Hucky

Hucky Ransomware
Hungarian Locky Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA, а затем требует выкуп, чтобы вернуть файлы. Название получил от составления частей слов Hungarian Locky: Hu + cky. Такое решение было принято исследователями из компании Avast из-за стремления вымоагтелей-разработчиков выдать своё творение за настоящий Locky. 

© Генеалогия: Locky > Hungarian Locky

К зашифрованным файлам добавляется расширение .locky. Настоящее имя файла не меняется. 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на венгерских пользователей.

Записки с требованием выкупа называются: 
_Adatok_visszaallitasahoz_utasitasok.txt (т.е. Инструкции по восстановлению данных)
_locky_recover_instructions.txt
Fontos Informacio.bmp

Содержание записки о выкупе:
!!! FONTOS INFORMÁCIÓ !!!!
Az összes fájlja le lett titkosítva RSA-3072 és AES-128 titkosításokkal.
RSA és az AES titkosításokról itt olvashat részletesebben :
https://hu.wikipedia.org/wiki/RSA-eljárás
https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard
A fájljai visszanyeréséhez szüksége van a titkos kulcsra valamint egy vissza titkosító programra.
A kulcs megszerzéséhez kérem kövesse az alábbi lépéseket:
1. Küldje el e-mailbe a azonosító kódját locky@mail2tor.com címre !
Ha gondolja küldje el egy 1 Mb-nál kisebb fájlját és visszakódoljuk.
Hogy bebizonyítsuk képesek vagyunk visszaállítani az adatait.
(Kérem az e-mail csak a azonosító kódot valamint az esetleges csatolmányt tartalmazza)
3. Figyelje e-mail fiókját mert 24 órán belül levelet küldünk önnek !
A levélben megkapja a visszakódolt fálját,valamint a vissza titkosító programot.
Kövesse a levélben lévő utasításokat I
!!! Az ön azonosító kódja !!!
***
↑ Ezt a hosszú kódot a jegyzettömbből lehet kimásolni

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все файлы зашифрованы с помощью шифрования RSA-3072 и AES128.
О RSA и AES шифрах можете узнать больше здесь:
https://hu.wikipedia.org/wiki/RSA-eljárás
https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard
Чтобы вернуть файлы, нужно получить секретный ключ и программу дешифрования.
Чтобы получить ключ, пожалуйста, выполните следующие действия:
1. Отправьте на email-адрес locky@mail2tor.com идентификационный код!
Если хотите, пришлите файл в размере 1 МБ для расшифровки.
Для того, чтобы доказать, что мы можем восстановить данные.
(Пожалуйста, email должно содержать только идентификационный код, а также вложении)
3. Обратите внимание, проверяйте почту, мы вышлем вам письмо в течение 24 часов!
Вы получите во ввложении расшифрованный файл и программу дешифрования.
Следуйте инструкциям в письме.
!!! Ваш идентификационный код !!!
***
 Этот длинный код может быть скопирован из блокнота

Как показал анализ, вымогательский текст был переведен на венгерский с помощью системы автоматизированного перевода, в том числе в тексте отсутствует пункт 2 и сразу после 1-го идет 3-й. 

Распространяется Hucky с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Создатели этого венгерского крипто-вымогателя стремились к тому, чтобы запугать своих жертв "крутым" шифровальщиком Locky. Перечислим ряд замеченных исследователями признаков и сравним их с признакоами реального Locky. 

Первым их них является расширение .locky, добавляемое к зашифрованным файлам, тогда как реальный Locky уже давно "отказался" от его использования. Также Hucky, в отличие от реального Locky, выполняет шифрование в автономном режиме, т.е. без обращения к C&C-серверу. 

Пока пользователь, неострожно открывший вредоносное влложение, просматривает фиктивный документ Word, производится шифрование файлов. Hucky может перезапустить ПК после завершения процесса шифрования, чтобы удалить свои файлы и следы работы, которые могут помочь узнать ключ дешифрования. 

Требования выкупа Hucky отображает на венгерском в виде текстовых файлов и дублирует их на изображении, встающем обоями рабочего стола. Тогда как реальный Locky выводил тексты только на английском языке. Locky запрашивал уплату Bitcoin через Tor-сайт, а Hucky требует от жертвы написать на email адрес в Mail2Tor. На изображение Hucky, встающем обоями, есть маленькая картинка жёлтого замка, которого у реального Locky нет.

Список файловых расширений, подвергающихся шифрованию, у Hucky состоит всего из 200 шт., что составляет лишь половину списка, используемого Locky. Вымогатель Hucky кроме того нацелен на видео-файлы игр, которые используются в StarCraft2, World of Tanks и Minecraft.

Другим отличием является используемый язык программирования: Locky был создан с помощью Microsoft Visual C ++, а Hucky основан на Microsoft VisualBasic.

Все диалоги Hucky с жертвами написаны на венгерском языке. Исполняемые файлы Hucky распространяются только в Венгрии и связаны с такими названиями, как semmi.exe (венгерское слово "ничто") или turul.exe (название венгерского национального символа). Кроме того, венгерский текст используется в коде Hucky, в пространстве имён, методах, переменных и т.д.

Список файловых расширений, подвергающихся шифрованию:
200 расширений, в их числе файлы документов MS Office, PDF, изображения, аудио-видео, файлы игр. 

Файлы, связанные с Hucky Ransomware:
_Adatok_visszaallitasahoz_utasitasok.txt (Инструкции по восстановлению данных)
_locky_recover_instructions.txt
\Startup\mgtow.exe
\Startup\Java Update.exe
\Startup\Fontos Informacio.bmp
\Temp\monodocu.dat
\Temp\d3m4g0g.dat
\Temp\\[A-Za-z0-9]{6}\.bat$/

Записи реестра, связанные с Hucky Ransomware:
***

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Blog Avast
 ID Ransomware
 *

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.