с помощью AES-256, а затем требует 2 биткоина за расшифровку. Не путайте его с CryptoLocker, т.к. у нового крипто-вымогателя буквы "o" в названии заменены нулями. Это название дано самими разработчиками-вымогателями. 

К зашифрованным файлам добавляется расширение .encrypted
С августа 2016 использовалось новое расширение .enc

  Специалисты считают Crypt0L0cker обновленной версией более раннего вымогателя TorrentLocker. Впервые замечен в конце апреля 2015 в странах Европы, Азии и в Австралии. 

© Генеалогия: TorrentLocker > Crypt0L0cker 

  Crypt0L0cker прописывается в автозагрузку, запрещает браузеру Internet Explorer использование антифишингового фильтра, создает папки и файлы со случайными именами в системных и программных директориях. Теневые копии файлов удаляются, повреждаются или инфицируются. 

Записки о выкупе называются:
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTIONS.TXT

HTML-вариант записки о выкупе 

TXT-вариант записки о выкупе

Crypt0L0cker распространяется по email, как уведомление от австралийской федеральной полиции (AFP) за нарушения ПДД и превышения скорости. 


Первоначально был ориентирован на Австралию и сопредельные страны Азии, но на деле атакует практически все страны, кроме США. Компьютеры, использующие IP-адрес США пока не инфицируются. C&C-сервера находятся в зоне .RU, но в данный момент эти домены свободны и не делегированы.

Список файловых расширений, НЕ подвергающихся шифрованию:
.avi, .bat, .bmp, .chm, .cmd, .dll, .exe, .gif, .html, .ico, .inf, .ini, .lnk, .log, .manifest, .mp3, .msi, .png, .scr, .sys, .tmp, .txt, .url, .wav (24 расширения). 

Сетевые подключения и связи:
tidisow.ru (62.173.145.212)
lepodick.ru (62.173.145.212)


Степень распространённости: высокая
Подробные сведения собираются.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 августа 2016
Новая спам-кампания по распространению Crypt0L0cker использует email-спам, приходящий якобы от итальянской энергетической компании Enel. Письма содержат вложения под названием ENEL_BOLLETA.zip, в котором находится JS- файл ENEL_BOLLETA.js


Если этот файл будет запущен на выполнение, то он загрузит исполняемый файл TorrentLocker, сохранит его в папке %Temp% и запустит. После выполнения, он будет шифровать файлы пользователя и добавлять к ним расширение .enc. Затем будет создана со случайным именем записка с требованием выкупа, содержащая инструкции о том, как получить доступ к платежному сайту Crypt0L0cker. Ориентирован на итальяноязычных пользователей. 
Детект на VirusTotal >>



HTML-вариант записки о выкупе (август 2016)

Содержание записки на итальянском: 
ATTENZIONE
abbiamo criptato vostri file con il virus Crypt0L0cker
I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L'unico modo per ripristinare i file è quello di pagare noi. In caso contrario, i file verranno persi.
Attenzione: La rimozione di Crypt0L0cker non ripristinare l'accesso ai file crittografati.
Per recuperare i file si deve pagare
Al fine di ripristinare i file aperti nostro sito http://vrvmpoqs5ra34nfo.torvievv.pl/tutu6a.php7*** e seguire le istruzioni.
Se il sito non è disponibile si prega di attenersi alla seguente procedura:
1. Scaricare e installare TOR-browser da questo link: https://www.torproject.org/download/dovvnload-easv.html.en
2. Dopo l'installazione eseguire il browser e digitare l'indirizzo: http://vrympoqs5ra34nfo.onion/tutu6a.php? user_code***
3. Seguire le istruzioni sul sito.

Перевод на русский:

ВНИМАНИЕ!
Мы зашифровали файлы вирусом Crypt0L0cker
Ваши важные файлы (также файлы на сетевых дисках, USB и т.д.): фото, видео, документы и пр. зашифрованы с помощью нашего вируса Crypt0L0cker.
Единственный способ вернуть файлы, это платить нам. Иначе файлы будут потеряны.
Знайте: Удаление Crypt0L0cker не вернёт доступ к зашифрованным файлам.
Как мне вернуть файлы, которые нужно оплатить
Для восстановления файлов, откройте наш веб-сайт http://vrvmpoqs5ra34nfo.torvievv.pl/tutu6a.php7*** и следуйте инструкции.
Если сайт недоступен, пожалуйста, выполните следующие действия:
1. Скачайте и установите TOR-браузер по этой ссылке: https://www.torproject.org/download/dovvnload-easv.html.en
2. После установки, запустите браузер и введите адрес: http://vrympoqs5ra34nfo.onion/tutu6a.php? user_code ***
3. Следуйте инструкциям на сайте.


Обновление от 21 сентября 2018:
Расширение: .encrypted
URL: xxxx://2ymh2gnnbg6pgq2r.tigercity.pl
Tor- URL: xxxx://gdzll7bykhnvtajj.onion
Записка: COMMENT_RESTAURER_DES_FICHIERS.txt
COMMENT_RESTAURER_DES_FICHIERS.html



➤ Содержание текстовой записки: 

==================================================================
            !!! WE HAVE ENCRYPTED YOUR FILES WITH Crypt0L0cker !!!
==================================================================
Your important files (including those on the network disks, USB, etc): photos,
videos, documents, etc. were encrypted with our Crypt0L0cker. The only way to
get your files back is to pay us. Otherwise, your files will be lost.
You have to pay us if you want to recover your files.
In order to restore the files open our website
http://2ymh2gnnbg6pgq2r.tigercity.pl/vcrriq.php?user_code=zs4zr&user_pass=4117
and follow the instructions.
If the website is not available please follow these steps:
1. Download and run TOR- browser from this link: https://www.torproject.org/download/download-easy.html.en
2. After installation run the browser and enter the address: http://gdzll7bykhnvtajj.onion/vcrriq.php?user_code=zs4zr&user_pass=4117
3. Follow the instructions on the website.
==================================================================

Обновление от 23 мая 2019:
Пост в Твиттере >>
Расширение: .encrypted
Записка: wichtige information zum wiederherstellen der daten.htm
Результаты анализов: VT
URL: xxxx://sslv3.at/ - редирект на https://www.youtube.com/watch?v=ApfohIra5LA&feature=youtu.be

URL картинки: xxxx://sslv3.at/cryptolocker/bg.jpg
URL записки: http://sslv3.at/cryptolocker/msg.htm



 Содержание записки (на немецком языке):
WARNUNG
Wir verschlüsseln Ihre Dateien mit Crypt0L0cker Virus
Ihre wichtigen Dateien (einschließlich der an den Netzwerk-Festplatten, USB, etc.): Fotos, Videos, Dokumente, etc. wurden mit Crypt0L0cker Virus verschlüsselt. Der einzige Weg, um Ihre Dateien wiederherzustellen, ist an uns zu zahlen. Andernfalls wird Ihre Dateien verloren gehen. 
Vorsicht: Entfernen von Crypt0L0cker nicht wiederherstellen Zugriff auf Ihre verschlüsselten Dateien.
Zum Wiederherstellen von Dateien müssen Sie bezahlen.
Um die Dateien zu öffnen unsere Website http://anbqjdoyw6wkmpeu.tormidle.at/isu7lz7.php?user_code=gyddh0&user_pass=###key### und folgen Sie den Anweisungen wiederherzustellen.
Wenn die Website nicht verfügbar ist, folgen Sie bitte diesen Schritten:
1. Herunterladen und TOR- Browser von diesem Link installieren: https://www.torproject.org/download/download-easy.html.en
2. Nach der Installation der Browser ausgeführt wird und die Adresse eingeben: http://banbqjdoyw6wkmpeu.onion/isu7lz7.php? user_code=gyddh0&user_pass=###key###
3. Folgen Sie den Anweisungen auf der Website.


Обновление от 27 мая 2019:
Пост на форуме >>
Расширение: .encrypted
Записка (на турецком языке): SIFRE_COZME_TALIMATI.txt


➤ Содержание записки: 
==========================================================================

     !!! Tüm dosyalarınız Crypt0L0cker virüs tarafından şifrelenmiştir !!!
==========================================================================
Bilgisayarınızda, Ağ sürücü ve USB bellek üzerinde olan Sizin için önemli
dosyalarınız: fotoğraflar, videolar ve kişisel bilgiler Crypt0L0cker virüsü
ile sonsuza şifrelenmiştir. Eğer dosyalarınız geri almak istiyorsanız - Bizim
şifreleme çözme yazılımı satın almanız tek olan yoludur. İnternet´te çözüm
bulmak için boşuna zaman harcamayın - şifreleme çözme yazılımı satın alın ve
mutlu bir hayat yaşamaya devam edin.
Yazılım Nasıl Satın Alınır.
Yazılım sitemizden satın alabilirsiniz:
http://de2nuvwegoo32oqv.toradmin.li/y544n0d.php?user_code=2p3ri9&user_pass=6313
Web sitemiz çalışmıyorsa Antivirus tarafından kapatılmış olabilir. Aşağıdaki
adımları yaparak sitemize girebilirsiniz.
1. TOR tarayıcı bilgisayarınıza yükleyin: https://www.torproject.org/download/download-easy.html.en
2. TOR tarayıcı çalıştırın ve başlatma için bekleyin
3. Adres çubuğuna bu site adresi yazın: http://de2nuvwegoo32oqv.onion/y544n0d.php?user_code=2p3ri9&user_pass=6313
4. Web sitemize girin
==========================================================================






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Файлы, зашифрованные некоторыми вариантами TorrentLocker, могут быть дешифрованы! 
Компания Dr.Web расшифрует после атаки TorrentLocker, Crypt0L0cker и др.
Что нужно сделать, чтобы дешифровать файлы? 
- составить запрос на пробную дешифровку (бесплатно) - на русском или на 
английском языках.
- приложить к запросу записку о выкупе и несколько зашифрованных файлов (doc, docx, jpg, png, pdf);
- терпеливо подождать несколько дней, пока вам не сообщат о результате в вашем тикете. 
 Read to links: 
 Message
 ID Ransomware (ID as Crypt0L0cker)
 Topic of Support, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 8 апреля 2015 г.

Kriptovor

Kriptovor Ransomware

(шифровальщик-вымогатель)

Translation into English


  Этот крипто-вымогатель шифрует данные с помощью AES-шифрования, а затем требует написать на email-адрес вымогателей, чтобы узнать стоимость декриптора. 

© Генеалогия: Rakhni > Rakhni Family > Kriptovor > Neitrino 

Изображение только логотип статьи

К зашифрованным файлам добавляется расширение .Just

Впервые Kriptovor был обнаружен в 2014 году. 

  Данные шифруются на всех локальных и подключенных сетевых дисках. После шифрования удаляются теневые копии файлов. 

  Записка о выкупе называется MESSAGE.txt и оставляется в каждой папке с зашифрованными файлами, на Рабочем столе и в папках Автозагрузки. 


  Говорящее название происходит от слов "крипто" и "вор" и говорит о краже данных. Первоначально Kriptovor и был похитителем паролей, но потом получил дополнительный вымогательский функционал. 

  Kriptovor обнаруживает выполнение в виртуальной среде или отсутствие подключения к Интернету, после чего прерывает шифрование до "лучших" времен. В "лучшее" время устанавливает на ПК фальшивый сертификат и загружает специальный файл с атрибутом "скрытый" — защищенный паролем RAR-архив. Для заражения используется содержащийся в этом архиве файл AdobeSystems.exe. Кроме поиска целевых типов файлов Kriptovor выполняет поиск строк в этих файлах, которые содержат информацию для входа в систему или пароль. Такие файлы помечаются и информация из них собирается до процесса шифрования. Для шифрования файлов используется LockBox 3. 

  Целями вымогателя в основном являются российские предприятия или международные компании, занимающиеся бизнесом в России. 

  Главная особенность, которая отличает Kriptovor от других вымогателей, заключается в том, что Kriptovor может удалить себя независимо от того, была ли успешной задача кражи данных и получения выкупа или нет. Эта особенность делает Kriptovor трудно обнаруживаемым.

Распространяется через email-вложения, которые могут называться примерно так "Резюме на вакантную должность". 
Адреса отправителей постоянно меняются. В ранее собранный список входят:
y.volkova@i-jazz.ru
kirova.l@mutualizm.ru
kirova.ls@orangedv.tmweb.ru
kirova-l@wibor5.ru
abramova.l@wibor5.ru
abramova@sabona.ru
l_abramova@festivalps.ru
l_abramova@wibor5.ru

При неосторожном открытии вложения с названием типа "488ba9382c9ee260bbca1ef03e843981" жертва видит документ Word, предлагающий: "Дважды щелкните, чтобы открыть резюме в Adobe Reader". 


Если жертва и тут бездумно щелкает, то действительно открывается PDF-документ, содержащий резюме девушек, якобы претенденток на вакантную должность, но при этом в систему тайно устанавливается похититель паролей KRIPTOVOR.Infostealer и поддельный сертификат. 



