среда, 16 декабря 2015 г.

XRTN

XRTN Ransomware

(шифровальщик-вымогатель)



   Этот криптовымогатель шифрует данные с помощью RSA-1024 с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). К зашифрованным файлам добавляется расширение .xrtn

Вымогатель XRTN относится к семейству VaultCrypt. Распространялся с декабря 2015 г. Затем ему на смену пришли Trun и Xort с теми же записками, но с другими ящиками на Яндексе. 

© Генеалогия: VaultCrypt > XRTN 

  После шифрования жертве показывается HTA-документ с названием <random_name>.hta, в котором предписывается связаться по адресу xrtnhelp@yandex.ru с "экспертами". 

Содержание текста о выкупе:
ATTENTION!
All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm
Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
contact an expert on email: xrtnhelp@yandex.ru

Перевод на русский:
ВНИМАНИЕ!
Все важные файлы и информацию на этом comuter (документы, базы данных и т.д.) можно расшифровать используя криптографический алгоритм RSA
Без спец. программы декодирование одного файла с помощью самых мощных компьютеров займет около 20 лет.
контакт с экспертом по email: xrtnhelp@yandex.ru

Ошибки в тексте:
comuter - правильно: computer (компьютер)

Email-адрес вымогателей: xrtnhelp@yandex.ru

После шифрования удаляются теневые копии файлов, если UAC отключена, или выводится при активной UAC запрос на внесение изменений. Разумеется, нужно отказаться, чтобы копии файлов сохранились и можно было восстановить хотя бы часть утраченной информации после удаления вредоносных файлов. 

  Распространяется с помощью email-спама с вредоносным вложением в виде некоего Word-файла. Состоит из множества инструментов и пакетных файлов, которые выполняют шифрование файлов. Устанавливается с помощью файла JavaScript, который загружает на компьютер жертвы файлы из gusang.vpscoke.com. Эти загруженные файлы файлы включают GnuPG.exe, документ Word, и пакетный файл, который выполняет процедуру шифрования. После запуска установщик JavaScript сначала загрузит файлы, запустит документ Word, а затем командный файл. Когда пакетный файл выполняется, он генерирует ключ RSA-1024 и сканирует по-буквенно все диски для поиска файлов которые нужно зашифровать согласно заложенной в него конфигурации, и добавлять к ним расширение .XRTN. Затем удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .xlsx, .zip и многие другие. 

См. более полный список в описании вымогателей Xort и Trun

  В процессе шифрования пакетный файл экспортирует закрытый ключ, который был использован для шифрования данных, в файл с именем XRTN.key. В нем также содержатся: имя пользователя, имя компьютера, дата, количество зашифрованных файлов, подсчет всех типов зашифрованных расширений и другие параметры. XRTN.key файл необходим для дешифровки файлов жертвы.

Файлы, связанные с XRTN Ransomware:
%Temp%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
%AppData%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
C:\Users\User_name\AppData\Roaming\<random_name>.hta - полный путь
%Temp%\4077430c_xrtn.KEY
%Temp%\CONFIRMATION.KEY
%Temp%\Do_88u.docx
%Temp%\gPG.EXE
%Temp%\<random>.js
%Temp%\dsfsdghd.bat, шаблон <random>.bat
%Temp%\ez3x7je8.cmd, шаблон <random>.cmd
%Temp%\xrtn.KEY
%Temp%\xrtn.txt
%AppData%\xrtn.KEY

Записи реестра, связанные с XRTN Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\onuntsss
mshta %AppData%\3cnq8256w5rxxavz.hta

Степень распространенности: средняя.
Подробные сведения собираются. 



Read to links: 
Write-up on BC + other
ID Ransomware

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 al1963

 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton