среда, 28 сентября 2016 г.

Erebus

Erebus Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на специальную страницу для получения инструкций по оплате выкупа и программы дешифровки. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ecrypt
Зашифрованные файлы принимают вид: {hash}.ecrypt

Активность этого криптовымогателя пришлась на сентябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
YOUR_FILES_HAS_BEEN_ENCRYPTED.txt
YOUR_FILES_HAS_BEEN_ENCRYPTED.html

Содержание записки о выкупе:
Warning!
Your documents, photos, databases, important files been encrypted!
What happened to your files?
  All of your files were protected by a strong encryption whit RSA-2048.
  More information about the encryption keys using RSA-2048 can be found here. xxxxs://en.wikipedia.org/wiki/RSA_(encryption)
What does this mean?
  This means that the structure and data within your files have been irrevocably changed. You will not be able to work with them, read them or see them.
  It is the same thing as losing them forever. But with our help, you can restore them.
How did this happen?
  Especially for you. On our server was generated the secret key pair RSA-2048 public and private.
  All your files were encrypted with the public key. Which has been transferred to your computer via the Internet.
  Decrypting of your files is only possible with the help of the private key and decrypt program. Which is on our secret server.
What do I do?
  If you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. If you really value your data.
  Then we suggest you do not waste valuable time searching for other solutions because they do not exist.
Remember that your machine ID:
For more specific instructions please visit your personal home page. There are a few different addresses pointing to your page below:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/
If the above address will be unable to open or very slow, follow these steps:
  1. Download and install the tor browser. 
  2. After successful installation, run the browser, waiting to initialize.
  3. In the address bar enter: 
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/

Перевод записки на русский язык:
Предупреждение!
Ваши документы, фото, базы данных, важные файлы были зашифрованы!
Что случилось с файлами?
  Все ваши файлы были защищены с помощью сильного шифрования RSA-2048.
  Более подробную информацию о ключах шифрования используя RSA-2048 можно найти здесь. xxxxs://en.wikipedia.org/wiki/RSA_(encryption)
Что это значит?
  Это значит, что структура и данные в файлах безвозвратно изменены. Вы не сможете работать с ними, читать их или видеть их.
  Это то же самое, как потерять их навсегда. Но с нашей помощью вы можете восстановить их.
Как это произошло?
  Специально для Вас. На нашем сервере был создан секретная ключ-пара RSA открытый и закрытый.
  Все ваши файлы были зашифрованы с помощью открытого ключа. Который был передан на компьютер через Интернет.
  Дешифрование файлов возможно только с помощью секретного ключа и программы дешифровки. Который находится на нашем секретном сервере.
Что мне делать?
  Если вам не принять необходимые меры, в течение определенного времени, то будут изменены условия для получения секретного ключа. Если вы действительно цените ваши данные.
  Тогда мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что они не существуют.
Запомните ID вашей машины:
Для подробных инструкций, пожалуйста, посетите вашу личную домашнюю страницу. Ниже есть несколько различных адресов, указывающих на вашу страницу:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/
Если вышеуказанный адрес будет невозможно открыть или очень медленно, выполните следующие действия:
  1. Загрузите и установите Tor-браузер.
  2. После успешной установки, запустите браузер, ждите инициализации.
  3. В адресной строке введите:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/

Распространяется или может распространяться через вредоносную рекламу, с помощью email-спама и вредоносных вложений, набора эксплойтов RIG, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .ascx, .asf, .asm, .asp, .aspx, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lck, .ldf, .lit, .lock, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm, .pm!, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .pptm, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tbb, .tbn, .tex, .tga, .thm, .tif, .tlg, .tlx, .txt, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (423 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы образов, файлы бэкапов, общие папки и пр.

Нужно заметить особо, что шифрование затрагивает следующие папки:
%Program Files%\steam
%Application Data%\roaming\microsoft\office
%Application Data%\roaming\microsoft\outlook

Из шифрования исключаются папки, имеющие следующую строку: 
C:\$recycle.bin
C:\$windows.~bt
C:\boot
C:\drivers
%Program Files%
%Program Data%
%User Profile%
%Windows%
C:\windows.old
%AppDataLocal%
%AppDataLocalLow%
%Application Data%\adobe\flash player
%Application Data%\ati
%Application Data%\google
%Application Data%\identities
%Application Data%\installshield
%Application Data%\intel
%Application Data%\macromedia\flash player
%Application Data%\media center programs
%Application Data%\microsoft
%Application Data%\mozilla
%Application Data%\nvidia
%Application Data%\opera
\public\music\sample music
\public\pictures\sample pictures
\public\videos\sample videos
\tor browser

Из шифрования также исключаются следующие файлы:
bootsect.bak
desktop.ini
iconcache.db
ntuser.dat
thumbs.db
wallet.dat

После шифрования удаляются теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Файлы, связанные с этим Ransomware:
<random>.exe
%User Startup%\DECRYPT.txt - файл сведений для дешифрования;
%User Startup%\YOUR_FILES_HAS_BEEN_ENCRYPTED.html - записка о выкупе;
%User Startup%\YOUR_FILES_HAS_BEEN_ENCRYPTED.txt - записка о выкупе;
%Application Data%\{random_alphanumeric_chars 1}.conf- список всех директорий для шифрования;
%Application Data%\{random_alphanumeric_chars 2}.conf - содержит открытый ключ;
%Application Data%\{random_alphanumeric_chars}.res - список файлов для шифрования.

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
GoogleChromeAutoLaunch_{random_alphanumeric_chars} = "{malware path}"
См. ниже результаты анализов.

Сетевые подключения и связи:
***o.com/data/files/184228721522.php
***ung.kr/upload/file/54874544154.php
***on.kr/gmEditor/uploaded/img/125687499.php
***wsb5cxo671abtrsg.j57xi.top
***nicc3j2o5rtsllvw.j57xi.top


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Write-up + Write-up
 ID Ransomware (ID as Erebus)
*
 Thanks: 
 Jeanne Jocson (TrendMicro)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *