четверг, 10 марта 2016 г.

Pompous

Pompous Ransomware 

SkidLocker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в ~0,5 биткоинов, чтобы вернуть файлы (каждый раз сумма другая, например, 0,500437). Сумма менялась неслучайно, так вымогатель номеровал своих жертв. На уплату выкупа им давалось 72 часа. Название получил от напыщенного сообщения разработчика-вымогателя к своим жертвам во второй части запсики о выкупе. Другое название: SkidLocker

© Генеалогия: EDA2 >> Pompous (SkidLocker) >> MM Locker

К зашифрованным файлам добавляется расширение .Locked
Примечательно, что в системной папке Windows шифровальщик добавляет к файлам, не имеющим своих расширений, специальное расширение .mp4

Активность этого крипто-вымогателя пришлась на март-апрель 2016 г. Примечательно, что он сумел за один день зашифровать файлы у 700 жертв. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: READ_IT.txt
Вторым уведомлением о зашифрованных файлах является скринлок, т.е. изображение ransom.jpg, встающее обоями рабочего стола. Там только короткая фраза, указывающая на вышеназванный текстовый файл. 

Содержание части текстовой записки о выкупе:
Uh oh.  It looks like your data has been the victim of the encryption thief.  Your files have been encrypted with AES: search your drive for "locked" if you don't believe me .  Unfortunately you're going to have to pay some money to get your files back and your fee is approximately $200 in US Dollars.  I'll get right to the ugly details for that:
* You have 72 hours to make this happen as of 08/03/2016 22:57:36.  Otherwise, your files are lost for good.  I will delete the necessary code for all time and I don't even have to revisit your machine to do it.
* You will be paying by Bitcoin.  Don't worry, it is easy to figure out.  Your fee is 0.500437 BTC.  Pay this amount precisely, or I might not know who it was that paid in order to rescue them.
* Use LocalBitcoins.com.  It isn't hard to use, there are numerous ways to pay for my bitcoins on there, and most importantly, it is fast.  Did I mention you have 72 hours?
* The address you will be sending the bitcoins to is 192awRvM4V8LS24GSHj6o3v2fVQ5QYh4pB .
* Then you will wait for me to get the unlock code for you.  Your code will be shown here, http://let-me-help-you-with-that.webnode.com/ , under the amount you paid.  This may take a day or so: you are on my schedule now :P
* Once you have the code, you can unlock your files as follows:
*** Go to your Start Menu
*** In the search field, type "cmd".
*** Right click the cmd program.
*** Click Run As Administrator (doesn't have to be but files might be missed otherwise)
*** Click Yes to allow it to run like that.
*** Type "cd C:\Users\Wiwi"
*** Type "Decrypter.exe <Your Code>"
*** Other people's codes will not work for you, obviously.

That is basically it.  The rest of this document is a further description about your situation...

Перевод части записки на русский язык:
Ой-ой. Похоже, что ваши данные стали жертвой шифрования. Ваши файлы зашифрованы с помощью AES: поищите на диске "locked", если вы мне не верите мне. К сожалению, вы будете должны заплатить определенную сумму денег, чтобы получить ваши файлы обратно и эта сумма составляет около $200 в долларах США. Я имеют право сообщить неприятные деталей этого:
* У вас есть 72 часа, с момента когда это произошло, по состоянию на 08/03/2016 22:57:36. Иначе ваши файлы будут потеряны навсегда. Я удалю необходимый код после этого времени, и мне не состави труда, чтобы сделать это.
* Вы должны платить в биткоинах. Не волнуйтесь, это нетрудно. Ваш взнос составляет 0.500437 BTC. Заплатить надо точно эту сумму, или я не смогу узнать, кто что заплатил, чтобы спасти их.
* Используйте LocalBitcoins.com. Это не трудно. Есть много способов оплаты моих биткоинов там, и самое главное, это быстро. Я уже говорил, у вас есть 72 часа?
* Адрес, на который вы должны посылать биткоины это 192awRvM4V8LS24GSHj6o3v2fVQ5QYh4pB.
* Вы будете ждать меня, чтобы получить ваш код разблокировки. Ваш код будет показан здесь, http://let-me-help-you-with-that.webnode.com/, под сумму, которую вы заплатили. Это может занять день или больше...
* После того, как у вас будет код, вы можете разблокировать ваши файлы следующим образом: 
*** Перейдите в меню Пуск
*** В поле поиска введите "cmd".
*** Щелкните правой кнопкой мыши по "cmd" в меню.
*** Нажмите "Запуск от имени администратора"...
*** Нажмите Да, чтобы разрешить ему работать...
*** Тип "cd C:\Users\User_name"
*** Тип "Decrypter.exe <Ваш код>"
*** Чужие коды не будут работать у вас, наверное.

Это основное. Остальная часть этого документа относится к описанию вашей ситуации...

   Далее в записке разработчик-вымогатель, создавший Pompous Ransomware, ведет себя дерзко, бахвалится и злорадствует, для чего написал своим жертвам целую петицию следующего содержания (привожу его текст лишь частично):
"Вы никогда не сможете найти меня. Полиция никогда не сможет найти меня... Можете обращаться куда хотите, но тогда не ждите ваши данные обратно... Через 72 часа вы уже не сможете получить эти файлы обратно...Так что будьте благодарны, чтобы не стало хуже. Я мог бы попросить больше денег... "

Распространяется этот шифровальщик с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Пропускаются файлы с размером более 1 Гб и каталог Windows. 

Благодаря бэкдору, внедрённому Ютку Сеном в EDA2, ему с помощником Demonslay335, удалось получить множество ключей дешифрования и выложить список в открытый доступ (имя ПК, имя пользователя, AES-ключ), чтобы помочь пострадавшим дешифровать их файлы. Сейчас список уже удалён за ненадобностью. 

После уплаты выкупа и запуска декриптера от вымогателей, он заменяет обои вымогателя на новые: Thank You...

Список файловых расширений, подвергающихся шифрованию:
 .asp, .aspx, .avi, .box, .csv, .db, .dbf, .doc, .docx, .frm, .gam, .ged, .gif, .html, .ifx, .jpg, .log, .lwp, .m4a, .mdb,  .mov, .mp3, .mp4, .mpa, .mpg, .msg, .myd, .myi, .myo, .ncf, .nsf, .ntf, .odt, .ofx, .pdf,.php, .png, .pps, .ppt, .pptx, .psd, .qdf, .qfx, .qif, .rm, .sav,.sln,  .sql, .tax, .tax2013, .tax2014, .tax2015,.txt, .wav, .wmv, .xls, .xlsx, .xml, .ynab (59 расширений). 

Файлы, связанные с Pompous Ransomware:
 ransom.exe
 mm.exe
 C:\Users\User_name\Desktop\READ_IT.txt
 C:\Users\User_name\Desktop\ransom.jpg
 C:\Users\User_name\Desktop\Decrypter.exe
 C:\Users\User_name\WindowsUpdate.bat

Записи реестра, связанные с Pompous Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
хттп://i.imgur.com/By3yCwd.jpg
хттп://i.imgur.com/eROA81P.jpg
23.227.199.175 (США)
23.227.199.83 (США)

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
VirusTotal анализ ещё >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 Nyxbone Analysis
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie (Demonslay335)
 Mosh on Nyxbone
 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *