четверг, 14 апреля 2016 г.

Radamant 1.0, 2.0, 2.1

Radamant Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Фальш-имена: DirectX.exe, StubNew.exe

© Генеалогия: Radamant > Radamant 2 

К зашифрованным файлам добавляется расширение: 
.RDM -  в 1-й версии;
.RRK - во 2-й версии;
.RADAMANT - в 2.1 версии;
.RAD - в версии марта-апреля 2016.

Активность этого крипто-вымогателя пришлась на декабрь 2015 г., продолжилась до апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Если зараженный компьютер принадлежат к одной из следующих стран, автоматический запускается процесс расшифровки всех файлов с расширением .RADAMANT: 
Беларусь
Казахстан
Россия
Украина

Текстовой записки с требованием выкупа нет, вместо неё на рабочем столе создаётся ссылка YOUR_FILES.url, которая ведёт на сайт оплаты выкупа. На сайте интерфейс представлен на 8 языках, в том числе на русском. 


 

Содержание страницы о выкупе:
Attention! What happened?
All your files on hard drives, removable media and network shares have been cryptographically encrypted AES-256 algorithm encryption key RSA-2048
Expansion of encrypted files: .RDM
To date, the encryption algorithm AES-256 is not possible decrypt.
Learn more about the algorithm can be here: Wikipedia
What to do?
The key to decrypt your files stored on our server. For decrypt the need to make a few simple steps:
1 Create Bitcoin Wallet
We recommend: blockchain.info
2. Get cryptocurrency Bitcoin
We recommend:
1) localbitcoins com - (Visa/MasterCard, QIWI Visa Wallet, Any Bank and etc.)
2) btc-e.com (WebMoney, Visa/MasterCard and etc. )
3. Send 0.5 BTC (227.37 USD) to the address: *****
Attention! When sending a small amount bitcoin of the transaction will not be counted!
4. After payment confirmation expected transaction from 15 minutes to 72 hours
5. After payment of this page will automatically notify you of the beginning of the decryption of files
We strongly recommend not to disconnect the power supply, as well as to extract the encrypted electronic data earners!
If you remove the removable media before decryption, connect them again and confirm "RESCAN".
After performing these actions will remove the program from your computer
To carry out actions you have:*
***timer***
At the expiry of the time redemption amount will be increased. Please make payment in a tímely. 
DANGEROUS! 
Do not try to cheat the system, edit encrypted files, or uninstall. This will result in the inability to recover your data, and we can not help you. 
We recommend:
1 Bitcoin FAQ: blockchain.info
2. Bitcom wallet FAQ: blockchain.info
You can contact us by e-mai to assist in payment and explanation of the 1 test fie free.
E-mail: *****
RADAMANT RANSOMWARE KIT

Перевод страницы на русский язык:
Внимание! Что случилось?
Все ваши файлы на жестких дисках, сменных носителях и сетевых папках были криптографически зашифрованы AES-256 алгоритм шифрования ключа RSA-2048
Расширение зашифрованных файлов: .RDM
На сегодняшний день алгоритм шифрования AES-256 невозможно дешифровывать.
Узнать об алгоритме можно здесь: Википедия
Что делать?
Ключ для дешифровки файлов хранится на нашем сервере. Для расшифровки нужно сделать несколько простых шагов:
1 Создать Bitcoin-кошелек
Мы рекомендуем: blockchain.info
2. Получить криптовалюту Bitcoin
Мы рекомендуем:
1) localbitcoins COM - (Visa / MasterCard, Visa QIWI Кошелек, любой банк и т.д.)
2) btc-e.com (WebMoney, Visa / MasterCard и т.д.)
3. Отправить 0,5 BTC (227.37 USD) на адрес: *****
Внимание! При отправке меньшего количества Bitcoin сделки не будут учитываться!
4. После подтверждения оплаты ожидается транзакция от 15 минут до 72 часов
5. После оплаты эта страница будет автоматически уведомлять вас о начале дешифровки файлов
Мы очень рекомендуем не отключать электропитание, а также для извлечения зашифрованных электронных добытчиков данных!
Если вы удалили съемный носитель перед дешифровкой, подключите его снова и подтвердите "Rescan".
После выполнения этих действий будет произведено удаление программы с компьютера
Для выполнения действий, у вас есть:
***таймер***
По истечении времени сумма выкупа будет увеличена. Пожалуйста сделайте оплату вовремя.
ОПАСНО!
Не пытайтесь обмануть систему, редактировать зашифрованные файлы или удалить. Это приведет к невозможности восстановить ваши данные, и мы не сможем вам помочь.
Мы рекомендуем:
1 Bitcoin FAQ: blockchain.info
2. Bitcom-кошелек FAQ: blockchain.info
Вы можете связаться с нами по email для помощи по оплате и бесплатной расшифровки 1 тестового файла.
Эл. адрес: *****
RADAMANT RANSOMWARE KIT

Текст из окна дешифровщика:
Now begins the decryption of your files! Do not turn off the power and turn on the carriers that have been encrypted! When you're ready, click "OK".

Перевод на русский:
Сейчас начнётся дешифровка файлов! Не выключайте питание и подключите носители, что были зашифрованы! Будете готовы, жмите "OK".

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (в том числе фальшивых PDF), набора эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляются все теневые копии файлов командой:
process call create "cmd.exe /c vssadmin delete shadows /all /quiet"

Список файловых расширений, подвергающихся шифрованию:
.0,36, .0,411,.1cd, .1st, .2bp, .3dm, .3ds, .3fr, .4db, .4dl, .4mp, .73i, .8xi, .9png, .a3d, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af2, .af3, .aft, .afx, .agif, .agp, .ahd, .ai, .ai, .aic, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .apng, .aps, .apt, .apx, .art, .art, .artwork, .arw, .arw, .asc, .ascii, .ase, .ask, .asw, .asy, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bib, .blend, .blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .bzabw, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cf, .cfu, .cgm, .chart, .chord, .cimg, .cin, .cit, .ckp, .clkw, .cma, .cmx, .cnm, .cnv, .colz, .cpc, .cpd, .cpg, .cps, .cpt, .cpx, .cr2, .crd, .crd, .crwl, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .daschema, .db, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .db-shm, .dbt, .dbv, .db-wal, .dbx, .dc2, .dca, .dcb, .dcr, .dcs, .dct, .dcx, .ddl, .ddoc, .dds, .ded, .design, .df1, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djv, .djvu, .djvu, .dm3, .dmi, .dmo, .dnc, .dne, .doc, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dp1, .dpp, .dpx, .dqy, .drw, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dtsx, .dtw, .dvi, .dvl, .dwg, .dx, .dxb, .dxf, .dxl, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eql, .erf, .erf, .err, .err, .etf, .etx, .euc, .exr, .fadein, .fal, .faq, .fax, .fb2, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fft, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fic, .fid, .fif, .fig, .fil, .fil, .flc, .fli, .flr, .fm5, .fmp, .fmp12, .fmpsl, .fmv, .fodt, .fol, .fountain, .fp3, .fp4, .fp5, .fp7, .fpos, .fpt, .fpt, .fpx, .frt, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gif, .gif, .gih, .gim, .gio, .gio, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grob, .grs, .gsd, .gsd, .gthr, .gtp, .gv, .gwi, .hbk, .hdb, .hdp, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .hs, .htc, .html, .hwp, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .idx, .igt, .igx, .ihx, .iil, .iiq, .imd, .info, .ink, .int, .ipf, .ipx, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jarvis, .jas, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jp1, .jp2, .jp2, .jpe, .jpe, .jpeg, .jpeg, .jpeg, .jpg, .jpg, .jpg2, .jps, .jpx, .jrtf, .jtf, .jtx, .jwl, .jxr, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .kic, .klg, .klg, .knt, .kon, .kpg, .kwd, .latex, .lbm, .lbt, .lgc, .lis, .lit, .ljp, .lmk, .lnt, .lp2, .lrc, .lst, .lst, .ltr, .ltx, .lue, .luf, .lwo, .lwp, .lws, .lxfml, .lyt, .lyx, .m3d, .ma, .mac, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .md5txt, .mdb, .mdbhtml, .mdf, .mdn, .mdt, .me, .mef, .mell, .mft, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .min, .mmat, .mng, .mnr, .mnt, .mobi, .mos, .movie.byu, .mpf, .mpo, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nsf, .nsf, .nv2, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .odb, .odm, .odo, .ods, .odt, .ofl, .oft, .omf, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p7s, .p96, .p97, .pages, .pal, .pan, .pano, .pap, .pbm, .pc1, .pc2, .pc3, .pcd, .pcs, .pcx, .pcx, .pdb, .pdb, .pdb, .pdd, .pdf, .pdm, .pdn, .pdn, .pe4, .pe4, .pef, .pfd, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .pi1, .pi2, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pm, .pmg, .pmg, .png, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .ppt, .pptm, .pptx, .prt, .prw, .ps, .ps, .psd, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .ptg, .pth, .ptx, .ptx, .pu, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .pz3, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qry, .qvd, .rad, .ras, .raw, .rctd, .rcu, .rdb, .rdl, .readme, .rft, .rgb, .rgb, .rgf, .rib, .ric, .riff, .ris, .rix, .rle, .rli, .rng, .rpd, .rpf, .rpt, .rri, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .rtf, .rtx, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sai, .sam, .save, .sbf, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .sct, .scv, .scw, .sdb, .sdb, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .sig, .sk1, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssfn, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .sty, .sub, .sumo, .sva, .svf, .svg, .svg, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tb0, .tbn, .tcx, .tdf, .tdf, .tdt, .te, .teacher, .tex, .tex, .text, .tfc, .tg4, .tga, .thm, .thp, .thumb, .tif, .tif, .tiff, .tiff, .tjp, .tlb, .tlc, .tm, .tm2, .tmd, .tmd, .tmv, .tmx, .tn, .tne, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .ufr, .uga, .unauth, .unity, .unx, .uof, .uot, .upd, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vbr, .vct, .vda, .vdb, .vec, .vff, .vml, .vnt, .vpd, .vpe, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vue, .vw, .wb1, .wbc, .wbd, .wbk, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wmdb, .wmf, .wmf, .wn, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpd, .wpe, .wpg, .wpl, .wps, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .wvl, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xdl, .xhtm, .xld, .xlf, .xlgc, .xls, .xlsm, .xlsx, .xmind, .xmmap, .xpm, .xps, .xwp, .xwp, .xwp, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z3d, .zabw, .zdb, .zdc, .zif, .zw (944 расширения).

В версии 2.1 список расширений см. в скриншоте:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые файлы и пр.

Файлы, связанные с этим Ransomware:
%Desktop%\YOUR_FILES.url
C:\Windows\directx.exe
%AppData%\Roaming\DirectX.exe
zero.exe
build.exe
aaa.bat
%User%\Documents\random_folder\r1.exe.exe
%Temp%\<random>.exe
%Temp%\<random>.tmp

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svchost    C:\Windows\directx.exe
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\svchost    C:\Windows\directx.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
crazytrevor.com
crazytrevor.in
checkip.dyndns.org
tangotangocash.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>  Ещё >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Malwr анализ >> Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер!



 Read to links: 
 Topic on BC (Support and Help)
 ID Ransomware (ID as Radamant, Radamant v2.1)
 Write-up
 Write-up (analysis)
 *
 Thanks: 
 Lawrence Abrams
 Fabian Wosar
 Michael Gillespie
 Mosh on Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *