среда, 24 августа 2016 г.

Domino

Domino Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью якобы AES-1024 (на самом деле AES-256), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. 

© Генеалогия: Hidden Tear >> Domino

Этимология названия: 
Название происходит от слова Domino, использованного в записке о выкупе. 

К зашифрованным файлам добавляется расширение .domino

Записки с требованием выкупа называются README_TO_RECURE_YOUR_FILES.txt и HelloWorld!

Записка README_TO_RECURE_YOUR_FILES.txt  размещается на рабочем столе, а HelloWorld извлекается из exe-файла. 





Содержание записки о выкупе:
Your file had been encrypted with AES 1024 bit key!!
How to decrypt your files:
1. Send me 1 bitcoin to: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA
2. After send bitcoin, send me your (computer name + user name + bitcoin address) to email 61f1e8055af3f6a672959e6b0493a2@gmail.com to get password!
3. Using your password to decrypt your files!
If you didn't do this, your password to decrypt your file will be destroy after 72 hour.
Winter Is Coming!
How to buy bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Domino.............)
***

Перевод записки на русский язык (оригинальный сленг сохранен):
Твой файл был зашифрован с AES 1024 бит ключ!!
Как дешифровать файлы:
1. Пришли мне 1 Bitcoin на: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA
2. После отправить Bitcoin, пришли мне твои (имя компьютера + имя пользователя + Bitcoin адрес) на email  61f1e8055af3f6a672959e6b0493a2@gmail.com, чтобы получить пароль!
3. Используй пароль для расшифровки файлов!
Если ты не сделал этого, твой пароль для дешифровки твой файл будет уничтожен через 72 часа.
Зима приближается!
Как купить Bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Домино.............)
/ В конце пририсована корова в ASCII /

Domino Ransomware распространяется с помощью программ для взлома, в частности как инсталлятор ПО KMSpico. Во время работы якобы мастера установки KMSpico на самом деле вредоносная программа в фоновом режиме выполняет шифрование всех файлов пользователя с помощью алгоритма AES. Разумеется, что установщик реального KMSpico был предварительно взломан и модифицирован, чтобы шифровать файлы пользователей. 


При выполнении KMSpico извлекается файл со случайным именем в папку %Temp%. Затем уже тот выполняется и извлекает защищённый паролем файл Help.zip. Пароль к архиву — abc123456. Архив содержит два файла: help.exe и HelloWorld.exe. Первый шифрует файлы и добавляет к ним расширение .domino, а HelloWorld показывает записку с требованием выкупа "HelloWorld!", в которой содержатся инструкции о выкупе и email для связи с вымогателями. 

Файлы шифруются на всех зарегистрированных в системе дисках, кроме диска A:\ и CD-Rom.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .c, .cas, .cdr, .cer, .cfm, .cfr, .class, .cpp, .cr2, .crt, .crw, .cs, .csr, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dba, .dbf, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .java, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lua, .lvl, .m, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py,  .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rss, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sh, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .swift, .syncdb, .t12, .t13, .tax, .tor, .txt, .unity3d, .upk, .vb, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xcodeproj, .xf, .xhtml, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (всего 220 расширений, без дублей в верхнем регистре и повторов, с которыми в два раза больше). 

Дэвы Domino продублировали все целевые расширения в верхнем регистре и даже некоторые (.cer, .css, .js, .py) написали четырежды. Такой ход призван нанести максимальный урон жертве и не пропустить даже те файлы, у которых расширения по какой-то причине написаны в верхнем регистре. 

Файлы, связанные с этим Ransomware:
KMSpico_setup.exe
31688EFBC3B9C99914A5BB7FB58AEC9E.exe
Help.zip
help.exe
HelloWorld.exe - это отдельный исполняемый файл, запускаемый после шифрования с запиской внутри;
README_TO_RECURE_YOUR_FILES.txt

Расположения:
%Temp%/KMSpico_setup.exe
%Temp%/31688EFBC3B9C99914A5BB7FB58AEC9E.exe
%Temp%/Help.zip
%Temp%/help.exe
%Temp%/HelloWorld.exe
README_TO_RECURE_YOUR_FILES.txt
%Temp%/ = C:\Users\User_Name\AppData\Local\Temp\

Примечательно, что в строчках кода есть текст на арабском языке.


Сетевые подключения и связи:
Email: 61f1e8055af3f6a672959e6b0493a2@gmail.com
BTC: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA

Результаты анализов:
VirusTotal анализ >>
См. образцы на сайте Nyxbone >>

Степень распространённости: низкая.
Подробные сведения собираются.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 января 2017:
Файл: bootcfg.exe
Фальш-имя: Microsoft® Windows® Operating System
Записка: README_TO_RECURE_YOUR_FILES.txt
Email: cstddetnkvcmknl@gmail.com
Сетевые подключения: 74.125.133.108:587
Результаты анализов: VT

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Для зашифрованных файлов есть декриптер. 
1) Ключ дешифрования можно получить с помощью HiddenTear Bruteforcer и зашифрованного PNG-файла.
2) Этим ключом дешифрования файлы могут быть дешифрованы с помощью HiddenTear Decrypter.
Если компьютер перезагружался после шифрования, то шансов на успешное получение ключа меньше. 
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Domino)
 Write-up, Topic of Support
 * 
 Thanks: 
 Daniel Gallagher, Lawrence Abrams
 Michael Gillespie, Mosh
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton