суббота, 23 января 2016 г.

Magic

Magic Ransomware

Memekap Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Обладателям серверов нужно заплатить 2 биткоина. 

Название получил от добавляемого расширения или исполняемого файла вымогателя. Magic представляет собой копию крипто-вымогателя EDA2 с открытым исходным кодом. В Microsoft (19 декабря 2015 г.) и TrendMicro (26 января 2016) используется название Memekap. 

© Генеалогия: EDA2 >> Memekap ⟺ Magic  > HugeMe

Внимание!!! Microsoft не опубликовали технических деталей. Они есть только у TrendMicro. TM упоминают в своей статье про Memekap о Magic как о другом (обновлённом) образце вымогателя на основе EDA2. 
Таким образом, собрав воедино все сведения, я внёс корректировки в эту статью. 
1) Есть ряд различий в версиях Memekap и Magic: расширение, добавляемое к зашифрованным файлам, другой exe-файл, разное количество типов файлов, подвергающихся шифрованию (у Memekap - 416, у Magic - 473). 
2) Но совпадает текст записок о выкупе, их имена, а самое главное — те же email-адреса и тот же Bitcoin-адрес. Значит за ними стоит одна и та же группа вымогателей. 

К зашифрованным файлам добавляется расширение .magic.

Активность этого криптовымогателя пришлась на декабрь 2015 - январь 2016 (Memekap) и январь-февраль 2016 (Magic). 
На протяжении 2016 года образцы ещё попадаются и, судя по образцам новой версии, найденным в октябре 2016, эта вредоносная разработка продолжается. Ориентирован на англоязычных пользователей.
В феврале 2017 г. появилось ещё одно "продолжение" под названием HugeMe Ransomware. 

Записки с требованием выкупа называются:
DECRYPT.TXT
DECRYPT_ReadMe.TXT.ReadMe
DECRYPT_ReadMe1.TXT.ReadMe

Содержание записки о выкупе:
All your files encrypted with strong encryption.
To unlock your files you must pay 1 bitcoin to address :
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
You can search google for how to buy and send bitcoin in your country.
After you send the bitcoin email to : 
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
use all email to communicate with the information of username and pcname and the time you send bitcoins.
When we will confirme the transaction you will receive decryption key and decryption program.
Price depend on the system. If you have a sql server or server based system send 2 bitcoin.
If your network share or system encrypted with axx extensions email to discuss price to decrypt your system.

Перевод записки на русский язык:
Все твои файлы зашифрованы с сильным шифрованием.
Для разблока файлов ты должен заплатить 1 Bitcoin на адрес:
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
Ты можешь поискать в Google как купить и отправить Bitcoin в твоей стране.
После отправки Bitcoin напиши на email:
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
используй все email для контакта c информацией о пользователе и ПК-имя и времени отправки биткоинов.
Когда мы подтвердим транзакцию ты получишь ключ дешифрования и дешифратор.
Цена зависит от системы. Если у тебя есть SQL сервер или система на базе сервера, отправь 2 биткоина.
Если твои сетевые ресурсы или система зашифрованы с axx-расширениями, то пиши на email, чтобы обсудить цену для расшифровки твоей системы.

Примечательно, что расширения .axx использует AxCrypt Ransomware, значит эти крипто-вымогатели взаимосвязаны. 

Устанавливается через взлом терминальных служб или с использование протокола удаленного рабочего стола. Но вполне может начать распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, если уже не начал. 

После шифрования, чтобы лишить жертву возможности восстановления данных, удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию (в версии Memekap):

.aac, .abk, .abw, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .ccd, .cch, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cpp, .crd, .crt, .crw, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .exif, .faq, .fcd, .fdr, .fds, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gzig, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .plc, .pli, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .shar, .shr, .shw, .slt, .snp, .spr, .sql, .sqx, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .zap, .zip, .zipx, .zoo (416 расширений). 

Список файловых расширений, подвергающихся шифрованию (в версии Magic):
 .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (473 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Во время шифрования пропускаются директории:
C:\Windows
C:\Program

По окончании шифрования дисков выполняется bat-файл, проводящий зачистку исполняемых файлов крипто-вымогателя. 

После чего жертве показываются уведомления — это текстовые файлы DECRYPT.TXT и DECRYPT_ReadMe.TXT.ReadMe, записки с требованием выкупа, которые сохраняются на рабочем столе.

Файлы, связанные с Magic Ransomware:

magic.exe -  исполняемый файл вымогателя;
ransomware.exe - исполняемый файл вымогателя (вариант);
<random_name>.exe - исполняемый файл вымогателя (вариант);
DECRYPT.TXT - записка с требованием выкупа
DECRYPT_ReadMe.TXT.ReadMe - записка с требованием выкупа
DECRYPT_ReadMe1.TXT.ReadMe - добавляется лог
deleteMyProgram.bat - bat-файл, используется для удаления теневых копий и зачистки файлов вымогателя

Расположение: 
%Desktop%\DECRYPT.TXT
%Desktop%\DECRYPT_ReadMe.TXT.ReadMe
%Desktop%\DECRYPT_ReadMe1.TXT.ReadMe
%Desktop%\\deleteMyProgram.bat

Записи реестра, связанные с Magic Ransomware:
***не указаны***

Сетевые подключения:
xxxx://reloaded.orgfree.com/new/my.php
xxxx://reloaded.orgfree.com/new/your.php
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Malwr анализ >>

Обновление: 5 октября:
Использование продолжается.
Версия: 5.4.3.2

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC + Write-up on TM
 Topic on BC
 Моя статья на SZ
 Thanks: 
 TrendMicro
 Lawrence Abrams, Michael Gillespie, 
 Мне самому как SNS-amigo
 *
 

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *