HDDCryptor Ransomware
(шифровальщик-вымогатель, MBR-модификатор)
Translation into English
Этот вымогатель перезаписывает MBR (Master Boot Record), блокируя загрузку компьютера. Кроме того, диски шифруются с помощью AES-2048 в режиме XTS. Также шифруются некоторые данных на локальных и подключенных сетевых дисках.
Обнаружения:
DrWeb -> Trojan.Inject2.29272
ALYac -> Trojan.Ransom.Mamba
Avira (no cloud) -> HEUR/AGEN.1109814
BitDefender -> Trojan.GenericKD.3516147
ESET-NOD32 -> A Variant Of Win32/Injector.TLD, Win32/Filecoder.DCryptor.C
Kaspersky -> Trojan-Ransom.Win32.Dcryptor.c, Trojan-Ransom.Win32.Agent.iun
McAfee -> Ransom-O
Microsoft -> Ransom:Win32/Mambretor.A, Ransom:Win32/Mambretor.D
Rising -> Trojan.Generic@ML.94 (RDML:Mz+edi***
Symantec -> Ransom.HDDCryptor
TrendMicro -> Ransom_HDDCRYPTOR.A, Ransom_HDDCRYPTOR.SM2
VBA32 -> Hoax.Dcryptor
Первые обращения пострадавших от этого вымогателя начались ещё в январе 2016 г., но модифицированные версии активны до сих пор. Ориентирован на англоязычных пользователей, что не исключает его вредоносной деятельности для иноязычных пользователей. HDDCryptor использует коммерческие инструменты для шифрования сетевых ресурсов и блокировки жестких дисков. Уже пострадали компьютеры разных компаний в Бразилии, Индии и дочерних компаниях США.
Хотя большинство вымогателей обычно нацелены на определённые типы файлов или папок, хранящихся на локальных дисках, сменных носителях и общих сетевых ресурсах, но мы смогли выявить новую вымогательскую семью HDDCryptor. Детектируется TrendMicro как Ransom_HDDCRYPTOR.A
Подробное исследование описано в блоге TrendMicro.
У других исследователей этот шифровальщик-вымогатель получил название Mamba Ransomware.
HDDCryptor нацелен не только на общие сетевые ресурсы, такие как диски, папки, файлы, принтеры и последовательные порты, Server Message Block (SMB), но и блокирует привод. Такое поведение делает этот тип вымогателей очень серьезной и реальной угрозой не только для домашних пользователей, но и для предприятий.
По окончании шифрования вымогатель переписывает все MBR у всех разделов жесткого диска с помощью пользовательского загрузчика. Затем он перезагружает компьютер без взаимодействия с пользователем и показывает одну из представленных ниже текстов о выкупе.
Короткие записки с требованием выкупа выводятся на экран монитора сразу после включения ПК. В январской и майской версиях использовался четырёхзначный идентификатор жертвы, а в августе-сентябре стал использоваться шестизначный идентификатор.
После уплаты выкупа пользователь получает пароль, который он должен ввести на экране с клавиатуры. Если пароль неправильный, появляется короткая запись: password incorrect (пароль неверен).
You are Hacked!!!! Your H.D.D. Encrypted, Contact Us For Decryption Key *email* YOUR ID: ***
Перевод на русский язык:
Ты взломан!!!! Твой H.D.D. зашифрован, контакт для ключа дешифровки *** YOUR ID: ***
Содержание записки о выкупе (вариант сентября):
You are Hacked ! H.D.D. Encrypted, Contact Us For Decryption Key (w889901665@yandex.com) YOUR ID: 123152**********
password incorrect
Перевод на русский язык:
Ты взломан! H.D.D. зашифрован, контакт для ключа дешифровки (w889901665@yandex.com) YOUR ID: 123152 **********
пароль неверен
Содержание записки о выкупе (вариант января):
Your hard drive is securely encrypted. To buy password send an email to gem337@sigaint.org with code 9011.
Перевод на русский язык:
Твой хард диск зашифрован. Для покупки пароля пришли письмо на gem337@sigaint.org с кодом 9011.
Содержание записки о выкупе (вариант мая):
Your hard drive is securely encrypted. To buy password send an email to drake117@sigaint.org with code 1978.
Перевод на русский язык:
Твой хард диск зашифрован. Для покупки пароля пришли письмо на drake177@sigaint.org с кодом 1978.
На случай, если жертва каким-то образом преодолеет начальный экран блокировки и восстановит оригинальный MBR, имеется еще полноценная записка о выкупе с суммой выкупа и инструкциями покупки / уплаты биткоинов. С января сумма выкупа была $700 или 1.0520 в биткоинах.
Содержание записки о выкупе (вариант января и позже):
Here are our standard payment instructions.
Our bitcoin wallet address is (***) $700 is approx. 1.0520 BTC according to current exchange rate.
In case you have no prior experience with Bitcoin (and can't find someone who has - which is the best option) here's a summary on different ways to buy bitcoin: https://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29
For example, you can buy bitcoins on coinbase.com (using your bank account), localbitcoins.com (multiple payment methods, depending on vendor), bitquick.co (cash deposit in local bank, seems to work pretty fast but we have no personal experience with them) or virwox.com (they accept cards and paypal, and on virwox.info you can find a tutorial on buying bitcoins there).
Please note that for security reasons some websites will delay payment for up to 48 hours (that's true for purchasing on virwox with paypal) so please pay attention to terms of service. We won't be able to confirm your transaction and send you the password during that delay period.
In our experience your best chance to make the transfer quickly is to find an online seller with good reviews on localbitcoins.com. If you use cash deposit to pay that seller your transaction should only take a few hours. Also vendors can be really helpful on that website.
Alternatively you can look up bitcoin ATMs in your area - their fee is usually a bit higher but that's one of the fastest ways to buy bitcoins.
For amounts up to $300 you can use circle.com - it allows to send money from credit and debit cards almost instantly. You can also break up bigger amounts and make several payments from different accounts if you find it convenient.
After you purchase $700 worth of bitcoins you can just send them to our bitcoin wallet directly from the website you've chosen - this way you won't have to install bitcoin software, manage your own wallet etc. If you find it difficult to transfer the indicated amount in a single transaction you can break up the sum and make several transactions to the same bitcoin address (possibly using different methods of purchasing bitcoins).
After that we'll send you the password that'll let you boot Windows and further instruction on permanently decrypting hard drives. We'll also tell how we got in so you can fix it and prevent future incidents.
В сентябре вымогатели использовали другой текст и требовали 1 Bitcoin (~ $600).
Содержание записки о выкупе (вариант сентября):
Your HDD Encrypted By AES 2048Bit
Send 1BTC Per HOST to My Bitcoin Wallet, then we give you Decryption key For Your Server HDD!!
My Bitcoin Wallet Address: 1NLnMNMPbxWeMJVtGu***
We Only Accept Bitcoin, it’s so easy!
You can use Brokers to exchange your money to BTC ASAP it's Fast way!
Here: хттпs://localbitcoins.com/
If You Don't Have a Account in Bitcoin, Read it First:
хттпs://bitcoin.org/en/getting-started
bitcoin Market:
хттпs://blockchain.info/
хттпs://www.okcoin.com/
хттпs://www.coinbase.com/
хттпs://bitcoinwallet.com/
Технические детали
Распространение, инфицирование и установка вредоноса
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.
HDDCryptor может инфицировать систему через исполняемый файл, который пользователь может загрузить с вредоносного веб-сайта, или может быть установлен другими вредоносными программами.
Вымогатель устанавливается путем дроппирования нескольких компонентов, легитимных и вредоносных, в корневой папке системы:
dcapi.dll - детектируется TrendMicro как Ransom_HDDCRYPTOR.A;
dccon.exe - используется для шифрования диска;
dcrypt.exe - легитимная утилита DiskCryptor;
dcrypt.sys - файл утилиты DiskCryptor;
log_file.txt - лог работы вредоносного ПО;
Mount.exe - сканирует подключенные сетевые диски и шифрует на них файлы;
netpass.exe - нужен для поиска ранее настроенных и доступных сетевых папок;
netuse.txt - нужен для хранения информации о подключенных сетевых дисках;
netpass.txt - нужен для хранения учетных данных для ранее подключенных сетевых дисков.
К тому же, HDDCryptor добавляет службу с именем DefragmentService и выполняет её с помощью командной строки.
Чтобы закрепиться в системе HDDCryptor создает нового пользователя с именем "Mythbusters" с паролем "123456", а также добавляет новую службу под названием "DefragmentService", которая работает при каждой загрузке. Эта служба вызывает оригинальный бинарный файл вымогателя (исполняемый файл с трёхзначным числом в названии).
Два из описанных выше файла являются свободно распространяемыми инструментами. Netpass.exe - бесплатный сетевой инструмент для восстановления пароля, а dcrypt.exe - исполняемый файл DiskCryptor, утилиты с открытым исходным кодом для шифрования диска. Netpass.exe сначала ищет ранее настроенные и доступные сетевые папки и извлекает учётные данные. Информация об этих сетевых дисках хранится в двух локальных текстовых файлах, один содержит сведения о подключенных дисках и любые учетные данные, если таковые имеются.
Функциональные возможности Mount.exe:
- Перечислить все имеющиеся подключенные диски и зашифровать все файлы
- Благодаря netpass.exe найти ранее подключенные диски или кэшированные отключенные сетевые пути и подключиться к ним, используя все полученные учетные данные.
Запустить mount.exe без параметров всех перечисленных подключенных дисков, с помощью функции управления томами в ОС Windows GetLogicalDrives и зашифровать все файлы, хранящиеся на них.
Для того, чтобы добраться к ранее доступным сетевым папкам (на неподключенных дисках), HDDCryptor использует бесплатное ПО для восстановления сетевых паролей (netpass.exe). Утилита извлекает учётные данные текущей сессии и результат сохраняется в файл с именем netpass.txt. Кэш подключаемых к ним дисков сбрасывается в файл с именем netuse.txt. Исполняемый файл затем использует два файла дампа для доступа к кэшированным сетевым ресурсам (даже отключенным) или любому другому сетевому ресурсу, который ранее был доступен. Кроме того, DiskCryptor содержит сертификат с истекшим сроком, а само ПО не обновлялось с 7 сентября 2014 г.
Файлы, связанные с этим Ransomware:
%SystemDrive%/DC22/dcapi.dll
%SystemDrive%/DC22/dccon.exe
%SystemDrive%/DC22/dcinst.exe
%SystemDrive%/DC22/dcrypt.exe
%SystemDrive%/DC22/dcrypt.sys
%SystemDrive%/DC22/mount.exe
%SystemDrive%/DC22/netpass.exe
%SystemDrive%/DC22/netpass.txt
%SystemDrive%/DC22/log_file.txt
%SystemDrive%/DC22/netuse.txt
Ключи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DefragmentService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\config
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Enum
Гибридный анализ на PS >>
Детект на VirusTotal >>
Symantec: Ransom.HDDCryptor >>
Степень распространённости: средняя.
Подробные сведения собираются.
Обновление от 29 ноября:
Результаты анализов VT, HA
В конце ноября 2016 компьютерные системы метрополитена Сан-Франциско (MUNI-RAILWAY) стали жертвой атаки этого крипто-вымогателя. Но атака не была целенаправленной. Кто-то из работников MUNI-RAILWAY скачал и запустил зараженный файл самостоятельно. После связи с вымогателями по email cryptom27@yandex.com был получен ответ:
If You are Responsible in MUNI-RAILWAY !
All Your Computer’s/Server’s in MUNI-RAILWAY Domain Encrypted By AES 2048Bit!
We have 2000 Decryption Key !
Send 100BTC to My Bitcoin Wallet , then We Send you Decryption key For Your All Server’s HDD!!
We Only Accept Bitcoin , it’s So easy!
You can use Brokers to exchange your money to BTC ASAP
It’s Fast way!
Вымогатели запросили 100 биткоинов, но работникам MUNI-RAILWAY удалось восстановить работу компьютерной сети самостоятельно, без уплаты выкупа.
Читать об этом: здесь и здесь.
Обновление от 9 августа 2017:
Обширная статья от ЛК >>
Обновление от 26 февраля 2018:
Топик на форуме >>
Email: PAPINDO@SCRYPTMAIL.COM
All your data encrypted. Contact: PAPINDO@SCRYPTMAIL.COM
ENTER PASSWORD: _
Обновление от 20 мая 2019:
Пост на форуме >>
Текст от вымогателей:
Your HDDs are encrypted. Contact us to buy password via ********* Ref. code *****
Enter password: _
Read to links: TrendMicro blog + Renato Marinho blog ID Ransomware (ID as HDDCryptor) Write-up on BC
Thanks: TrendMicro, Michael Gillespie Andrew Ivanov (author) Renato Marinho, Catalin Cimpanu
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.