Если вы не видите здесь изображений, то используйте VPN.

среда, 23 марта 2016 г.

Maktub Locker

Maktub Locker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1,4 биткоинов, чтобы вернуть файлы. По прошествии времени сумма может увеличиться и достигнуть уровня 3,9 биткоинов. Название оригинальное: Maktub - по арабски: "судьба" или "предначертанное".

© Генеалогия: Начало.

К зашифрованным файлам добавляется случайное расширение: .<random>

Этот шифровальщик не только шифрует файлы, но и сжимает их так, что сжатый файл становится буквально крошечным. См. пример. 

Активность этого криптовымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: _DECRYPT_INFO_[random].html

Содержание текста о выкупе:
WARNING!
Your personal files are encrypted!
11:54:16
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. The server will eliminate the key after a time period specified in this window.
Open http://qjuyyhqqzfeluxe7.onion.link
or http://qjuyyhqqzfeluxe7.torstorm.org
or http://qjuyyhqqzfeluxe7.tor2web.org
in your browser. They are public gates to the secret server.
If you have problems with gates, use direct connection:
1) Download TOR Browser from http://torproject.org
2) In the Tor Browser open the http://qjuyyhqqzfeluxe7.onion
(Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable).
Write in the following public key in the input form on server:
*****

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Ваши личные файлы зашифрованы!
11:54:16
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с сильным шифрованием и уникальным ключом, сгенерированным для этого компьютера. Секретный ключ дешифрования хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы не заплатите и получите секретный ключ. Сервер удалит ключ после определенного периода времени, указанного в этом окне.
Откройте http://qjuyyhqqzfeluxe7.onion.link
или http://qjuyyhqqzfeluxe7.torstorm.org
или http://qjuyyhqqzfeluxe7.tor2web.org
в вашем браузере. Они являются публичными путями на секретный сервер.
Если у вас есть проблемы с ними, используйте прямое подключение:
1) Скачать Tor Browser из http://torproject.org
2) В браузере Tor открыть http://qjuyyhqqzfeluxe7.onion
(Обратите внимание, что этот сервер доступен только через Tor Browser. Повторите попытку через 1 час, если сайт недоступен).
Запишите в следующем открытый ключ в форме входа на сервер:
*****

Распространяется с помощью email-спама и вредоносных вложений (например, исполняемый файл с расширением .SCR), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Вредоносное приложение сработает при открытии вложения. Пример файла вложения — это TOS-update-2016-Marth-18.scr
Если пользователь бездумно запустит вложение, то сначала увидит документ Word (см. скриншот выше) типа "обновление условия использования", тогда как вымогатель уже начинает шифрование данных. 


По завершении шифрования файлов Maktub оставит записку с требованием выкупа _DECRYPT_INFO_[random].html

Примечательно, Tor-сайт у Maktub Locker на день написания статьи является, наверное, самым дизайнерски проработанным вымогательским сайтом. Он разделен на 5 страниц, каждая из которых имеет свою собственную художественную тему. Они могли быть созданы самими разработчиками, а логотип взят у дизайнера на Deviant Art.

Для наглядности я сделал из скриншотов пяти страниц сайта вымогателей одно анимированное изображение. 

1. Первая страница представляет собой краткое изложение того, что случилось с файлами жертвы.
2. На второй представлена процедура бесплатного дешифрования двух зашифрованных файлов жертвы.
3. На третьей показаны этапы оплаты, которые может выбрать жертва (сумма выкупа может возрасти).
4. Четвертая содержит уникальный Bitcoin-адрес, на который жертва должна перевести выкуп.
5. Пятая страница представляет стандартный способ, как и где купить биткоины.

Содержание страниц сайта с переводом на русский язык:

1. HELLO!
We're very sorry that all of your personal files have been encrypted :( But there are good news - they aren't gone, you still have the opportunity to restore them! Statistically, the lifespan of a hard-drive is anywhere from 3 to 5 years. If you don't make copies of important information, you could lose everything! Just imagine! In order to receive the program that will decrypt all of your files, you will need to pay a certain amount. But let's start with something else...

1. ПРИВЕТ!
Нам очень жаль, что все ваши личные файлы были зашифрованы :( Но есть хорошие новости - они не ушли, у вас еще есть возможность восстановить их! По статистике, продолжительность жизни жесткого диска составляет от 3 до 5 лет. Если вы не делаете копии важной информации, вы можете потерять все! Представьте! Для того, чтобы получить программу, которая будет расшифровывать все ваши файлы, вам нужно будет заплатить определенную сумму. Но давайте начнем с другого...

2. WE ARE NOT LYING! 
Googling 'MAKTUB LOCKER' will instantly bring up many sugestiong on deleting the program from your personal computer. But not one of the third party programs will be able to do the most important thing - to decrypt your files! In order to do this, you need to have the private master-key that only we have. And only we can restore all of your files. And to show that we aren't making unfounded statements, we'll prove it. Upload any encrypted file, no larger than 200kb, and we will decrypt it, absolutely free!
Files available to decrypt: 2

2. МЫ НЕ ЛЖЕМ!
Погуглите 'MAKTUB LOCKER' и мгновенно найдётся много советов по удалению программы с вашего ПК. Но ни одна из программ сторонних разработчиков не сможет сделать самое главное - расшифровать файлы! Чтобы это сделать, вам нужно иметь секретный мастер-ключ, который есть только у нас. И только мы можем восстановить все ваши файлы. И для подтверждения того, что мы не делаем необоснованных заявлений, мы это докажем. Добавьте любой зашифрованный файл не более 200 КБ, и мы его расшифруем, абсолютно бесплатно!
Файлы, доступные для расшифровки: 2

3. HOW MUCH DOES IT COST? 
We hope that you are convinced that we can decrypt all of your files. Now, the most important thing! The faster you transfer the money, the cheaper file decryption will be. At every stage of payment, you get 3 days or 72 hours. You can see the countdown in the right top comer. After the clock shows 00:00:00 you go to the next stage of payment and the price automatically increases. We only accep the electronic currency Bitcoin as a form of payment. Here is a table that shows the date of payment and the price. Your current stage is marked in yellow.

Stage Time of payment How much money should be sent
1 During the first 3 days 1.4 BTC (~$588)
2 From 3 to 6 days 1.9 BTC (~$798)
3 From 6 to 9 days 2.4 BTC (~$1008)
4 From 9 to 12 days 2.9 BTC (~$1218)
5 From 12 to 15 days 3.4 BTC (~$1428)
(*) More than 15 days 3.9 BTC (~$1638)

(*) After 15 days of no payment, we do not guarantee that we saved the key. This site can be disconnected at any moment and you will lose your data forever. Please take this seriously. 

3. СКОЛЬКО ЭТО СТОИТ?
Мы надеемся, что вы убедились в том, что мы можем расшифровать все ваши файлы. Теперь, самое главное! Чем быстрее вы переведёте деньги, тем дешевле будет дешифрование файлов. На каждом этапе оплаты вы получаете 3 дня или 72 часа. Вы можете видеть обратный отсчет времени в правом верхнем углу. После того, как часы покажут 00:00:00 вы переходите к следующему этапу оплаты и цена автоматически увеличивается. Мы принимаем только электронную валюту Bitcoin в качестве формы оплаты. Ниже приведена таблица, которая показывает дату оплаты и цены. Ваш нынешний этап отмечен жёлтым цветом.

Этап времени оплаты  Какую сумму нужно перевести
1 за первые 3 дня 1.4 BTC (~$588)
2 от 3 до 6 дней 1.9 BTC (~$798)
3 от 6 до 9 дней 2.4 BTC (~$1008)
4 от 9 to 12 дней 2.9 BTC (~$1218)
5 от 12 to 15 дней 3.4 BTC (~$1428)
6 (*) более 15 дней 3.9 BTC (~$1638)

(*) Через 15 дней без оплаты мы не можем гарантировать, что сохраним ключ. Этот сайт может быть отключен в любой момент, и вы потеряете ваши данные навсегда. Поверьте, это серьезно.

4. WHERE DO I PAY? 
The whole process of payment confirmation is automated! You won't have to wait while we manually check the status of the incoming payment. As soon as you send the money, it will only take a few hours for the system to automatically count them and create the program that will decode your files.
After sending your payment just refresh this site after a couple of hours.
You must transfer 1.4 BTC to the following address:
***

4. КАК МНЕ ОПЛАТИТЬ?
Весь процесс подтверждения оплаты автоматизирован! Вам не придется ждать, пока мы вручную проверим состояние входящего платежа. Как только вы пошлёте деньги, пройдёт всего несколько часов, система автоматически рассчитает их и создаст программу, которая будет декодировать файлы.
После отправки платежа просто обновите эту страницу через пару часов.
Вы должны передать 1.4 BTC по следующему адресу:
***

5. BITCOIN PURCHASE
If this is the first time you heard about Bitcoin, don't despair! Simply google this word and you will find all the answers. We can just recommend a few sites that will be of use to you.
Buying Bitcoins - This page aims to be the best resource for new users to understand how to buy Bitcoins
Localbitcoins (WU)  - Buy Bitcoins with Western Union
Coincafe.com - Recommended for fast, simple service. Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Service allows you to search for people in your community willing to sell bitcoins to you directly
btcdirect.eu - THE BEST FOR EUROPE
coinrnr.com - Another fast way to buy bitcoins
bitquick.co - Buy Bitcoins Instantly for Cash
How To Buy Bitcoins - An international directory of bitcoin exchanges
Cash Into Coins - Bticoin for cash
CoinJar - CoinJar allows direct bitcoin purchases on their site
ZipZap - Global cash payment network enabling consumers to pay for digital currency

5. ПОКУПКА BITCOIN 
Если это первый раз, когда вы услышали о Bitcoin, не пугайтесь! Просто гуглите это слово и вы найдете ответы на все вопросы. Мы можем порекомендовать несколько сайтов, которые будут для вас полезны.
Buying Bitcoins - Эта страница скорее всего лучший ресурс для новых пользователей, чтобы понять, как купить Bitcoins
Localbitcoins (WU)  - Купить Bitcoins с Western Union
Coincafe.com - Рекомендуется для быстрого и простого обслуживания. Способы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Сервис позволяет искать людей в вашем сообществе, готовых вам напрямую продать Bitcoins 
btcdirect.eu - ЛУЧШИЙ ДЛЯ ЕВРОПЫ
coinrnr.com - Еще один быстрый способ купить биткойны
bitquick.co - Купить Bitcoins мгновенно за наличные
How To Buy Bitcoins - международный каталог Bitcoin бирж
Cash Into Coins - Bticoin за наличные
CoinJar - CoinJar позволяет прямые покупки Bitcoin на своем сайте
ZipZap - Глобальная сеть оплаты наличными, позволяет потребителям платить за электронную валюту

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр. 

Не подвергаются шифрованию следующие папки с файлами:
\Internet Explorer\
\History\
\Mozilla\
\Chrome\
\Temp\
\Program files\
\Program files (x86)\
\Microsoft\
\Chache\
\Chaches\
\Appdata\

Файлы, связанные с этим Ransomware:
TOS-update-2016-Marth-18.scr
_DECRYPT_INFO_[random].html
<random>.exe
%TEMP%\cupydupy.cab

%TEMP%\<random>.rtf

Записи реестра, связанные с этим Ransomware:
См. результаты анализов. 

Сетевые подключения:
qunpack.ahteam.org
bs7aygotd2rnjl4o.onion.link

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 17 декабря 2016
Пост в Твиттере >>
Файл: ChartFewer.exe 
Фальш-имя: ChartFewer, Bitdefender
Записка: _DECRYPT_INFO_wypt.html
Расширение: .wypt
Результаты анализов: VT

Обновление от 22 марта 2017:
Файлы: 
invoice-03-21-2017-EZU280432-update.scr
invoice-03-21-2017-ENC197472.scr
Результаты анализов: VT, VT


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up on BC + Write-up on Malwarebytes
 My Write-up on SZ
 *
 Thanks: 
 Yonathan Klijnsma
 Michael Gillespie
 Lawrence Abrams
 I myself, as SNS-amigo :)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *