Если вы не видите здесь изображений, то используйте VPN.

четверг, 25 февраля 2016 г.

CTB-Locker WEB

CTB-Locker WEB

CTB-Locker для веб-сайтов

(шифровальщик-вымогатель)


   Этот крипто-вымогатель атакует серверы, на которых расположены веб-сайты клиентов, шифрует их содержимое с помощью AES-256, а потом требует выкуп 0.4 биткоина за доступ к ключу дешифровки. По истечении времени, отведённого на уплату выкупа, эта сумма удваивается до 0.8 биткоина. 

© Генеалогия: CTB-Locker > CTB-Locker WEB

Этимология названия:
Аббревиатура CTB в названии означает Curve Tor Bitcoin.

Активность этой веб-версии крипто-вымогателя пришлась на февраль-март 2016. 

  Операторы этого шифровальщика взламывают уязвимые серверы, на которых размещены веб-сайты, и подменяют файл index.php или index.html. Новый index.php используется для шифрования данных на сайте ключом AES-256, а также для отображения новой домашней страницы, на которой сообщается, что случилось с файлами и как заплатить выкуп. 


 Через месяц активности сумма выкупа снизилась с 0,4 BTC до 0,15 BTC (~ $63), а также от 0,8 BTC до 0,3 BTC (~ $125) за просроченные платежи. 


  CTB-Locker использует исполняемые файлы, которые были подписаны украденным сертификатом. Пик активности пришелся на февраль 2016 г. Известно, что злоумышленники атакуют уязвимые сайты, сделанные на платформе WordPress

 Судя по снижению размера выкупа, вымогателям мало кто платит. Потому эта итерация CTB-Locker вряд ли будет столь же эффективна, как версия для Windows 2014 года, т.к. на веб-серверах и сайтах принято резервировать базу данных и файлы, составляющие основу сайта, которые потом можно с легкостью восстановить из бэкапа без уплаты выкупа. 

Часть содержания текста о выкупе:
Your personal files are encrypted by CBT-Locker.
Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.
Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.
Learn more about the algorithm can be here: Wikipedia-link

Перевод на русский язык:
Ваши личные файлы зашифрованы CBT-Locker.
Ваши скрипты, документы, фото, базы данных и другие важные файлы зашифрованы алгоритмом шифрования AES-256 и уникальным ключом, сгенерированный для этого сайта.
Ключ дешифрования хранится на секретном интернет-сервере, и невозможно дешифровать файлы без уплаты выкупа и этого ключа дешифрования. 
Об алгоритме читайте здесь: Википедия-ссылка

Жертве также предлагается прислать вымогателям для бесплатной дешифровки два файла в знак подтверждения наличия декриптера. Для этого нужно ввести секретное имя файла secret_ filename, который находится в той же папке, что и файл index.php, а затем нажать кнопку "Decrypt it free". При успешной дешифровке выйдет сообщение "Congratulations! TEST FILES WAS DECRYPTED!!"  


С оператором вымогателей можно связаться с помощью чата, ссылка на который имеется в самом вверху информационного окна.

  

Список файловых расширений, подвергающихся шифрованию:
.000, .002, .003, .004, .005, .006, .007, .008, .009, .010, .1st,.264, .3D, .3d, .3dm, .3dr, .3ds, .3g2, .3ga, .3gp, .7z, .7zip, .a00, .a01, .a02, .a03, .a04, .a05, .a3d, .aa, .aac, .abr, .accdb, .accdt, .ace, .adadownload, .adp, .ai, .aiff, .air, .alx, .amr, .ani, .ape, .apk, .apng, .app, .application, .appx, .appxbundle, .arc, .arj, .arw, .asec, .asf, .ashx, .asm, .asp, .aspx, .asx, .atom, .avi, .aws, .aww, .azw, .azw3, .bak, .bar, .bas, .bat, .bbb, .bbc, .bc, .big, .bik, .bin, .bkf, .bkp, .blend, .blf, .bml, .bmp, .btm, .bzip2, .c, .c00, .c01, .c02, .c03, .c4d, .cab, .cache, .cal, .cbr, .cbz, .ccd, .cda, .cdr, .cdt, .cfg, .cfm, .cgi, .cgm, .chm, .class, .clear, .clf, .cmd, .cnf, .cnt, .coff, .com, .contact, .cpio, .cpl, .cpp, .cpt, .cr2, .crdownload, .crw, .crypt, .cs, .csh, .cso, .css, .csv, .cue, .daa, .dao, .dash, .dat, .db, .dbf, .dbk, .dbx, .dcr, .dct, .dds, .deb, .deskthemepack, .dgn, .dib, .dic, .dicom, .dif, .djvu, .dlc, .dll, .dmg, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .download, .drv, .drw, .dt2, .dta, .dump, .dvf, .dvi, .dvr, .dwfx, .dwg, .dxf, .edi, .elf, .emf, .eml, .emz, .eng, .eot, .eps, .epub, .evtx, .exe, .fb2, .fbx, .fdb, .fig, .fla, .flac, .flv, .fpx, .g64, .gadget, .gb, .gba, .gbk, .gdb, .gdoc, .gho, .gif, .gp4, .gp5, .gpx, .gsheet, .gslides, .gz, .gzip, .h, .h264, .ha, .hdr, .hi, .hqx, .htm, .html, .iba, .ibooks, .icns, .ico, .icon, .ics, .idx, .iff, .ifo, .ihtml, .img, .inc, .ind, .indd, .inf, .ini, .inv, .ipa, .ipd, .ipsw, .iso, .isz, .jad, .jar, .java, .jpe, .jpeg, .jpg, .js, .json, .jsp, .kext, .key, .keynote, .kml, .kmz, .ksd, .lav, .lcf, .ldif, .lha, .lib, .lit, .lng, .lnk, .log, .logic, .lrc, .lrtemplate, .lst, .lwo, .lws, .lzo, .lzx, .m2t, .m2ts, .m3d, .m3u, .m3u8, .m4a, .m4b, .m4p, .m4v, .ma, .mac, .maf, .map, .max, .mb, .mbz, .md, .md5, .mdb, .mdbackup, .mdf, .mdi, .mdl, .mds, .mdx, .mht, .mhtml, .midi, .mkv, .ml, .mmf, .mng, .mobi, .mod, .mov, .mp3, .mp4, .mpd, .mpeg, .mpg, .mpp, .mpt, .mrw, .msg, .msi, .msmessagestore, .msu, .mswmm, .mts, .mui, .mxf, .n64, .nba, .nbf, .nbh, .nbu, .nco, .nds, .nef, .nes, .nfo, .npf, .nrg, .o, .obj, .ocx, .odf, .odg, .ods, .odt, .ofx, .ogg, .ogv, .old, .one, .onepkg, .opml, .orf, .otf, .ott, .out, .ova, .ovf, .oxps, .pages, .pak, .part, .partial, .pas, .pcd, .pcl, .pcm, .pcx, .pdf, .pdn, .pfx, .php, .phtml, .pic, .pkg, .pkpass, .pl, .plist, .pls, .plugin, .pmd, .png, .pos, .pot, .potx, .pps, .ppsx, .ppt, .pptm, .pptx, .prg, .prj, .prn, .pro, .prproj, .prt, .ps, .psb, .psd, .pst, .pts, .ptx, .pub, .pvm, .pwi, .py, .pz3, .pzl, .qif, .r00, .r01, .r02, .r03, .r04, .r05, .r06, .r07, .r08, .r09, .r10, .raf, .rar, .rar, .raw, .rb, .rc, .rec, .ref, .reg, .rem, .rep, .res, .rib, .rmvb, .rom, .rpm, .rsc, .rss, .rtf, .rw2, .safariextz, .sai, .sav, .save, .sbf, .sbu, .scn, .scpt, .scr, .scx, .sd7, .sda, .sdc, .sdd, .sdf, .sdw, .sdxf, .sfcache, .sgml, .sha, .shs, .shtml, .sis, .sisx, .sit, .sitd, .sitx, .skn, .skp, .sldasm, .sldprt, .smc, .smd, .smil, .snd, .sng, .snp, .spb, .spr, .sql, .sqlite, .src, .srm, .srt, .stdf, .stl, .stm, .stp, .sub, .sup, .svg, .svp, .swf, .swp, .sxc, .sxw, .sys, .tao, .tar, .tar.gz, .tbl, .tc, .temp, .template, .tex, .texinfo, .text, .tga, .tgz, .theme, .themepack, .thm, .thmx, .tib, .tif, .tiff, .tmp, .toast, .tod, .torrent, .tp, .tpl, .trm, .troff, .ts, .ttc, .ttf, .txt, .u3d, .uax, .uif, .unity, .upd, .upg, .usr, .ut, .uts, .v64, .vbs, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vob, .vsd, .vsdx, .vsm, .vue, .vxd, .wav, .wba, .wbcat, .wbmp, .wdb, .wdp, .webarchive, .webm, .webp, .wif, .wire, .wlmp, .wma, .wmf, .wmv, .woff, .wotreplay, .wowpreplay, .wpd, .wpl, .wps, .wri, .x, .x_t, .x3d, .xap, .xhtml, .xls, .xlsm, .xlsx, .xmi, .xml, .xpi, .xpm, .xps, .xsd, .xsl, .xslt, .xz, .z01, .z02, .z03, .z04, .z05, .zip, .zoo (591 расширение). 

Связанные с CTB-Locker файлы веб-сервера:
[web_site_document_root]/index.php — основной компонент CTB-Locker для процедур шифрования и дешифрования и вывода страницы оплаты;
[web_site_document_root]/allenc.txt — список всех зашифрованных файлов;
[web_site_document_root]/test.txt — содержит пути к именам двух заранее определенных файлов, которые предлагается расшифровать бесплатно;
[web_site_document_root]/victims.txt — список всех файлов, которые будут зашифрованы;
[web_site_document_root]/extensions.txt — список расширений файлов, которые будут зашифрованы;
[web_site_document_root]/crypt/secret_[victim_specific_name] —  секретный файл, который нужно приложить при дешифровке двух файлов и активации чата; файл находится в той же папке, что и файл index.php;
[web_site_document_root]/temp
[web_site_document_root]/robots.txt
[web_site_document_root]/crypt/

К сожалению, пока нет никакого бесплатного способа дешифровки файлов сайтов, зашифрованных CTB-Locker, и единственный способ для восстановления файлов — использовать резервные копии. 

Любой пострадавший от этого вымогателя должен обратиться к своему хостинг-провайдеру, чтобы определить, каким образом был взломан сайт и посмотреть, если у них есть резервные копии баз вашего сайта. 

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.

Обновление марта 2016:
В мартовской версии CTB-Locker вымогатели отказались от сайтов-посредников в пользу хранения информации в Blockchain Bitcoin. Для каждого зашифрованного сервера скрипты создают новый биткоин-адрес. Когда на него поступят деньги, они создадут новую транзакцию с ключом для расшифровки в метаданных, а полученные от жертвы 0,0001 биткоина за тестовую расшифровку пойдут на оплату комиссии. На заражённых серверах отслеживается появление транзакций с ключами в Blockchain при помощи программного интерфейса blockexplorer.com. Это более надёжный метод коммуникации, но он вряд ли поможет в дальнейшем создателям CTB-Locker. 




 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CTB-Locker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


Xort, Trun

Xort Ransomware

Trun Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные с помощью RSA-1024 с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). В записке о выкупе вымогатели требуют связаться по почте с экспертом, чтобы вернуть файлы. Сумма выкупа колеблется: 1,0-1,3 биткоинов. Название получил от логина почты вымогателй и добавляемого расширения. 

К зашифрованным файлам добавляется расширение .xort или .trun (в другой кампании). Относится к семейству VaultCrypt. 

Активность пришлась на февраль - март 2016 (версия Trun в феврале, а Xort в марте-апреле), но имела продолжение и после.

 © Генеалогия: VaultCrypt > XRTN > Trun, Xort

  Xort Ransomware распространяется, как и другие крипто-вымогатели, главным образом, как вредоносное вложение в email, или посредством ссылки на вредоносный сайт, размещенной в фишинг-письме. 

  После того, как файл во вложении будет открыт, Xort Ransomware запускается автоматически, сканирует ПК жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма RSA-2048, добавляя к зашифрованным файлам расширение .xort или .trun 

Запиской с требованием выкупа выступает файл с генерированным случайным именем HTA-файлом: <random_name>.hta

Содержание текста о выкупе Xort:
ATTENTION!
All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm
Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
contact an expert on email: xorthelp@yandex.ru

Перевод на русский:
ВНИМАНИЕ!
Все важные файлы и информацию на этом comuter (документы, базы данных и т.д.) можно расшифровать используя криптографический алгоритм RSA
Без спец. программы декодирование одного файла с помощью самых мощных компьютеров займет около 20 лет.
контакт с экспертом по email: xorthelp@yandex.ru

Содержение текста для Trun аналогично, только другой email.

Ошибки в тексте:
comuter - правильно: computer (компьютер)

Email-адрес вымогателей в Xort и Trun Ransomware: 
xorthelp@yandex.ru
trunhelp@yandex.ru

После шифрования удаляются теневые копии файлов, если UAC отключена, или выводится при активной UAC запрос на внесение изменений. Разумеется, нужно отказаться, чтобы копии файлов сохранились и можно было восстановить хотя бы часть утраченной информации после удаления вредоносных файлов. 
Запрос UAC на внесение изменений: удаление теневых копий

Список файловых расширений, подвергающихся шифрованию:
 .001, .3fr,.7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py,.pyc, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .unity3d, .upk, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (187 расширений)

Файлы, связанные с Xort Ransomware:
<random_name>.hta
%Temp%\<random_name>.hta
C:\Users\User_name\AppData\Roaming\<random_name>.hta
%AppData%\xort.KEY или trun.KEY
%Temp%\xort.KEY или trun.KEY
%Temp%\xort.txt или trun.txt 
<random>_xort.KEY или <random>_trun.KEY
%Temp%\gPG.EXE
CONFIRMATION.KEY
decrypt.bat
<random>.bat
<random>.cmd
<random>.js
и другие.


Степень распространённости: средняя, перспективно высокая.
Подробные сведения собираются. 

Обновление от 31 марта 2017:
Пост в Твиттере >>
Расширение: .chm
Email: helplovx@excite.co.jp
Результаты анализов: HA+VT



Read to links: 
Write-up by Heise Security + other
ID Ransomware + Tweet on Twitter + Tweet

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 al1963

 

среда, 17 февраля 2016 г.

Sanction

Sanction Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные (AES-256 + RSA-2096), а затем требует выкуп в 3 биткоина, чтобы вернуть файлы обратно. На уплату выкупа даётся 3 суток (72 часа), после чего ключи дешифровки якобы уничтожаются. Как оказалось после анализа, каждый файл зашифрован с другим случайным паролем, который даже разработчик вредоноса не сможет ни извлечь, ни переслать себе на сервер. Шифруются файлы на всех имеющихся в системе дисках, как локальных, так и внешних. 

© Генеалогия: Hidden Tear >> Sanction

Создан на основе крипто-коструктора HiddenTear, но недоделан программно и недоработан технически. Пик распространения пришелся на февраль-март 2016. 

К зашифрованным данным добавляется расширение .sanction. Заплатившие выкуп не получили дешифровщик. Уплата выкупа бесполезна! 

 Записка о выкупе называется HOW_TO_DECRYPT.HTML. Кроме BTC-адреса и информации о биткоинах, там нет никаких контактных данных. При нажатии на кнопку "Send request for decrypt decrypt" (два слова "decrypt") открывается недействующий сайт в зоне RU. 

Перевод записки на русский язык:
Ваш уникальный GUID для дешифрования 
Отправьте мне 3 Bitcoin по адресу: 1HTeqoW6H............
После подтверждения оплаты, все ваши файлы могут быть расшифрованы. Если вы не платите 3 дня, то потеряете возможность их дешифровывать.
Как создать свой Bitcoin-кошелёк: https://www.coinbase.com или hxxp://blockchain.info
Как купить / продать и отправить Bitcoin:
URL URL URL
...

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, sln, .php, .asp, .aspx, .html, .xml, .psd...

Степень распространённости: низкая.
Подробные сведения собираются. 

вторник, 16 февраля 2016 г.

Locky

Locky Ransomware

Locky Original Ransomware

(шифровальщик-вымогатель, все итерации)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 3-5-7 биткоинов за дешифровку. Суммы называются разные, были и 0,5 биткоина. Название оригинальное. 
Locky Ransomware
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация выполнена под замочки (англ. Lock), запирающие файлы

Хоть название Locky и звучит как детское имя, ничего детского в нём нет. Он нацелен на большое количество файловых расширений и шифрует данные также на удалённых сетевых ресурсах, как мы видели ранее у DMA Locker. Теперь можно с уверенностью сказать, что эта возможность станет нормой среди функционала вымогателей. 

© Генеалогия: Locky. Начало. 

К зашифрованным файлам добавляется расширение .locky

Файлы переименовываются по шаблону [unique_id][identifier].locky
Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky

Ранняя активность этого крипто-вымогателя пришлась на февраль 2016 г. и продолжалась в течении всего года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.



Более поздние итерации Locky добавляли следующие расширения:
.zepto - [16 июня - июль - август 2016] - см. статью Locky-Zepto Ransomware;
.odin[16 сентября 2016] - см. статью Locky-Odin Ransomware;
.shit[16 октября 2016] - будет рассказано позже;
.thor [16 октября - ноябрь 2016] - будет рассказано позже;
.asier [16 ноября 2016] - будет рассказано позже;
.zzzzz [16 ноября - декабрь 2016] - будет рассказано позже;
.osiris [16 декабря 2016] + [апрель 2017] - см. статьи Locky-Osiris Ransomware и Locky-Osiris 2017 Ransomware;
.loptr - [17 мая 2017] - будет рассказано позже;
.diablo6 - [17 августа 2017] - см. статью Locky-Diablo6 Ransomware;
.lukitus - [17 августа 2017] - будет рассказано позже;
.ykcol - [17 сентября 2017] см. статью Locky-Ykcol Ransomware.
.asasin - [17 октября 2017] см. статью Locky-Asasin Ransomware.
<new_extension> - [17 ноября 2017]
<new_extension> - [17 декабря 2017]


Записки с требованием выкупа у Locky Original называются:
_Locky_recover_instructions.txt
_Locky_recover_instructions.bmp

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
   xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
   xxxx://en.wikipedia.org/wiki/Advanced_Encryption_standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. xxxx://6dtxgqam4crv6rr6.tor2web.org/xxxxxxxxxxxxxx
2. xxxx://6dtxgqam4crv6rr6.onion.to/xxxxxxxxxxxxxx
3. xxxx://6dtxgqam4crv6rr6.onion.cab/xxxxxxxxxxxxxx
4. xxxx://6dtxgqam4crv6rr6.onion.link/xxxxxxxxxxxxxx
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Follow the instructions on the site.
!!! Your personal identification id: xxxxxxxxxxxxxx !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Более подробную информацию о RSA и AES можно найти здесь:
   xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
   xxxx://en.wikipedia.org/wiki/Advanced_Encryption_standard
Дешифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которая находится на нашем секретном сервере.
Чтобы получить свой закрытый ключ, следуйте по одной из ссылок:
1. xxxx://6dtxgqam4crv6rr6.tor2web.org/xxxxxxxxxxxxxx
2. xxxx://6dtxgqam4crv6rr6.onion.to/xxxxxxxxxxxxxx
3. xxxx://6dtxgqam4crv6rr6.onion.cab/xxxxxxxxxxxxxx
4. xxxx://6dtxgqam4crv6rr6.onion.link/xxxxxxxxxxxxxx
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный ID: xxxxxxxxxxxxxx !!!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов (Nuclear и др.), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

С февраля по апрель 2016 было зарегистрировано минимум 10 различных вариантов загрузчика Locky. Каждый из них пытался обойти антивирусы, пряча целевую нагрузку в различных типах файлов (.doc, .docm, .xls и .js), выдаваемых за неоплаченные счета.

Один из ранних примеров, распространялся через email-спам, используя вредоносное вложение — текстовый Документ Microsoft Word с вредоносными макросами ATTN: Invoice J-98223146 (инвойс, счёт-фактура, рапорт) и письменное сообщение "Please see the attached invoice..." /перевод/ "Посмотрите прикрепленный инвойс и сделайте оплату согласно условиям, перечисленным в нижней части счета". Пример одного из таких писем можно увидеть ниже.

Используемый как атачмент (вложение) Документ Microsoft Word invoice_J-17105013.doc при открытии отображает нечитаемый текст и требует включить макросы, чтобы прочитать текст. Если пользователь разрешит включить макросы в документе, запускается вредоносный макрос, загружающий вымогательское ПО с удалённого сервера. Аналогичный способ использовал банковский троян Dridex. В настоящее время известно более 10 различных вариантов Locky Downloader. Каждый из них использует иной метод запутывания и различные типы файлов: .doc, .xls, .docm вместе с .js.

Загружаемый макросом файл помещается в папку %Temp% и запускается на выполнение. Это и есть крипто-вымогатель Locky, который тут же начинает шифровать файлы на компьютере.

Locky шифрует данные и полностью меняет имена файлов, чтобы ещё больше затруднить пострадавшим возможность восстановления нужных данных.

При запуске Locky назначает уникальный 16-шестнадцатеричное число ПК жертве, типа F67091F1D24A922B. Locky сканирует все локальные диски и удаленные (неотображаемые) сетевые папки в поиске искомых файлов. При шифровании файлов он использует алгоритм AES-шифрования и зашифровывает только те файлы, которые соответствуют заданным расширениям.
Схема работы Locky

Итак, запомните схему работы:
1. Жертва получает письмо, содержащее подозрительное приложение (Загрузчик).
2. Жертва открывает вложение, макрос осуществляет нагрузку (Locky) с удаленного сервера.
3. Locky контактирует с C2-серверами для обмена ключами шифрования.
4. Locky шифрует заданные типы файлов и создает записку с требованием выкупа.

Когда Locky шифрует файл, он переименовывает его по формату [unique_id][identifier].locky. Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky. Уникальный идентификатор и другая информация будут вписаны в конец зашифрованного файла.

 Важно заметить, что Locky будет шифровать файлы на сетевых ресурсах, даже если они не отображаются на локальном диске. Шифруются также файлы, находящиеся на подключенных внешних хранилищах, типа Google Drive, OneDrive, ICloud, Dropbox, Яндекс.Диск и пр., если синхронизация файлов работает автономно и вход с сохраненными паролями доступен через интерфейс браузера. Как и предсказывалось выше, похоже, что эта методика получает всё большее распространение и потому уже сейчас системные администраторы должны убедиться в том, что все сетевые ресурсы работают под ограниченным набором прав доступа к файлам, находящимся в их окружении, и заменить все простые пароли на более сложные, как минимум 16-значные, состоящие из цифр, букв в верхнем и нижнем регистре и нескольких символов.

В процессе шифрования Locky также удаляет все теневые копии системы и файлов (Shadow Volume Copies), которые могли бы помочь восстановить данные Recovery-программами, с помощью команды зачистки:
vssadmin.exe Delete Shadows /All /Quiet

На рабочем столе и в каждой папке, где были зашифрованы файлы, Locky создаёт текстовую записку с требованием выкупа и меняет обои на рабочем столе на свой bmp-файл, который содержит те же инструкции, что и текстовая записка.

Locky хранит различную информацию в реестре в следующих ключах:
HKCU\Software\Locky\id — Уникальный идентификатор, присвоенный жертве.
HKCU\Software\Locky\pubkey — Открытый RSA-ключ.
HKCU\Software\Locky\paytext — Текст из записки с требованием выкупа
HKCU\Software\Locky\completed — Процесс шифрования файлов завершён.

Список файловых расширений, подвергающихся шифрованию:
.aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11 (Security copy), .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wallet.dat, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (138 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
Этот список был на том этапе, когда была впервые написана данная статья — 16 февраля 2016 года. При последующих вредоносных кампаниях по распространению этого крипто-вымогателя список не раз изменялся и расширялся. 

Примечательно, Locky пропускает файлы, где полный путь и имя файла содержат одну из следующих строк:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

О странице Locky Decrypter 
Внутри записки с требованием выкупа есть веб-ссылка на сайт Tor — страница Locky Decrypter, которая находится по адресу ***6dtxgqam4crv6rr6.onion и содержит сумму в биткоинах, нужную для оплаты, информацию, как приобрести Bitcoins, и Bitcoin-адрес, на который необходимо отправить платеж. Как только жертва вышлет выкуп на Bitcoin-адрес, эта веб-страница обеспечит отгрузку декриптера, который можно использовать для расшифровки файлов. См. скриншот ниже.
Сайт Locky Decrypter

Файлы, связанные с этим Ransomware:
_Locky_recover_instructions.txt
_Locky_recover_instructions.bmp
<random>.exe - исполняемый файл вымогателя
svchost.exe - исполняемый файл вымогателя
Unlocker.exe - декриптер от вымогателей. 

Расположения:
%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\<random>.exe 
%Temp%\svchost.exe

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed    1
HKCU\Control Panel\Desktop\Wallpaper    "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
См. также ниже результаты анализов.

Сетевые подключения и связи:
***6dtxgqam4crv6rr6.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.


Обновление от 14 мая 2017:
Пост в Твиттере >>
Фальш-имя: benefits
Фальш-копирайт: Theranos
Версия:  9.6.7.517
Записка: loptr-<4_chars>.htm
Расширение: .loptr 
Результаты анализов: HA+VT

Обновление августа 2017:
Locky-IKARUSdilapidated
Масштабная кампания имела место в начале августа. За три дня злоумышленники разослали 62 тыс. спам-писем, содержащих новый вариант Locky под названием IKARUSdilapidated. Письма были разосланы с 11 625 IP-адресов в 133 странах мира, вероятно с помощью ботнета. Сумма выкупа: от 0,5 до 1 BTC.
Статья об этой версии от Comodo >>



 Read to links: 
 Write-up + Locky FAQ
 ID Ransomware (ID as Locky)
 Topic on BC
Added later
Write-up
Write-up
Write-up

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Myself as SNS-amigo
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 14 февраля 2016 г.

Paycrypt

Paycrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,35 за дешифровку файлов. Paycrypt по некоторым признакам похож на BandarChor, потому может быть его клоном. Был активен в феврале 2016. 

 © Генеалогия: Rakhni > Rakhni Family > BandarChor > Paycrypt 


Remove Paycrypt Decrypt Paycrypt Decode Restore files Recovery data Удалить Bandarchor Дешифровать Расшифровать Восстановить файлы



Содержание текста на изображении: 
Attention! Your computer has been attacked by a virus-encoder!
AII your files are now encrypted using cryptographically strong algorithm.
Without the original key recovery is impossible.
To get the decoder and the original key, you need to email us at paycrypt@aol.com
Our assistance is not free, so expect to pay a reasonable price for our decrypting services. No exceptions will be made.
In the subject line of your email include the id number, which can be found in the file name of all encrypted files.
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S. only in case you do not receive a response from the first email address within 48 hours, please use this alternative email address: 
paycrypt@india.com

Перевод на русский: 
Внимание! Ваш компьютер атакован вирусом-шифровальщиком.
Все ваши файлы зашифрованы с криптографически стойкий алгоритмом.
Без оригинального ключа восстановление невозможно.
Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на paycrypt@aol.com
Наша помощь небесплатна, нужно заплатить разумную цену за наши услуги дешифровки. Исключений не будет.
В теме письма вашей email укажите ID номер, которые можно найти в имени всех зашифрованных файлов.
В ваших интересах ответить быстрее, чтобы обеспечить восстановление файлов.
P.S. только если вы не получили ответ с первого email в течение 48 часов, используйте этот альтернативный email-адрес:
paycrypt@india.com

  Текст со скринлока немного похож на тот, что был у BandarChor, но email-адреса другие и платить надо 1,35 BTC. Вполне возможно, что за обоими вымогателями стоит одна и та международная группа, или используется общий шаблон. 

  Распространяется с помощью email-спама и вредоносных вложений, а ссылки могут вести на зараженный сайт, содержащий эксплойты на веб-страницах. Письма приходят якобы от Facebook, Twitter, PayPal и Amazon, а их содержание ссылается на изменения в политике конфиденциальности, возвраты и недавно сделанные покупки. Во вложении могут находиться файлы форматов PDF, DOCX, DOC, XLS и XLSX. Ориентирован главным образом на русскоязычных пользователей. C&C-серверы находятся на скомпрометированных сайтах, в их числе Livingbybuddhism.com и Vonee.com

  Paycrypt шифрует все файлы, которые могут хранить важные данные, кроме исполняемых файлов и DLL-библиотек, чтобы жертва смогла сделать платеж. Например, файл Cat.png будет преобразован в Cat.png.id-[random_number]-paycrypt@aol.com. Теневые копии файлов, сделанные Windows или программами резервного копирования не удаляются, потому их можно использовать для восстановления данных без уплаты выкупа. Но прежде нужно очистить ПК от самого вредоноса. 

Список файловых расширение, подвергающихся шифрованию: 
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db-journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar,, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (329 расширений). 

Степень распространённости: средняя. 
Подробные сведения собираются. 

PadCrypt, PadCrypt 2.0

PadCrypt Ransomware 

PadCrypt2, PadCrypt3

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,8 биткоинов или больше, чтобы вернуть файлы. На уплату выкупа даётся 96 часов. Название оригинальное. 

Его создатели, видимо, фанаты более известного крипто-вымогателя CryptoWall, потому или использовали какой-то его готовый шаблон или скопировали графику этого шифровальщика. Примечательно, что они также впервые в истории шифровальщиков прикрутили чат поддержки, который на момент исследования не работал. По прошествии 6 месяцев со дня шифрования вымогатели обещают дешифровать файлы бесплатно. 16.2.2016

© Генеалогия: CryptoWall шаблон >> PadCrypt > PadCrypt2 > PadCrypt3 ...

К зашифрованным файлам поначалу никакое расширение не добавлялось.
С июля 2016 в обновлённой версии добавляется расширение .padcrypt

Активность этого криптовымогателя пришлась на февраль 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
IMPORTANT READ ME.txt
File Decrypt Help.html

Содержание текстовой записки о выкупе:
PadCrypt Decryption Information
Your personal files, documents, and videos on this computer have been encrypted with AES encryption.
In order to decrypt and repair your files, you will need to pay in Bitcoin or Paysafecard prior to your key destruction date.
After that, nobody will ever be able to recover your files, and they are lost forever.
If your anti virus has deleted PadCrypt, you can still recover your files.
Email our support team providing your unique machine ID in the email and we'll respond within 24 hours.
--
Subject: payment
Email: maliko@inbox.lv
Machine id: ***
---
We advise you not to delete this file. If you delete it, there's no hope of ever getting your files back!
However, if it has been 6 months since your computer was encrypted, send us an email and we'll decrypt your files FREE
Don't play us however, we know the exact date and time your computer was infected!

Перевод записки на русский язык:
PadCrypt дешифрования информация
Ваши личные файлы, документы и видео на этом компьютере зашифрованы с AES-шифрованием.
Чтобы расшифровать и вернуть файлы, вам надо заплатить Bitcoin или Paysafecard до даты уничтожения вашего ключа.
После этого никто и никогда не сможет восстановить ваши файлы, и они будут потеряны навсегда.
Если ваш антивирус удалит PadCrypt, вы все еще можете восстановить файлы.
Email в нашу службу поддержки, указав свой уникальный ID машины в письме, и мы ответим в течение 24 часов.
-
Subject: payment
E-mail: maliko@inbox.lv
Machine id: ***
---
Мы советуем вам не удалять этот файл. Если вы удалите его, нет никакой надежды получить ваши файлы обратно!
Однако, если прошло 6 месяцев, когда ваш компьютер был зашифрован, пришлите нам письмо, и мы расшифруем ваши файлы БЕСПЛАТНО
Не играйте с нами, т.к. мы знаем точную дату и время, когда ваш компьютер был заражен!

Информаторами жертвы также выступают скринлок, встающий обоями рабочего стола и блокировщик экрана, появляющиеся после шифрования файлов. В левом нижнем углу имеется интересная опция - Live Chat (чат поддержки), которая предполагает связь с оператором вымогателей. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, независимо от расширений, находящиеся на всех подключенных дисках и особенно в директориях: 
C:\Users\User_name\Downloads
C:\Users\User_name\Documents
C:\Users\User_name\Pictures
C:\Users\User_name\

Пропускаются и не шифруются только файлы, находящиеся в директориях:
C:\Users, C:\NVIDIA, C:\Intel, C:\Documents and Settings, C:\Windows, C:\Program Files, C:\Program Files (x86), C:\System Volume Information, C:\Recycler
... или содержат строки:
ProgramData, PerfLogs, Config.Msi, $Recyle.Bin

После шифрования удаляются все теневые копии системы и файлов (Shadow Volume Copies) командой: 
vssadmin delete shadows /for=z: /all /quiet

Файлы, связанные с этим Ransomware:
%Desktop%\IMPORTANT READ ME.txt - записка о выкупе
%AppData%\PadCrypt\File Decrypt Help.html - "Помощь" для жертвы
%AppData%\PadCrypt\Wallpaper.bmp - скринлок на обои рабочего стола
%AppData%\PadCrypt\PadCrypt.exe - шифровальщик и блокировщик экрана
%AppData%\PadCrypt\unistl.exe - деинсталлятор для удаления записок о выкупе и самого вредоноса
%AppData%\PadCrypt\padcryptUninstaller.exe  - деинсталлятор для удаления записок о выкупе и самого вредоноса
%AppData%\PadCrypt\decrypted_files.dat - список дешифрованных данных
%AppData%\PadCrypt\Files.txt - список зашифрованных файлов
%AppData%\PadCrypt\data.txt - файл с ключом дешифрования
package.pdcr - вспомогательный файл, загружаемый шифровальщиком
unistl.pdcr - вспомогательный файл, загружаемый шифровальщиком

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PadCrypt" = "%AppData%\PadCrypt\PadCrypt.exe"
HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = "%AppData%\PadCrypt\Wallpaper.bmp
HKEY_CURRENT_USER\Control Panel\Desktop "WallpaperStyle" = 1
HKEY_CURRENT_USER\Control Panel\Desktop "TileWallpaper" = 0

Сетевые подключения (C&C-серверы):
annaflowersweb.com
subzone3.2fh.co
cloudnet.online

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>


Обновление от 24 февраля 2016:
Версия: 2.2.10.0
Обновлен и заработал Live Chat
Добавился текст с насмешкой над жертвой
Добавлена функция "blacklist of computer names" : "PLACEHOL-", MALTEST "," ТЕСТ-PC "," BEA-CHI "," BRBRB "," VMSCAN ". 
Описание этих обновлений >>

Обновление от 8 июля 2016:
Расширение: .padcrypt
Сумма выкупа: 0.8 BTC
Экран блокировки остался с той же датой 01/01/1970.

Обновление от 9 марта 2017:

Версия: 3.4.0
Файл: ptsks.exe
Фальш-имя: Microsoft, Windows Driver Service
Результаты анализов: VT

Обновление от 23 марта 2017:
Версия: PadCrypt 3.4.5
Пост в Твиттере >>
Результаты анализов: HA+VT

Обновление от 5 апреля 2017:
Версия: PadCrypt 3.5.0
Пост в Твиттере >>
Результаты анализов: HA+VT

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware
 *
 Thanks: 
 abuse_ch 
 Lawrence Abrams
 Michael Gillespie
 *
 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *