Magic Ransomware
Memekap Ransomware
(шифровальщик-вымогатель)
Название получил от добавляемого расширения или исполняемого файла вымогателя. Magic представляет собой копию крипто-вымогателя EDA2 с открытым исходным кодом. В Microsoft (19 декабря 2015 г.) и TrendMicro (26 января 2016) используется название Memekap.
© Генеалогия: EDA2 >> Memekap ⟺ Magic > HugeMe
✋Внимание!!! Microsoft не опубликовали технических деталей. Они есть только у TrendMicro. TM упоминают в своей статье про Memekap о Magic как о другом (обновлённом) образце вымогателя на основе EDA2.
Таким образом, собрав воедино все сведения, я внёс корректировки в эту статью.
1) Есть ряд различий в версиях Memekap и Magic: расширение, добавляемое к зашифрованным файлам, другой exe-файл, разное количество типов файлов, подвергающихся шифрованию (у Memekap - 416, у Magic - 473).
2) Но совпадает текст записок о выкупе, их имена, а самое главное — те же email-адреса и тот же Bitcoin-адрес. Значит за ними стоит одна и та же группа вымогателей.
К зашифрованным файлам добавляется расширение .magic.
Активность этого криптовымогателя пришлась на декабрь 2015 - январь 2016 (Memekap) и январь-февраль 2016 (Magic).
На протяжении 2016 года образцы ещё попадаются и, судя по образцам новой версии, найденным в октябре 2016, эта вредоносная разработка продолжается. Ориентирован на англоязычных пользователей.
В феврале 2017 г. появилось ещё одно "продолжение" под названием HugeMe Ransomware.
Записки с требованием выкупа называются:
DECRYPT.TXT
DECRYPT_ReadMe.TXT.ReadMe
DECRYPT_ReadMe1.TXT.ReadMe
Содержание записки о выкупе:
All your files encrypted with strong encryption.
To unlock your files you must pay 1 bitcoin to address :
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
You can search google for how to buy and send bitcoin in your country.
After you send the bitcoin email to :
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
use all email to communicate with the information of username and pcname and the time you send bitcoins.
When we will confirme the transaction you will receive decryption key and decryption program.
Price depend on the system. If you have a sql server or server based system send 2 bitcoin.
If your network share or system encrypted with axx extensions email to discuss price to decrypt your system.
Перевод записки на русский язык:
Все твои файлы зашифрованы с сильным шифрованием.
Для разблока файлов ты должен заплатить 1 Bitcoin на адрес:
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
Ты можешь поискать в Google как купить и отправить Bitcoin в твоей стране.
После отправки Bitcoin напиши на email:
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
используй все email для контакта c информацией о пользователе и ПК-имя и времени отправки биткоинов.
Когда мы подтвердим транзакцию ты получишь ключ дешифрования и дешифратор.
Цена зависит от системы. Если у тебя есть SQL сервер или система на базе сервера, отправь 2 биткоина.
Если твои сетевые ресурсы или система зашифрованы с axx-расширениями, то пиши на email, чтобы обсудить цену для расшифровки твоей системы.
Примечательно, что расширения .axx использует AxCrypt Ransomware, значит эти крипто-вымогатели взаимосвязаны.
Устанавливается через взлом терминальных служб или с использование протокола удаленного рабочего стола. Но вполне может начать распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, если уже не начал.
После шифрования, чтобы лишить жертву возможности восстановления данных, удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet
Список файловых расширений, подвергающихся шифрованию (в версии Memekap):
.aac, .abk, .abw, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .ccd, .cch, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cpp, .crd, .crt, .crw, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .exif, .faq, .fcd, .fdr, .fds, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gzig, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .plc, .pli, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .shar, .shr, .shw, .slt, .snp, .spr, .sql, .sqx, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .zap, .zip, .zipx, .zoo (416 расширений).
Список файловых расширений, подвергающихся шифрованию (в версии Magic):
.1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (473 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Во время шифрования пропускаются директории:
C:\Windows
C:\Program
По окончании шифрования дисков выполняется bat-файл, проводящий зачистку исполняемых файлов крипто-вымогателя.
После чего жертве показываются уведомления — это текстовые файлы DECRYPT.TXT и DECRYPT_ReadMe.TXT.ReadMe, записки с требованием выкупа, которые сохраняются на рабочем столе.
Файлы, связанные с Magic Ransomware:
magic.exe - исполняемый файл вымогателя;
ransomware.exe - исполняемый файл вымогателя (вариант);
<random_name>.exe - исполняемый файл вымогателя (вариант);
DECRYPT.TXT - записка с требованием выкупа
DECRYPT_ReadMe.TXT.ReadMe - записка с требованием выкупа
DECRYPT_ReadMe1.TXT.ReadMe - добавляется лог
deleteMyProgram.bat - bat-файл, используется для удаления теневых копий и зачистки файлов вымогателя
Расположение:
%Desktop%\DECRYPT.TXT
%Desktop%\DECRYPT_ReadMe.TXT.ReadMe
%Desktop%\DECRYPT_ReadMe1.TXT.ReadMe
%Desktop%\\deleteMyProgram.bat
Записи реестра, связанные с Magic Ransomware:
***не указаны***
Сетевые подключения:
xxxx://reloaded.orgfree.com/new/my.php
xxxx://reloaded.orgfree.com/new/your.php
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Обновление: 5 октября 2016:
Использование продолжается.
Версия: 5.4.3.2
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Write-up on BC + 2nd Write-up on BC + Write-up on TM Topic on BC Моя статья на SZ
Thanks: TrendMicro Lawrence Abrams, Michael Gillespie, Мне самому как SNS-amigo *
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.