понедельник, 25 июля 2016 г.

NoobCrypt

NoobCrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 250 NZD (299 USD) в биткоинах, чтобы вернуть файлы обратно. 

Этимология названия:
  Название получил за корявость и множественные ошибке в кодинге, а также за ответные фразы, в который жертва оскорбляется за ввод некорректного ключа дешифровки. Самоназвание: CryptoLocker. Видимо дэву не дают покоя лавры реального CryptoLocker-а. 

Ориентирован, вероятно, на пользователей из Новой Зеландии, т.к выкуп указан в новозеландских и американских долларах. Но 250 новозеландских долларов эквиваленты только 175 американскими, потому налицо путаница с суммами выкупа. Примечательна также надпись, указывающая на румынское происхождение вредоноса. Также румынское происхождение имеет El-Polocker Ransomware

Записка о выкупе — экран блокировки с кнопками проверки платежа и дополнительной информации. Выполнено так коряво, что цифры требуемой суммы закрывают часть текста. 

Вымогательское сообщение с экрана блокировки: 
Your personal files are encrypted!
Coded in ROMANIA
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and can decrypt your files until you pay and obtain the private key.
You have 48 hours to pay 250 NZD in Bitcoins to get the decryption key.
Every 2 hours files will be deleted. Increasing in amount exery time frame. 
If you do not send money within provide $299 your files will be permanently crypted and no one will be able to recover them.
Time left until your files will be DELETED! - Don't try to trick us.
I have paid, check.
$299
11 JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
In order to pay use a Phone or a Laptop!
Informations    CHECK

Перевод на русский: 
Ваши личные файлы зашифрованы!
Кодировано в РУМЫНИИ
Ваши документы, фото, базы данных и другие важные файлы зашифрованы сильным шифрованием и уникальным ключом только для этого ПК.
Секретный ключ находится на секретном сервере и может дешифровать файлы, пока вы платите за секретный ключ.
У вас есть 48 часов, чтобы заплатить 250 NZD в биткоинах, чтобы получить ключ дешифровки.
Каждые 2 часа файлы будут удаляться. С каждым разом всё больше.  
Если вы не заплатите в нужный срок $299, то ваши файлы останутся шифрованными и никто не сможет их восстановить.
Осталось времени до удаления ваших файлов! - Не пытайтесь обмануть нас.
Я заплатил, проверить.
$ 299
1JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
Для оплаты используйте телефон или ноутбук!
Кнопка "Информация". Кнопка "ПРОВЕРИТЬ"

Файлы можно расшифровать без уплаты выкупа, если ввести в поле Unlock ключ разблокировки ZdZ8EcvP95ki6NWR2j
См. скриншот. 

Если вместо указанного кода ввести какой-нибудь простой, например, 123, то вымогатель покажет предупреждение с насмешкой над жертвой: 
"123 is not the code! You idiot. GO PAY IF U WANT UR PC BACK. NOOB HAH".
"123 это не код. Ты идиот. Плати, чтобы вернуть свой ПК. Нуб, хаха."

Во фразе присутствуют ошибки, видимо текст писал ещё тот "грамотей". 
Примеры ответных фраз на ввод некорректного ключа

Распространяется с помощью email-спама и вредоносных вложений, с помощью фальшивых обновлений и установщиков, в том числе и для Adobe Flash Player. 

Список файловых расширений, подвергающихся шифрованию: 
.3g2, .3gp, .accdb, .aif, .asf, .asx, .avi, .bmp, .cdx, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .flv, .gif, .ico, .iff, .jpeg, .jpg, .m3u, .m3u8, .m4u, .mdb, .mid, .mov, .mp3, .mp4, .mpa, .pdb, .pdf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ra, .raw,  .rtf, .sldm, .sldx, .sql, .tif, .txt, .vob, .wav, .wma, .wmv, .wpd, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw (71 расширение).

Файлы, связанные с Ransomware: 
CryptoLocker.exe - исполняемый файл вымогателя с фальшивым именем. 

Записи реестра, связанные с Ransomware: 
***

Детект на VirusTotal >>
Анализ на Payload Security >>

Обновление от 12 сентября 2016 г.
Новая версия: новый ключ разблокировки для $50: lsakhBVLIKAHg

Дополнение из статьи Лоуренса Абрамса
Таблица зависимых от суммы выкупа ключей теперь выглядит так:

 Степень распространённости: низкая. 
 Подробные сведения собираются.



https://twitter.com/JakubKroustek
http://www.bleepingcomputer.com/news/security/noobcrypt-ransomware-dev-shows-noobness-by-using-same-password-for-everyone/


 Thanks:
 Jakub Kroustek
 Lawrence Abrams
 
 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *