Если вы не видите здесь изображений, то используйте VPN.

понедельник, 28 марта 2016 г.

Booyah, Salam!

Booyah Ransomware

Salam! Ransomware

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные, а затем требует 1-2 BTC, чтобы вернуть файлы обратно. Через неделю сумма выкупа увеличивается до 7 BTC. На файле может быть написано, что угодно. Разработчик: Mohammad. 

© Генеалогия: Booyah (Salam!) ⇔ CryptoBitMobef

К зашифрованным файлам добавляется расширение .keyz 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: WHATHAPPENEDTOYOURFILES.txt

Содержание записки о выкупе: 
Your ID: 757575
***
Hi. Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. If you pay me today, the price is only 1 bitcoin.
If you pay me tomorrow, you will have to pay 2 bitcoins. If you pay me one week later the price will be 7 bitcoins and so on. So, hurry up.
Contact me using this email address: mohammad@opensourcemail.org

Перевод записки на русский:
Ваш ID :  757575 
*** 
Привет. Ваши файлы зашифрованы. У меня есть ключ для их дешифровки. 
Я дам вам декриптер, если вы заплатите мне. Если платите сегодня, то всего 1 Bitcoin. 
Если платите мне завтра, то 2 Bitcoins. Если через неделю, то цена будет 7 Bitcoins и так далее. Так что, поторопитесь.
Контакт со мной, используя этот email-адрес: mohammad@opensourcemail.org

Другим информатором жертвы выступает изображение на рабочем столе с тем же текстом о выкупе.
Примеры из разных версий Windows

Третьим информатором жертвы выступает диалоговое окно от разработчика-вымогателя оп имени Мохаммад. 
Содержание текста:
My name is Mohammad and I just tried to infect you with malware.
If you'd like to tell me what a twat I am, email: mohammad@opensourcemail.org
PS: You should really consider getting an antivirus, even a free one will help!

Перевод на русский язык:
Меня зовут Мохаммад, и я попытался заразить вас вредоносным ПО.
Если вы хотите сообщить мне, то мой email: mohammad@opensourcemail.org
PS: Вы должны подумать о получении антивируса, даже бесплатный поможет!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Booyah Ransomware устанавливается как программа (используется Nullsoft Scriptable Install System, NSIS), содержит упакованную DLL, которая и выполняет шифрование. 

Список зашифрованных файлов хранится в незашифрованном файле в директории %APPDATA%\%ID%, например, в %APPDATA%\757575 из примера.

Список файловых расширений, подвергающихся шифрованию:
.aif, .aifc, .aiff, .asf, .asx, .au, .bmp, .dib, .doc, .docx, .dot, .dvr-ms, .emf, .gif, .hta, .htm, .html, .ico, .IVF, .jfif, .jpe, .jpeg, .jpg, .m1v, .m3u, .mht, .mid, .midi, .mp2, .mp2v, .mp3, .mpa, .mpe, .mpeg, .mpg, .mpv2, .pdf, .png, .pot, .pps, .ppt, .pptx, .rle, .rmi, .rtf, .snd, .tif, .tiff, .wav, .wax, .wm, .wma, .wmf, .wmv, .wmx, .wvx, .xbap, .xls, .xlsx, .xlt, .xlw, .xml, .xps, .zip (64 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Шифровальщик пропускает папки, содержащие следующие строки:
application
audio
compressed
document
gamemedia
image
system
text
video
Иконка исполняемого файла

Файлы, связанные с этим Ransomware:
booyah.exe (<random>.exe) - основной исполняемый файл;
tribologists.dll - dll-ка шифровальщика;
WHATHAPPENDTOYOURFILES.TXT - записка о выкупе; 
CRIPTOSO.KEY - специальный файл, находится в каждой папке, где есть зашифрованные файлы.
Файл CRIPTOSO.KEY нужно предоставлять вымогателю для получения декриптера и персонального ключа дешифрования после уплаты выкупа. 
<8_numbers_ID>

Расположения:
\AppData\<8_numbers_ID>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://videodrome69.com/2/booyah.exe
xxxx://videodrome69.com/knock.php?id=758275
IP: 200.74.241.151
Email: mohammad@opensourcemail.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Booyah)
 Write-up, Topic of Support
 Video review 
 Thanks: 
 Michael Gillespie
 TrendMicro
 GrujaRS
 victim of crypto-ransomware
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *