Mobef, Yakes

Mobef (Yakes) Ransomware

Malasypt Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные, а затем требует 4 Bitcoins (на момент изучения образца ~2000 USD), чтобы вернуть файлы обратно. Большая сумма выкупа говорит о том, что в первую очередь целями вымогателей были организации и предприятия, в том числе и лечебные учреждения. 

© Генеалогия: Booyah (Salam!) ⇔ CryptoBit ⟺ Mobef  (см. Генеалогия)
© Генеалогия: Mobef >> Mobef-Parisher
© Генеалогия: Mobef >> Mobef-CryptoFag
© Генеалогия: Mobef >> Mobef-Kriptoki
© Генеалогия: Mobef >> Mobef-Salam 
© Генеалогия: Mobef >> Mobef-JustFun 

Этимология названия:
Mobef от "momsbestfriend" из логина почты вымогателей: "mo" от moms, "be" от best, "f" от friend. 

По окончании шифрования на Рабочем столе вместо обоев устанавливается чёрный экран, в котором красными буквами написано о том, то случилось с файлами и как связаться с вымогателями. К зашифрованным файлам добавляется расширения .keyh0les или .keyz

  Посредством этих контактов вымогатели предлагают связаться с ними, чтобы предоставить идентификационный номер компьютера жертвы, указанный в записке о выкупе и в изображение, вставшем в качестве обоев рабочего стола. Если система не позволяет устанавливать обои на Рабочий стол, то информацию дублирует записка с требованием выкупа. 

Информация о выкупе в изображении на Рабочем столе

TXT-вариант записки о выкупе

Содержание записок о выкупе:
YourID: 2886098
PC: HOME
USER: user
*********
Hey
Your files are now encrypted. I have the key to decrypt them back. I will give you a decrypter if you pay me. Email me at: momsbestfriend@protonmail.com or torrenttracker@india.com
If you dont get a reply or if both emails die, then contact me using a guaranteed, foolproof Bitmessage: download it form here xxxxs://github.com/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Run it, click New Identity and then send me a message at BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2
Cheers

Перевод на русский язык:
YourID: 2886098
PC: HOME
USER: user
*********
Привет
Теперь ваши файлы зашифрованы. У меня есть ключ к их расшифровке. Если вы заплатите мне, я дам вам декриптер. Напишите мне на email: momsbestfriend@protonmail.com или torrenttracker@india.com
Если вы не получите ответ или если оба письма пропадут, свяжитесь со мной, используя гарантированный, надежный Bitmessage: скачать его здесь
xxxxs://github.com/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Запустите его, нажмите "New Identity", а затем отправьте мне сообщение на BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2
Ура

Технические детали

Распространяется с помощью эксплойтов, перепакованных и заражённых инсталляторов, главным образом выявляются уязвимые серверы и при помощи утилиты для работы по протоколу RDP атакуется 3389 порт. 


Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

  Mobef создает TXT-файлы записок о выкупе, начинающиеся с даты и заканчивающиеся словом -INFECTION.TXT, например, файл типа 4-15-2016-INFECTION.TXT говорит о том, то он был создан 15 апреля. Такие файлы находятся в каждой папке, где были зашифрованы файлы. 

  Список создаваемых файлов:
4-15-2016-INFECTION.TXT - записка о выкупе, описание см. выше;
4152016000.KEY - файла ключа, нужный вымогателю для шифрования/дешифрования данных, в начале названия легко узнается дата;
2886098.txt - содержит сведения о файлах, которые были зашифрованы.

Шифро-код в файле 4152016000.KEY

  Mobef использует следующие ключи реестра, которые могут указывать на использование алгоритмов DES, RSA и AES для шифрования информации: 
HKEY_CLASSES_ROOT\interface\{587e8c22-9802-11d1-a0a4-00805fc147d3}
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider 

  Mobef работает в системе как процесс tmp.exe, иногда в этом название процесса может быть еще несколько случайных чисел. К сожалению, завершение этот исполняемого файла и удаление всех компонентов вымогателей не решает проблему зашифрованных файлов. 

 Список файловых расширений, подвергающихся шифрованию:
.3ds, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .arj, .axx, .bak, .bpw, .cdr, .cer, .crp, .crt, .csv, .db, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .hid, .idx, .ifx, .iso, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp, .ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rpt, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sqllite, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip 

Другой список: 
.3ds, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .alk, .arj, .axx, .bak, .bpw, .cdr, .cer, .crp, .crt, .csv, .db, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .drc, .dwfx, .dwg, .dwk, .dxf, .eml, .enz, .fdb, .flk, .flka, .flkb, .flkw, .flwa, .gdb, .gho, .gpg, .gxk, .hid, .hid2, .idx, .ifx, .iso, .k2p, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp, .ods, .odt, .ofx, .ost, .p12, .pdb, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .pst, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rfp, .rpt, .rsa, .rtf, .saj, .sdc, .sdf, .sef, .sko, .sql, .sqlite, .sxc, .tar, .tax, .tbl, .tc, .tib, .wdb, .xbrl, .xls, .xlsm, .xlsx, .xml 

Файлы, связанные с Mobef Ransomware:
<random>.tmp.exe
<random>.exe
<4_hex_chars>.tmp.exe
Cancel Autoplay 2.exe
4-15-2016-INFECTION.TXT или другие [date]-INFECTION.TXT

Ещё файлы (для Mobef и CryptoBit):
[date]-INFECTIONE.txt или date-INFECTIONE.txt
[date]000.KEY или date000.KEY
1NFORMAT1ONFOR.YOU
ENCRYPT1ON.KEY+[1-2-3-digit_number]
[10-digits].KEY 
HELLOREADME+[random_number_1-31].TXT
HELLOWREADME+[random_number_1-31].TXT
helloreadmenow+[random_number_1-31].TXTZ
HITLERSLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERSNASTYLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERHASYOURFILES.KEY+[1-2-3-digit_number]

Сетевые подключения:
URL: kentamplin.net... (192.185.16.132:80, США)
pgndeltapsi.com

Email: momsbestfriend@protonmail.com

torrenttracker@india.com
BitMessage: BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 2 августа 2016
Пост в Твиттере >>
Записка: PLEASEREAD.ME
Файлы: THISISA.KEY000, 443826.log
Email: the.dodger@protonmail.com
logical.disk@yandex.com
windows.update@moscowmail.com
<< Скриншот записки

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Mobef)
 Write-up, Topic of Support
 * 

 Thanks: 
 victims in the topics of support
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.