Подробности см. в блоге FireEye.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .accdc, .adp, .afp, .bfa, .bpk, .bsk, .cdr, .cer, .cf, .cfn, .crt, .csr, .dbc, .dbf, .dbt, .dbx, .der, .djvu, .doc, .docm, .docx, .dt, .dwf, .dwg, .dws, .dxe, .dxl, .ebd, .edb, .efb, .efn, .egg, .emd, .eml, .enc, .epf, .eql, .erf, .fb, .fb2, .fc2, .fcz, .fg, .fp3, .htm, .html, .jbc, .jif, .jiff, .jpe, .jpeg, .jpf, .jpg, .just, .kdb, .kdbx, .key, .ldf, .lgp, .md, .mdb, .mdf, .mht, .mxl, .oab, .ost, .p7, .p7b, .p7c, .pab, .pcx, .pdf, .pem, .pfx, .ply, .png, .pov, .ppsx, .ppt, .pptx, .prefab, .psb, .psd, .pst, .rar, .raw, .rev, .rtf, .rzk, .rzx, .sec, .sef, .sgn, .shy, .snk, .sql, .sqlite, .sqlite3, .sqlitedb, .stl, .tbb, .tbn, .tif, .tiff, .txt, .xcf, .xls, .xlsm, .xlsx, .xof, .zip, .zipx (115 расширений).

Степень распространённости: средняя
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 4 марта 2015 г.

BandarChor, Rakhni 2015

BandarChor Ransomware

Rakhni 2015 Ransomware

(шифровальщик-вымогатель)

Translation into English


  Этот крипто-вымогатель шифрует файлы с помощью AES-256. Известен с ноября 2014. Другое название: Rakhni (रखनी в переводе с хинди - "медведь"). Исследован F-Security в марте 2015 г. Последнее распространение в марте-апреле 2016 г. 

 © Генеалогия: Rakhni > Rakhni Family > BandarChor > Paycrypt 

  К зашифрованным файлам добавляется расширение, создаваемое по шаблону: 
.id-[ID]_[email_address]
Например, .id-4361716884_europay@india.com

Таким образом, зашифрованный файл будет выглядеть так: 
[original_file_name].id-[random-10-digit-number]_europay@india.com

  Вместо текстовой записки о выкупе используется графическое изображение fud.bmp (или bytor.bmp или др.), встающее обоями рабочего стола. Время от времени меняется только email вымогателей. 

Содержание текста на изображении: 
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!
To get the decoder and the original key, you need to write to us at the e-mail fud@india.com with the subject "encryption" stating your id.
Write on the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
fudx@lycos.com

Перевод на русский: 
Внимание! Ваш компьютер атакован вирусом-шифровальщиком.
Все ваши файлы были зашифрованы, без оригинального ключа вернуть невозможно!
Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на fud@india.com с темой "encryption" и указать ваш ID.
Пишите по делу, не тратьте свое и наше время на пустые угрозы.
Письма от неадекватных людей будут игнорироваться.
fudx@lycos.com

Адреса email в других вариантах записок: 
fud@lycos.com и fudx@lycos.com
fud@india.com
decode@india.com
decrypt@india.com
europay@india.com
info@cryptedfiles.biz и salutem@protonmail.com
bingo@opensourcemail.org
doctor@freelinuxmail.org
johndoe@weekendwarrior55.com
sos@encryption.guru
av666@weekendwarrior55.com
email_info@cryptedfiles.biz
email1_info@cryptedfiles.biz
milarepa.lotos@aol.com
и другие...


Технические детали

Список файловых расширение, подвергающихся шифрованию в версии с fud.bmp
.001, .113, .1cd, .3gp, .73b, .a3d, .abf, .abk, .accdb, .ace, .arj, .as4, .asm, .asvx, .ate, .avi, .bac, .bak, .bck, .bkf , .bup, .bvd, .cdr, .cer, .cng, .cpt, .cryptra, .csv, .db3, .dbf, .dco, .doc, .docx, .dwg, .enx, .erf, .fbf, .fbk, .fbw, .fbx, .fdb, .fdp, .gbk, .gho, .gzip, .iv2i, .jac, .jbc, .jpeg, .jpg , .kbb, .key, .keystore, .ldf, .m2v, .m3d, .max, .mdb, .mkv, .mov, .mpeg , .nba, .nbd, .nrw, .nx1, .odb, .odc, .odp, .ods, .odt, .old, .orf, .p12, .pdf, .pef, .pkey, .ppsx, .ppt, .pptm, .pptx, .pst, .ptx, .pwm, .pz3, .qic, .r3d, .rar, .raw, .rtf, .rwl, .rx2, .rzx , .safe, .sbs , .sde, .sgz, .sldasm, .sldprt, .sle, .sme, .sn1, .sna, .spf, .sr2, .srf, .srw, .tbl, .tib, .tis, .txt, .vhd, .wab, .wallet, .wbb, .wbcat, .win, .wps, .x3f, .xls, .xlsb, .xlsk, .xlsm, .xlsx, .zip (124 расширения). 

Этот список от 2015 года уже дополнен расширениями, определёнными в новой версии вымогателя в начале марта 2016. 

Список файловых расширение, подвергающихся шифрованию в версии с bytor.bmp: 
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx  (67 расширений). По данным Symantec

➤ Запустившись в системе, BandarChor сканирует все папки, за исключением: 
Windows
Program Files
Program Files (x86)
ProgramData
System Volume Information
Temp

➤ BandarChor не трогает файлы, которые больше 30 мегабайт. Шифрует до 30000 байтов заголовка каждого файла и сохраняет количество шифрованных байт в первые 4 байта (добавляет перезаписываемые байты в конец файла). Когда все файлы заблокированы, устанавливает изображение fud.bmp в качестве обоев рабочего стола с вымогательским текстом. Затем вредонос удаляет себя.

➤ BandarChor (Rakhni) использует TurboPower LockBox 3 (криптографическая библиотека с открытым кодом, написанная на Delphi). 

➤ Распространяется с помощью email-спама и вредоносных вложений, а ссылки могут вести на зараженный сайт, содержащий эксплойты на веб-страницах или вредоносную рекламу. Письма приходят якобы от PayPal, Amazon, eBay и Facebook, а их содержание ссылается на изменения в политике конфиденциальности, возвраты и недавно сделанные покупки. Файлы во вложении имеют двойное расширение. Вложение упаковано UPX, после вскрытия содержит исполняемый файл написан в Delphi. Восстановление зашифрованных файлов невозможно без ключа, который хранится на сервере злоумышленников и не сохраняется на диск.

➤ Запустившись в системе добавляет себя в папку автозагрузки Windows. Затем он генерирует случайную последовательность из 10 цифр для  ID компьютера и формирует строку запроса из него, имени компьютера, фиксированного номера, и суффикса, содержащего ID и email-адрес автора вредоносной программы. 
Например: number=31&id=4361716884&pc=FOOBAR&tail=.id-4361716884_europay@india.com

Дальнейшее развитие — Paycrypt и другие.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe
<random>.dll
fud.bmp или bytor.bmp
edgE528.exe - утилита запроса сервера терминалов
Утилита запроса сервера терминалов
Утилита запроса сервера терминалов

Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "%UserProfile%\Application Data\bytor.bmp" 
...или "%UserProfile%\Application Data\fud.bmp"

Сетевые подключения и связи:
martyanovdrweb.com
www.fuck-isil.com
www.ahalaymahalay.com
kapustakapaet.com
www.decryptindia.com
www.enibeniraba.com
www.netupite.com
89025840.com
xsmailsos.com
sosxsmaillockedwriteonxsmailindia.com
baitforany.com
euvalues.com
intelligence1938.com
и другие...

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.BandarChor (до августа 2016: Trojan.Ransomcrypt.Q)

Степень распространённости: средняя. 
Подробные сведения собираются. 

Обновление от 15 марта 2016:
Email: info@cryptedfiles.biz
Составное расширение: original_name.jpg.id-1334533118_info@cryptedfiles 


Обновление от 15 декабря 2016:
 Статья >> + ID Shigo
Записка: HOW TO DECRYPT.txt
Расширение по шаблону: .id-[ID]_[email_address]
Email: help@decryptservice.info, Shigorin.Vitolid@gmail
Пример зашифр. файла: test.jpg.id-1235240425_help@decryptservice.info



Обновление от 4 сентября 2017: 
Email: kiaracript@email.cz и kiaracript@gmail
Расширение: .SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail
Шаблон расширения: .SN-<ID>-kiaracript@email.cz_kiaracript@gmail
Пример заш-файла: 
archive2015.rar.SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail


Обновление от 26 сентября 2017:
Email: kiaracript@gmail.com
Расширение: .SN-6633475505259148-kiaracript@gmail.com и другие
Шаблон расширения: .SN-<ID>-kiaracript@gmail.com
Примеры заш-файлов: 
archive2010.zip.SN-6633475505259148-kiaracript@gmail.com
archive2014.rar.SN-6633475505259148-kiaracript@gmail.com
document2.txt.SN-6862051502902366-kiaracript@gmail.com



 Внимание!
Некоторые зашифрованные файлы можно вернуть
За помощью обращайтесь в тему на форуме >>
*
*
 Read to links: 
 Topic on BC
 ID Ransomware (ID as BandarChor and Shigo)
 Write-up
 *
 Thanks: 
 Michael Gillespie
 F-Security
 Emmanuel_ADC-Soft
 *

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 1 марта 2015 г.

VaultCrypt, CrypVault

VaultCrypt Ransomware

CrypVault Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует посетить сайт в Tor-сети, чтобы заплатить выкуп (10000-30000 рублей) и вернуть файлы. Оригинальное название: Vault
---
Обнаружения: 
Для ранних вариантов обнаружения не сохранились. 
DrWeb -> Trojan.Encoder.10184
Avira (no cloud) -> HEUR/AGEN.1108497
BitDefender -> Adware.GenericKD.43296380
ESET-NOD32 -> Win32/Filecoder.FH
Kaspersky -> Trojan-Ransom.Win32.Scatter.lj
Microsoft -> Ransom:Win32/Genasom!rfn
Qihoo-360 -> Win32/Trojan.Ransom.688
Rising -> Ransom.Teerac!8.57A (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114b09f6
TrendMicro -> Ransom_CRYPVAULT.F116L6
---

© Генеалогия: VaultCrypt

К зашифрованным файлам добавляется расширение .vault

Активность этого крипто-вымогателя началась с февраля 2015 г. и продолжалась до конца 2016 года. Ориентирован, главным образом, на русскоязычных пользователей, что не помешало распространять его и в других странах.

Этот вымогатель сам не выводит сообщение с требованием выкупа. Вместо этого он регистрирует в реестре Windows новое расширение .vault, в результате чего у всех зашифрованных файлов появляется новая иконка с изображением замка. 


Если жертва попытается открыть такой файл двойным нажатием кнопки мыши, на экране появится сообщение: «Stored in Vault» («Убрано в сейф»). 



Сообщения от VaultCrypt 

В сообщении также же указано, что ключ можно приобрести, посетив onion-сайт, доступный через Tor-браузер.

Записки с требованием выкупа называются: VAULT.txt, VAULT.hta и 
VAULT-README.txt
Одна из них демонстрируется жертве при каждом входе в Windows. Сначала это текстовый файл, а после перезапуска HTA-файл. 


Содержание записки о выкупе:
Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.
   ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид
ДЕТАЛЬНО
   Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
   Шаг 2:
Используя Tor браузер посетите сайт: xxxx://restoredz4xpmuqr.onion
   Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
   STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас 
c) Стоимость полного восстановления на ресурсе не окончательная
Время блокировки: 02.03.2015 (10:31)


Сообщение VAULT.hta



Подробности работы VaultCrypt 

При первом запуске VaultCrypt с помощью GnuPG генерирует уникальную пару ключей RSA 1024, публичный и приватный. Публичным он зашифровывает найденные на машине файлы с расширениями XLS, DOC, PDF, RTF, PSD, DWG, CDR, CD, MDB, 1CD, DBF, SQLITE, JPG и ZIP. При этом шифровальщик игнорирует некоторые папки (список см. ниже), видимо, чтобы не нарушить нормальную загрузку ОС. Одновременно создаётся VBS-файл для удаления всех теневых копий на диске.

Приватный RSA-ключ, необходимый для расшифровки, VaultCrypt экспортирует и сохраняет в файле vaultkey.vlt. Сюда же он помещает информацию о конфигурации, кодовое имя заражённого ПК и общий счёт зашифрованных файлов по каждому расширению из своего списка. Эти данные нужны для персонализации страницы приёма платежей, а также для сбора статистики по типам шифруемых файлов.

VaultCrypt шифрует файл vaultkey.vlt с помощью публичного мастер-ключа, единого для всех жертв шифровальщика. Итог сохраняется на заражённой машине как %AppData%\VAULT.KEY. Этим же мастер-ключом зловред шифрует файл CONFIRMATION.KEY, содержащий общий список зашифрованных файлов. Приватный мастер-ключ хранится у злоумышленников.

Затем VaultCrypt загружает с другого onion-адреса Browser Password Dump, бесплатный инструмент командной строки для восстановления паролей, и сохраняет его как ssl.exe. С его помощью VaultCrypt попытается украсть идентификаторы при заходе жертвы на разные сайты. Список этих учётных данных он сохраняет в файле cookie.vlt, который впоследствии будет загружен на тот же сайт в Tor-сети.

Чтобы исключить возможность восстановления зашифрованных файлов с помощью программа восстановления данных, VaultCrypt запускает очистку с помощью утилиты SDelete и делает 16 проходов перезаписи. После этого восстановить прежнее содержимое файлов практически невозможно. Затем VaultCrypt создает ряд записей в системном реестре, чтобы сообщение с требованием выкупа отображалось пользователю с каждым заходом в Windows.

При первом переходе жертвы на Tor-сайт по указанной в сообщении ссылке ей предлагают зарегистрироваться путем загрузки файла VAULT.KEY. После этого авторизация производится автоматически, и для посетителя генерируются личный идентификатор и пароль, которые он должен использовать при последующих визитах. На следующей странице ему отображается бегущая строка с информацией о зашифрованных файлах, размере выкупа и т.п., а также с приглашением в чат, чтобы что-то спросить. На момент проведения анализа экспертами Bleeping Computer злоумышленники требовали $247 — около 1 BTC (эквивалент на март 2015 года).

VaultCrypt предлагает жертве бесплатно расшифровать любые четыре файла семи "разрешенных" форматов в качестве теста. 

Все страницы этого onion-сайта выполнены на русском языке, лишь некоторые поля на английском. Имеется также ссылка на англоязычные инструкции, выложенные на Pastebin.

Содержание инструкций на английском языке:
---------
PROBLEM:
[!] Our site is NOT AVAILABLE
SOLUTION:
[+] Try to visit it again after 12 hours
[+] If it is not accessible after 72 hours. Check mirrors:
xxxx://1.onion
xxxx://2.onion
xxxx://3.onion
xxxx://4.onion
[+] If all of the above fails, read explanation about Tor network and try again: xxxx://deepdotweb.com/how-to-access-onion-sites/
[+] .ONION sites CANNOT be accessed via standard browser (like Chrome, IE, Firefox or Safari). Therefore, you need to use Tor Browser: http://torproject.org
---------
PROBLEM:
[!] Cannot find VAULT.KEY or CONFIRMATION.KEY
SOLUTION:
Those authorization keys is stored on your computer in different folders.
1. Go to "My Computer"
2.1. In address line write %APPDATA% and press Enter. At the bottom of the list you can find those AUTH keys
2.2. In address line write %TEMP% and press Enter. Try to find VAULT.KEY a copy there.
2.3. Also it could be found on your User Desktop.
3. Therefore, VAULT.KEY is stored in 3 different places on your computer for preventing accidental deletion.
4. If your machine has multiple users, try to find VAULT.KEY on each user.
5. Warning. Do not modify VAULT.KEY or CONFIRMATION.KEY. In this case, you can not get access to your panel.
---------
PROBLEM:
[!] Everything else what is not listed above
SOLUTION:
[+] Still experiencing problems? Read about BitMessage and write us a letter with a description of your problem.
BitMessage address: BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
[+] To simplify the process of communication via BitMessage you can use xxxx://bitmsg.me
---------



Технические детали

Может распространяться с помощью email-спама и вредоносных вложений (DOC.JS), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует командные файлы Windows, а также программу GnuPG (GNU Privacy Guard, для шифрования данных и создания ЭЦП), утилиту SDelete (Secure Delete, удаляющую файлы, папки) и программу BPD (Browser Password Dump, для сбора паролей). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .cd, .cdr, .dbf, .doc, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .zip.    
Это документы 1С, документы MS Office, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Шифровальщик пропускает файлы, содержащие следующие строки в именах:
abbyy
adobe
amd64
appdata
application
autograph
avatar
avatars
cache
clipart
com_
common
csize
framework64
games
guide
intel
internet
library
manual
maps
msoffice
profiles
program
recycle
resource
resources
roaming
sample
setupcache
support
temp
template
temporary
texture
themes
thumbnails
uploads
windows

Примеры файлов email-вложений:
Счета для оплаты февраль 2015 года - согласовано Коммерческим директором согласовано Главным бухгалтером _ долг letter-attachment_scannеd-OK.dосх{.js}
Акт сверки за 2014 год (сверка проведена - февраль 2015 года) подписано и согласовано Главным бухгалтером _ для контрагента-letter-attachment_scannеd-OK.dосх{.js}
акт сверки (март) 2015 год по итогам первого квартала согласовано бухгалтерией — аttасhmеnt_Dr.Wеb_Sсаnnеd — OK.dосx{.js}

Файлы, связанные с этим Ransomware:
vault.txt
revault.js
svchost.exe
CONFIRMATION.KEY
VAULT.hta
VAULT.KEY
VAULT2.KEY
VAULT.txt
VAULT-README.txt
win.vbs
secring.gpg
trustdb.gpg
и другие

Расположения:
%Desktop%\vault.txt
%Temp%\revault.js
%Temp%\svchost.exe
%AppData%\CONFIRMATION.KEY
%AppData%\ddae25beb5b57d6e.hta
%AppData%\VAULT.hta
%AppData%\VAULT.KEY
%User Temp%\VAULT2.KEY
%User Temp%\VAULT.txt
%User Temp%\VAULT.hta
%User Temp%\a.qq
%User Temp%\gk.vlt
%User Temp%\pk.vlt
%User Temp%\vaultkey.vlt
%User Temp%\cryptlist.lst
%User Temp%\conf.list
%User Temp%\confclean.list
%User Temp%\cryptlist.cmd
%User Temp%\up.vbs
%User Temp%\ultra.js
%User Temp%\ch.vlt
%User Temp%\cookie.vlt
%User Temp%\random_seed
%User Temp%\secring.gpg
%User Temp%\trustdb.gpg
%User Temp%\win.vbs
%UserProfile%\Desktop\VAULT.KEY
%UserProfile%\Desktop\VAULT-README.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vlt notify = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vlt notify" = "mshta %UserProfile%\Application Data\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\VAULT Notification = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"tnotify" = "notepad %Temp%\VAULT.txt"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vltexec" = "wscript //B //Nologo %Temp%\revault.js"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-сайты: restoredz4xpmuqr.onion
tj2es2lrxelpknfp.onion.city
BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>


Степень распространённости: высокая.  
Подробные сведения собраны. Распространение VaultCrypt прекращено.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение 1 к статье:
Скрипт устанавливает свой обработчик открытия файлов с расширением «vault»: при открытии такого файла пользователю должно показываться окно со ссылкой на ключ, но если эти команды отказываются отрабатываться, то файлы с расширением .vault ведут себя как обычные файлы с неизвестным расширением.
Затем созданное ранее HTML-приложение (%AppData%\ddae25beb5b57d6e.hta) добавляется в автозапуск, чтобы его окно отображалось на экране при каждой загрузке системы:
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
После этого из автозапуска удаляются ранее созданные там ключи, открывающие текстовый документ с инструкциями по получению ключа (теперь при загрузке ОС пользователь увидит не текстовый файл, а окно HTML-приложения). 
Также из автозапуска удаляется вызов процедуры шифрования (т.к. к этому моменту все файлы уже зашифрованы).
После этого запускается HTML-приложение, отображающее радостное сообщение о том, что все файлы на ПК зашифрованы.
Предпоследний шаг — вызов для всех томов утилиты cipher с параметром, предписывающим перезаписать всю информацию на секторах жесткого диска, неотведённых ни под один файл. С помощью этой команды данные удалённых ранее файлов окончательно перезатираются на физическом уровне на всех доступных дисках от A до Z.

Дополнение 2 к статье:
Анализ одной из модификаций шифровальщика VaultCrypt
Ссылка: habrahabr.ru/post/266077/

---



Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.10184
Avira (no cloud) -> HEUR/AGEN.1108497
BitDefender -> Adware.GenericKD.43296380
ESET-NOD32 -> Win32/Filecoder.FH
Kaspersky -> Trojan-Ransom.Win32.Scatter.lj
Microsoft -> Ransom:Win32/Genasom!rfn
Qihoo-360 -> Win32/Trojan.Ransom.688
Rising -> Ransom.Teerac!8.57A (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114b09f6
TrendMicro -> Ransom_CRYPVAULT.F116L6




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VaultCrypt)
 Write-up, Topic of Support, Topic of Support, Write-up
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Maxim Zaitsev
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *