четверг, 31 марта 2016 г.

CryptoHasYou

CryptoHasYou Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные с помощью алгоритма  AES-256 с RSA-2048 ключом, а затем требует $300 USD, чтобы вернуть файлы обратно. Через три дня после заражения и каждые сутки потом оплата поднимается на $150. 

К зашифрованным файлам добавляется расширение .enc

Этимология названия:    Название крипто-вымогателя произошло от слова .Cryptohasyou, которое скрывает фразу "Crypto_has_you" (Крипто_имел_вас). Видимо, начальная версия крипто-вымогателя должна была использовать расширение .Cryptohasyou, но потом его заменили на .enc.   

  Записка о выкупе называется YOUR_FILES_ARE_LOCKED.txt 
Записка о выкупе, TXT-версия

Записка о выкупе, BMP-версия

  Содержание записки о выкупе:
READ THIS. IT IS VERY IMPORTANT.
Hello, Unfortunately for you, a virus has found its way onto your computer. The virus has encrypted all of the files that exist on this computer (pictures, 
documents, spreadsheets, videos, etc.). There is no way to restore the files back to their original forms without the unique decryption programs.
Fortunately, we can help. We have your unique decryption program. If you value your locked files and want to restore them, we can provide you with 
the decryption program and any assistance you need for the price of $300.
Want us to fix all of your files? Have a question? Want to send us a complaint(or compliment)?
Contact us! Our email is locked@vistomail.com
We will get back to you with haste.
If you want proof that we can decrypt your files, send us a single encrypted file in an email and we will return it to you fixed and in original condition!
You must respond to this in a timely fashion if you want your original files back.
The initial price of our service is $300. For every 3 days that pass, the price of our service will raise by an additional $150. We will know how long it 
has been. Remember, we are your only option. If you consult an IT expert, they will tell you the same thing.
Cheers.
Additional Details: (for IT People)
[+] It is impossible to recover the original files without our help.
[+] Encryption scheme: aes256(filesystem, aes_key) -> rsa2048(aes_key, public key)
-In other words, the private_key is required to decrypt the filesystem
[+] During filesystem encryption, all affected files had the original data overwritten with the encrypted data several times over to prevent recovery.
[+] If the extention of an encrypted file is not “.enc” when the decryption program is run, it will not be decrypted.
[+] Do not shut down or restart your computer while filesystem decryption occurs
FOR FILE DECRYPTION CONTACT US: locked@vistomail.com
You will need to provide the following data to us along with a payment in order to decrypt your files:
< DATA >
{уникальный ID-номер с буквами и цифрами}

 Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, за исключением имеющих расширения: .bat, .bin, .blf, .cat, .cdf-ms, .cdfs, .cmd, .com, .conf, .cpl, .dat, .dev, .dll, .dmp, .drv, .enc, .etl, .evt, .evtx, .exe, .folder, .gadget, .gpd, .grp, .idx, .inf, .ini, .ins, .inx, .isu, .job, .jse, .key, .lib, .lnk, .lock, .man, .manifest, .mark, .mci, .mdmp, .msc, .msi, .msn, .msp, .mst, .mui, .my, .nls, .ocx, .osc, .paf, .pdb, .pif, .reg, .rgu, .scr, .sct, .sfc, .sfcache, .shb, .shs, .shs, .sif, .sys, .vbe, .vbs, .vbscript, .vtd, .wsf (70 расширений) и файла .bmp со случайным именем (в этом примере это c35312fb3a.bmp), которые ему нужны. 

По завершении шифрования могут быть зашифрованы и файлы оставшихся типов. Это делает крипто-вымогатель буквально всеядным. 

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_LOCKED.txt - Записка о выкупе, создается во всех папках с зашифрованными файлами;
C:\Users\W7_MMD\AppData\Local\Roaming\c35312fb3a.bmp - экран блокировки, встает в качестве обоев Рабочего стола, файл со случайным именем;
C:\Users\W7_MMD\AppData\Local\Temp\dejqmavb.bat - bat-файл для зачистки следов вымогателя в системе, файл со случайным именем. 


Степень распространённости: средняя
Подробные сведения собираются.

Ссылки:
Тема поддержки на BC

среда, 30 марта 2016 г.

KimcilWare

KimcilWare Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные веб-сайтов с помощью алгоритма Rijndael (AES), а затем требует выкуп в пределах от $ 140 до $ 415 (в зависимости от версии, которой сайт был заражен), чтобы вернуть файлы. Название оригинальное. Активность пришлась на март 2016 г., но известные более ранние атаки, например в феврале этого года. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии.

© Генеалогия: Hidden Tear modified >> MafiaWareKimcilWare



За этим крипто-вымогателем стоит одна из индонезийских хакерских группировок, специализирующаяся на взломе веб-сайтов по всему миру. Выявлена связь с другим вымогательским ПО этой группировки — MireWare

Этимология слов, использованных вымогателями:
kimcil - индонез. одно из названий проститутки
tuyuljahat (Tuyul Jahat) - индонезназвание злого духа, вымогающего деньги. 

Известны две версии сценариев для шифрования сайтов. Один скрипт шифрует все данные на веб-сайте, добавляет расширение .kimcilware к зашифрованным файлам, заменяет index-страницу сайта на свой файл index.html (см. ниже), и требует выкуп в размере 140 долларов США. 

Пример содержимого веб-папки с зашифрованными с помощью сценария KimcilWare см. ниже.

Другой скрипт добавляет расширение .locked к зашифрованным файлам, но не заменяет index-страницу сайта на записку с требованием выкупа. Вместо этого он создаёт в каждой папке, в которой были зашифрованы файлы, записку о выкупе под именем README_FOR_UNLOCK.txt, содержащую инструкции для оплаты выкупа в 1 биткоин или 415 долларов США.

Содержание записки README_FOR_UNLOCK.txt:
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: *****
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy

Перевод на русский язык:
ВСЕ ФАЙЛЫ ВАШЕГО ВЕБ-СЕРВЕРА БЛОКИРОВАНЫ
Вы должны послать мне 1 BTC для разблокировки ваших файлов.
Платите на BTC-адрес: *****
Мыльте на tuyuljahat@hotmail.com после отправки мне BTC. Сообщите мне адрес веб-сайта и ваш Bitcoin-адрес.
Я буду проверять свой Bitcoin и если вы прислали мне BTC, то я пришлю дешифратор для разблокировки ваших файлов.
Надеюсь, вам понравится 

Активность этого криптовымогателя пришлась на март 2016 г. Ориентирован на англоязычных пользователей, что не мешает использовать его по всему миру.

KimcilWare направлено на веб-сайты, основанные на системе управления интернет-магазинами Magento. Возможно, заражению способствует установка пока ещё легитимных расширений для CMS Magento. Одно из них, Helios Vimeo Video Gallery (от Helios Solutions), уже помечено как опасное. Но не исключается вероятность программной прокладки-заготовки в самом Magento, как и во всех других CMS.

Владельцы интернет-магазинов, работающих на Magento, должны использовать сильные пароли для учётных записей администратора, и как можно скорее обновить систему управления сайтом до последней версии Magento, или установить все доступные патчи для используемой версии.

KimcilWare устанавливается после взлома веб-сервера. При желании злоумышленники могут распространять его с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы и папки, находящиеся в директории веб-сайта, некоторые даже по 2 раза. 

Файлы, связанные с KimcilWare Ransomware:
README_FOR_UNLOCK.txt

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 ID Ransomware
 Fortinet blog
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

вторник, 29 марта 2016 г.

MireWare

MireWare Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы обратно. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии. См. также KimcilWare

К зашифрованным данным добавляются расширения .bleeped, .fucked, .fuck 

© Генеалогия: Hidden Tear modified >> MafiaWare > MireWare 




Записка о выкупе READ_IT.txt размещается на Рабочем столе и в корне каждого диска. 

Содержание записки о выкупе: 
Files have been encrypted
Send me some bitcoins to decrypte your files
Contact tuyuljahat@hotmail.com for more information and deal!

Перевод на русский язык:
Файлы были зашифрованы
Отправь мне биткоины, чтобы дешифровать файлы
Пишите на tuyuljahat@hotmail.com для информации и сделки!

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml

Файлы, связанные с этим Ransomware:
%UserProfile% \Desktop\READ_IT.txt
hidden-tear.exe
<random>.exe

В настоящее время C&C-серверы вымогателей отключены, потому вымогатель подключиться к серверу через HTTPS не может. Есть сведения, что вымогатели сменили сервера, переписали шифровальщики и используют для атаки пользователей другие Ransomware: KimcilWare, 8lock8 и ряд других пока малоизвестных. 

Степень распространённости: низкая.
Подробные сведения собираются. 


 Внимание!!! 
Для зашифрованных файлов есть декриптер. 

понедельник, 28 марта 2016 г.

Lortok

Lortok Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 5 долларов, чтобы вернуть файлы обратно. Ориентирован на русскоязычных пользователей. Активность этого крипто-вымогателя пришлась на январь-март 2016 г. В 2017 году были обнаружены новые случаи заражения. 

  К зашифрованным файлам добавляются расширения .crime или .<ID жертвы> или .<victim_ID>, в их числе расширения по шаблону с 8-ю случайными буквами и цифрами, т.е. .<random8>, например:
.f84cbfea
.ku2bcg3h
.3betfr5u
Примеры файлов с расширением .<random8>

  Записка с требованием выкупа называется ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt 

  Примечательно, что в 2014-2015 гг. было множество криптовымогателей с тем же названием записки и тем же текстом внутри. Различие было лишь в начале "Для этого откройте ярлык 'Онлайн консультант' (другой вариант 'Ваш консультант'), который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл", да и расширение добавлялось .AES256 или другое. Компании ЛК удалось создать декриптор для вредоносов этого типа.

Оригинальный текст записки о выкупе:
Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
СТОИМОСТЬ РАСШИФРОВКИ ФАЙЛОВ 5$
Для этого выполните следующие действия:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'xxxx://3qo5aqjlesrudfm3.onion/?id=...' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте
--------------------------------------------------------------
Для авторизации на сайте используйте:
ID: ffc75... 
HashID: 4f85fadb2...
--------------------------------------------------------------
1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.
--------------------------------------------------------------
Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.
--------------------------------------------------------------
Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard


Технические детали

  После попадания на ПК жертвы Lortok создаёт свою копию в директориях:
C:\Users\Администратор\AppData\Roaming\installdir\help.exe
C:\Users\Администратор\AppData\Roaming\update_<случайный букво-цифрокод>.exe

Файлы, связанные с этим Ransomware:
ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt
help.exe
update_{Ransom_name}.exe


Расположения:
%USERPROFILE%\AppData\Roaming\installdir\help.exe
%USERPROFILE%\AppData\Roaming\update_<random_name>.exe

Сетевые подключения и связи:
xxxx://3qo5aqjlesrudfm3.onion***
xxxx://2hscl4fwxetqdiml.onion***


Степень распространённости: средняя. 
Подробные сведения собираются регулярно.



Внимание! 
Для зашифрованных файлов есть декриптор
Скачать RakhniDecryptor для Lortok >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Lortok)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 Thyrex
 victim in the topics of support
 

© Amigo-A (Andrew Ivanov): All blog articles.

Coverton

Coverton Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Активность этого крипто-вымогателя пришлась на март 2016 г. Распространялось несколько вариантов вымогателя. 

В зависимости от того, каким вариантом Coverton компьютер был заражен, зашифрованные файлы получали расширения .coverton, .enigma, .czvxce. Так, например, файл test.jpg становился файлом test.jpg.coverton, test.jpg.enigma или test.jpg.czvxce. 

  Некоторые жертвы, пострадавшие от атаки этого вредоноса, поспешили выплатить выкуп, но после получения дешифровщика оказалось, что он не может дешифровать зашифрованные файлы

  Записки с требованием выкупа называются:  !!!-WARNING-!!!.html и !!!-WARNING-!!!.txt. 
Они размещаются в каждой папке с зашифрованными файлами. В них есть инструкция о том, как получить доступ к TOR-сайту вымогателей для дешифрования и проведения оплаты.
HTML-записка с требованием выкупа

TXT-записка с требованием выкупа

 Содержание записки о выкупе: 
Warning! 
What happened to your computer?
All your files on hard drives, removable media and network files were encrypted by a cryptographically strong algorithm AES-256 with encryption key RSA-2048. The expansion of encrypted files is.
For the time the decryption of AES-256 is impossible.

What have you to do?

To receive a pair of keys for decrypting your files you have to go through the following steps:
Simple variant: click to {custom URL for the infected user} and follow the instructions OR complex variant:
1. Download TOR Browser: ***link delete***
2. Open link in TOR Browser: ***link delete***
3. Follow the instructions.

We recommend you not to disconnect your computer from the electrical supply.

We recommend you not to disconnect your computer from the Internet.
We recommend you not to extract the encrypted electronic data carriers.

Danger!

Do not try to cheat the system, do not attempt to edit encrypted files, do not attempt to remove the program.
Such actions can easily bring to the inability to recover your files and data, so we can not help.
The key to decrypt your files is stored on our remote server.

 Перевод записки на русский язык: 
Внимание!
Что случилось с вашим компьютером?
Все ваши файлы на жестких дисках, сменных носителях и сетевые файлы были зашифрованы с помощью криптостойкого алгоритма AES-256 с ключом шифрования RSA-2048. Расширение у зашифрованных файлов... Сегодня дешифровать AES-256 невозможно. 

Что вам делать?

Для получения пары ключей для дешифровки файлов вы должны сделать следующие шаги:
Простой вариант: кликнуть тут {скрыт URL для зараженного пользователя} и по инструкции или сложным вариант:
1. Скачать TOR Browser: *** ссылка удалена ***
2. Открыть ссылку в Tor-браузере *** ссылка удалена ***
3. Следовать инструкциям.

Мы рекомендуем не отключать компьютер от электросети.

Мы не рекомендуем отключать компьютер от сети Интернет.
Мы не рекомендуем извлекать зашифрованные носители информации.

Опасно!

Не пытайтесь обмануть систему, не пытайтесь редактировать зашифрованные файлы, не пытайтесь удалить программу.
Такие действия могут легко привести к невозможности восстановления файлов и данных, потому мы не сможем помочь.
Ключ для дешифровки файлов хранится на нашем удаленном сервере.


Технические детали


 Распространяется с помощью email-спама и вредоносных вложений. Запустившись в первый раз в системе Coverton копирует себя в %UserProfile%\userlog.exe и настраивает автозагрузку вместе с Windows. Сканируя файлы на компьютере, он ищет файлы с целевыми расширениями и шифрует их. 

 Список файловых расширений, подвергающихся шифрованию: 
1cd, 1st, 2bp, 3dm, 3ds, 3fr, 4db, 4dl, 4mp, 73i, 787, 7z, 7z001, 7z002, 8xi, 980, 9png, a00, a01, a02, a3d, abm, abs, abw, accdb, accdc, accde, accdr, accdt, accdw, accft, ace, act, adn, adp, af2, af3, aft, afx, agg, agif, agp, ahd, ai, aic, aim, ain, albm, alf, alz, ani, ans, apd, apm, apng, aps, apt, apx, apz, ar, arc, arh, ari, arj, ark, art, artwork, arw, asc, ascii, ase, ask, asp, aspx, asw, asy, aty, avatar, awdb, awp, awt, aww, axx, azz, b1, b64, ba, backup, bad, bak, bay, bbs, bdb, bdp, bdr, bean, bh, bhx, bib, blend, blkrt, bm2, bmp, bmx, bmz, bna, bnd, bndl, boc, bok, boo, brk, brn, brt, bss, btd, bti, btr, bz, bz2, bza, bzabw, bzip, bzip2, c00, c01, c02, c10, c4, c4d, cal, cals, can, car, cb7, cba, cbr, cbz, cd5, cdb, cdc, cdg, cdmm, cdmt, cdmtz, cdmz, cdr, cdr3, cdr4, cdr6, cdrw, cdt, cdz, cf, cfu, cgm, chart, chord, cimg, cin, cit, ckp, clkw, cma, cmx, cnm, cnv, colz, cp9, cpc, cpd, cpg, cps, cpt, cpx, cr2, crd, crwl, css, csv, csy, ct, cv5, cvg, cvi, cvs, cvx, cwt, cxf, cyi, czip, daconnections, dacpac, dad, dadiagrams, daf, daschema, db, db2, db3, dbc, dbf, dbk, dbs, dbt, dbv, dbx, dc2, dca, dcb, dcr, dcs, dct, dcx, dd, ddl, ddoc, dds, deb, ded, design, df1, dgc, dgn, dgs, dgt, dhs, dib, dicom, dist, diz, djv, djvu, dm3, dmi, dmo, dnc, dne, doc, docm, docx, docxml, docz, dot, dotm, dotx, dp1, dpp, dpx, dqy, drw, drz, dsk, dsn, dsv, dt, dt2, dta, dtsx, dtw, dvi, dvl, dwg, dx, dxb, dxf, dxl, dz, eco, ecs, ecw, ecx, edb, efd, efw, egc, eio, eip, eit, email, emd, emf, emlx, ep, epf, epi, epp, eps, epsf, eql, erf, err, etf, etx, euc, exr, f, fadein, fal, faq, fax, fb2, fb3, fbl, fbx, fcd, fcf, fdb, fdf, fdp, fdr, fds, fdt, fdx, fdxt, fes, fft, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fic, fid, fif, fig, fil, flc, fli, flr, fm5, fmp, fmp12, fmpsl, fmv, fodt, fol, fountain, fp3, fp4, fp5, fp7, fp8, fpos, fpt, fpx, frt, ft10, ft11, ft7, ft8, ft9, ftn, fwdn, fxc, fxg, fzb, fzv, g3, gca, gcdp, gdb, gdoc, gdraw, gem, geo, gfb, gfie, ggr, gif, gih, gim, gio, glox, gmbck, gmspr, gmz, gpd, gpn, gro, grob, grs, gsd, gthr, gtp, gv, gwi, gz, gz2, gza, gzi, gzip, ha, hbc, hbc2, hbe, hbk, hdb, hdp, hdr, hht, his, hki, hki1, hki2, hpg, hpgl, hpi, hpl, hs, htc, html, hwp, hz, i3d, ib, icn, icon, icpr, idc, idea, idx, igt, igx, ihx, iil, iiq, imd, info, ink, int, ipf, ipx, itc2, itdb, itw, iwi, j, j2c, j2k, jarvis, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jis, jng, joe, jp1, jp2, jpe, jpeg, jpg, jpg2, jps, jpx, jrtf, jtf, jtx, jwl, jxr, kdb, kdbx, kdc, kdi, kdk, kes, kic, klg, knt, kon, kpg, kwd, latex, lbm, lbt, lgc, lis, lit, ljp, lmk, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwo, lwp, lws, lxfml, lyt, lyx, m3d, ma, mac, maf, man, map, maq, mat, max, mb, mbm, mbox, md5txt, mdb, mdbhtml, mdf, mdn, mdt, me, mef, mell, mft, mgcb, mgmf, mgmt, mgmx, mgtx, mhtml, min, mmat, mng, mnr, mnt, mobi, mos, mpf, mpo, mrg, mrxs, msg, mt9, mud, mwb, mwp, mxl, myd, myl, ncr, nct, ndf, nfo, njx, nlm, notes, now, nrw, ns2, ns3, ns4, nsf, nv2, nwctxt, nyf, nzb, obj, oc3, oc4, oc5, oce, oci, ocr, odb, odm, odo, ods, odt, ofl, oft, omf, openbsd, oplc, oqy, ora, orf, ort, orx, ota, otg, oti, ott, ovp, ovr, owc, owg, oyx, ozb, ozj, ozt, p7s, p96, p97, pages, pal, pan, pano, pap, pbm, pc1, pc2, pc3, pcd, pcs, pcx, pdb, pdd, pdf, pdm, pdn, pe4, pef, pfd, pff, pfi, pfs, pfv, pfx, pgf, pgm, phm, php, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, pjt, pl, plantuml, plt, pm, pmg, png, pni, pnm, pntg, pnz, pobj, pop, pp4, pp5, ppm, ppt, pptm, pptx, prt, prw, ps, psd, psdx, pse, psid, psp, pspbrush, psw, ptg, pth, ptx, pu, pvj, pvm, pvr, pwa, pwi, pwr, px, pxr, pz3, pza, pzp, pzs, qdl, qmg, qpx, qry, qvd, ras, raw, rctd, rcu, rdb, rdl, readme, rft, rgb, rgf, rib, ric, riff, ris, rix, rle, rli, rng, rpd, rpf, rpt, rri, rs, rsb, rsd, rsr, rst, rt, rtd, rtf, rtx, run, rw2, rwl, rzk, rzn, s2mv, s3m, saf, safetext, sai, sam, save, sbf, scad, scc, sci, scm, scriv, scrivx, sct, scv, scw, sdb, sdf, sdm, sdoc, sdw, sep, sfc, sfera, sfw, sgm, sig, sk1, sk2, skcard, skm, sla, slagz, sld, sldasm, slddrt, sldprt, sls, smf, smil, sms, snagitstamps, snagstyles, sob, spa, spe, sph, spj, spp, spq, spr, sqb, sql, sqlite, sqlite3, sqlitedb, sr2, srw, ssa, ssfn, ssk, st, ste, stm, stn, stp, str, strings, stw, sty, sub, sumo, sva, svf, svg, svgz, swf, sxd, sxg, sxw, t2b, tab, tb0, tbn, tcx, tdf, tdt, te, teacher, tex, text, tfc, tg4, tga, thm, thp, thumb, tid, tif, tiff, tivo, tix, tjp, tlb, tlc, tlx, .tlzma, tm, tm2, tmd, tmv, tmx, tn, tne, tpc, tpi, trelby, trm, tvj, txt, u3d, u3i, udb, ufo, ufr, uga, unauth, unity, unx, uof, uot, upd, usr, utf8, utxt, v12, vault, vbr, vct, vda, vdb, vec, vff, vml, vnt, vpd, vpe, vrml, vrp, vsd, vsdm, vsdx, vsm, vst, vstm, vstx, vue, vw, wb1, wbc, wbd, wbk, wbm, wbmp, wbz, wcf, wdb, wdp, webdoc, webp, wgz, wire, wlmp, wmdb, wmf, wn, wp, wp4, wp5, wp6, wp7, wpa, wpb, wpd, wpe, wpg, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, wvl, x, x3d, x3f, xar, xbdoc, xbplate, xdb, xdl, xef, xej, xel, xesc, xez, xfl, xhtml, xld, xlf, xlgc, xlmv, xls, xlsm, xlsx, xm, xmcdz, xmind, xmmap, xmv, xpi, xpm, xps, xvid, xwp, xx, xy3, xyp, xyw, xz, y, yal, ybk, yml, ysp, yz, yz1, z, z01, z02, z03, z04, z3d, zabw, zap, zdb, zdc, zfsendtotarget, zi, zif, zip, zipx, zix, zl, zoo, zpi, zw, zz (988 расширений). 
На сайте Symantec указано ещё больше — 1479 расширений. 

   Coverton также удаляет теневые копии файлов и точки восстановления, чтобы их нельзя было использовать для восстановления зашифрованных файлов. Затем передаёт информацию о проделанной работе (начало работы, начало шифрования, окончание шифрования, количество зашифрованных файлов, общий размер зашифрованных файлов и пр.) на C&C-сервер. Эта информация будет использована на TOR-сайте вымогателей при отображении статистики.

TOR-сайт вымогателей называется Corveton Decryptor. Здесь жертва будет видеть информацию о том, сколько на компьютере было зашифровано файлов и каков их общий размер. Каждой жертве присваивается уникальный Bitcoin-адрес, который требуется для отправки выкупа в 1 Bitcoin.
Внешний вид Corveton Decryptor
Сайт Corveton Decryptor

  После уплаты выкупа в 1 Bitcoin эта страница отобразит ссылку для загрузки дешифратора. Но как показал опыт заплативших, выкуп бесполезен, т.к. дешифратор некорректно дешифрует все зашифрованные файлы. Таким образом, оплачивая выкуп, пострадавшие рискуют потерять не только файлы, но и деньги.

 Файлы Coverton Ransomware (копии себя)
%System%\crrss.exe
%UserProfile%\userlog.exe

Файлы, связанные с Coverton Ransomware Family:
%UserProfile%\userlog.exe
%UserProfile%\Desktop\!!!-WARNING-!!!.html
%UserProfile%\Desktop\!!!-WARNING-!!!.txt
%UserProfile%\Desktop\old

Записи реестра, связанные с Coverton Ransomware Family:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\userlog    %UserProfile%\userlog.exe

Записи реестра для автозапуска Coverton Ransomware: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"crrss" = "%System%\crrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"userlog" = "%UserProfile%\userlog.exe”

Другие записи реестра Coverton Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = 
"%System%\userinit.exe,%System%\crrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\CharMap\"Guid" = "[BINARY DATA]"
Write-up on BC >>

 Степень распространённости: средняя. 
 Подробные сведения собираются.

воскресенье, 27 марта 2016 г.

Booyah, Salam!

Booyah Ransomware

Salam! Ransomware

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные, а затем требует 1-2 BTC, чтобы вернуть файлы обратно. Через неделю сумма выкупа увеличивается до 7 BTC. На файле может быть написано, что угодно. Разработчик: Mohammad. 

© Генеалогия: Booyah (Salam!) ⇔ CryptoBitMobef

К зашифрованным файлам добавляется расширение .keyz 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: WHATHAPPENEDTOYOURFILES.txt

Содержание записки о выкупе: 
Your ID: 757575
***
Hi. Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. If you pay me today, the price is only 1 bitcoin.
If you pay me tomorrow, you will have to pay 2 bitcoins. If you pay me one week later the price will be 7 bitcoins and so on. So, hurry up.
Contact me using this email address: mohammad@opensourcemail.org

Перевод записки на русский:
Ваш ID :  757575 
*** 
Привет. Ваши файлы зашифрованы. У меня есть ключ для их дешифровки. 
Я дам вам декриптер, если вы заплатите мне. Если платите сегодня, то всего 1 Bitcoin. 
Если платите мне завтра, то 2 Bitcoins. Если через неделю, то цена будет 7 Bitcoins и так далее. Так что, поторопитесь.
Контакт со мной, используя этот email-адрес: mohammad@opensourcemail.org

Другим информатором жертвы выступает изображение на рабочем столе с тем же текстом о выкупе.
Примеры из разных версий Windows

Третьим информатором жертвы выступает диалоговое окно от разработчика-вымогателя оп имени Мохаммад. 
Содержание текста:
My name is Mohammad and I just tried to infect you with malware.
If you'd like to tell me what a twat I am, email: mohammad@opensourcemail.org
PS: You should really consider getting an antivirus, even a free one will help!

Перевод на русский язык:
Меня зовут Мохаммад, и я попытался заразить вас вредоносным ПО.
Если вы хотите сообщить мне, то мой email: mohammad@opensourcemail.org
PS: Вы должны подумать о получении антивируса, даже бесплатный поможет!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Booyah Ransomware устанавливается как программа (используется Nullsoft Scriptable Install System, NSIS), содержит упакованную DLL, которая и выполняет шифрование. 

Список зашифрованных файлов хранится в незашифрованном файле в директории %APPDATA%\%ID%, например, в %APPDATA%\757575 из примера.

Список файловых расширений, подвергающихся шифрованию:
.aif, .aifc, .aiff, .asf, .asx, .au, .bmp, .dib, .doc, .docx, .dot, .dvr-ms, .emf, .gif, .hta, .htm, .html, .ico, .IVF, .jfif, .jpe, .jpeg, .jpg, .m1v, .m3u, .mht, .mid, .midi, .mp2, .mp2v, .mp3, .mpa, .mpe, .mpeg, .mpg, .mpv2, .pdf, .png, .pot, .pps, .ppt, .pptx, .rle, .rmi, .rtf, .snd, .tif, .tiff, .wav, .wax, .wm, .wma, .wmf, .wmv, .wmx, .wvx, .xbap, .xls, .xlsx, .xlt, .xlw, .xml, .xps, .zip (64 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Шифровальщик пропускает папки, содержащие следующие строки:
application
audio
compressed
document
gamemedia
image
system
text
video
Иконка исполняемого файла

Файлы, связанные с этим Ransomware:
booyah.exe (<random>.exe) - основной исполняемый файл;
tribologists.dll - dll-ка шифровальщика;
WHATHAPPENDTOYOURFILES.TXT - записка о выкупе; 
CRIPTOSO.KEY - специальный файл, находится в каждой папке, где есть зашифрованные файлы.
Файл CRIPTOSO.KEY нужно предоставлять вымогателю для получения декриптера и персонального ключа дешифрования после уплаты выкупа. 
<8_numbers_ID>

Расположения:
\AppData\<8_numbers_ID>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://videodrome69.com/2/booyah.exe
xxxx://videodrome69.com/knock.php?id=758275
IP: 200.74.241.151
Email: mohammad@opensourcemail.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Booyah)
 Write-up, Topic of Support
 Video review 
 Thanks: 
 Michael Gillespie
 TrendMicro
 GrujaRS
 victim of crypto-ransomware
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 24 марта 2016 г.

Petya

Petya Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует жёсткий диск компьютера, портит таблицу размещения файлов NTFS, известную как MFT. Работа с диском выполняется на низком посекторном уровне, в результате чего полностью теряется доступ ко всем файлам на томе.

На момент написания статьи исследователи предполагали, что блокируется только доступ к файлам, но сами файлы не шифруются. Но другие исследователи замечают, что при повреждённом MFT файлы на диске всё равно будут недоступны. 

👉 Примечательно, что этот первый Petya не мог обходить UAC, потому запрашивал административные привилегии на установку, чтобы потом тайно изменить MBR. Если привилегий он не получал, то ничего плохого на компьютере не делал.

© Генеалогия: Petya > Petya+Mischa (Petya-2) > GoldenEye (Petya-3) > ☠ Petna ...
Обратите внимание на логотип крипто-вымогателя. 
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами. 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает экран блокировки, где на красном фоне белыми буквами написаны основные требования вымогателей. 

Содержание записки о выкупе:
You became victim of the PETYA RANSOMWARE!
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Enter your personal decryption code there:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
If you already purchased your key, please enter it below.
Key: _

Перевод записки на русский язык:
Вы стали жертвой PETYA RANSOMWARE!
Жёсткие диски вашего компьютера были зашифрованы с алгоритмом шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице тёмной сети, показанной на шаге 2-м.
Чтобы приобрести ключ и восстановить свои данные, выполните следующие три простых шага:
1. Загрузите Tor-браузер со страницы xxxxs://www.torproject.org/. Если вам нужна помощь, то погуглите для "доступа к onion-сайтам".
2. Посетите одну из следующих страниц с помощью Tor-браузера:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Введите свой личный код дешифрования:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
Если вы уже приобрели свой ключ, введите его ниже.
Ключ: _



Технические детали

Вредоносное ПО Petya, вероятно, разработано специально для атак на организации и предприятия. Распространяется с помощью фишинговых электронных писем (email-спама), адресованных отделам кадров, специалистам по кадрам, тем кто обязан просматривать резюме кандидатов на вакантную должность (т.н. соискателей)См. также "Основные способы распространения криптовымогателей" на вводной странице блога.



Письма приходят якобы от соискателей и содержат резюме и ссылку на Dropbox, откуда якобы можно загрузить "портфолио". Но вместо портфолио по ссылке находится вредоносный файл – Bewerbungsmappe-gepackt.exe (что-то вроде "application_portfolio-packed", если перевести название на английский).

После нажатия на эту ссылку загружается EXE-файл, а при попытке его запуска система аварийно завершает работу, появляется синий экран и перезагружается компьютер. До перезагрузки Petya изменяет MBR диска, тем самым получая контроль над процессом перезагрузки компьютера.

После перезагрузки компьютера жертва увидит имитацию стандартной для Windows проверки диска (CHKDSK). На этом экране утверждается, что запускается проверка диска, но на самом деле это тот момент, когда файлы на ПК становятся недоступными для пользователя. 
По окончании "проверки" на экране компьютера загружается не операционная система, а экран блокировки Petya. Сначала появляется мигающий экран, где на красном фоне "красуется" стилизованное изображение черепа с костями. Здесь от жертвы требуется только Press Any Key (нажать любую клавишу).
На следующем экране пострадавшему сообщается, что все данные на его жёстких дисках были зашифрованы при помощи некоего "военного алгоритма шифрования", и восстановить их невозможно. Приводится также инструкция по покупке ключа для разблокировки компьютера: "сделать три простых шага": скачать Tor Browser, перейти по заданной ссылке и оплатить ключ для дешифровки. Через 7 дней цена на ключ дешифрования удвоится (см. ниже скриншот, демонстрирующий отсчет оставшегося времени).

Список файловых расширений, подвергающихся шифрованию:
Не определён. Но это в первую очередь могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Или же все файлы без разбора. 

Файлы, связанные с этим Ransomware:
Bewerbungsmappe-gepackt.exe
<random>.exe
petya_dlab.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на petya_dlab.dll >> 
Коллекция образцов Petya за всё время (см. вкладку "Родство") >>

Степень распространённости: средняя, но перспективно высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Write-up, Topic of Support
 Video review 
 Thanks: 
 G DATA 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton