пятница, 18 ноября 2016 г.

CHIP, ChipLocker

CHIP Ransomware 
ChipLocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-512, а затем требует плату за декриптер, чтобы вернуть файлы. Название от добавляемого расширения. Другие названия: ChipLocker, ChipCrypter.

© Генеалогия: CHIP > DALE > ATLAS

К зашифрованным файлам добавляется расширение .CHIP

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: CHIP_FILES.txt
Разбрасываются по папкам с зашифрованными файлами.

Содержание записки о выкупе:
YOUR ID:424ad***
Hello!
All Your files are encrypted!
For more specific instructions, please visit a support home page:
http://mm6x57ri2coivya6.onion
To see this page follow these steps:
1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - After a successful installation, run the browser
3 - Type in the address bar - http://mm6x57ri2coivya6.onion
4 - Follow the instructions on the site
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES!
Kind regards,
Support Team.
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***

Перевод записки на русский язык:
ВАШ ID:424ad***
Привет!
Все Ваши файлы зашифрованы!
Для подробных инструкций, посетите домащнюю страницу поддержки:
http://mm6x57ri2coivya6.onion
Чтобы увидеть эту страницу сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - После успешной установки запустить браузер
3 - Ввести в адресной строке - http://mm6x57ri2coivya6.onion
4 - Следуйте инструкциям на сайте
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить ваши файлы!
С наилучшими пожеланиями,
Группа поддержки.
ВАШ ID:424ad*** (повторяется 5 раз)



Инструкции на Tor-сайте:
Hello!
Your files are encrypted!
If You want to restore Your system, You need to use a contact form below.
Leave Your ID number (ID number is located in the "CHIP_FILES.TXT") and contact email.
Our appointment coordinators will contact you within 24 hours!
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES!

Перевод на русский язык:
Привет!
Ваши файлы зашифрованы!
Если Вы хотите восстановить систему, Вы должны использовать контактную форму ниже.
Оставьте свой ID номер (ID номер расположен в "CHIP_FILES.TXT") и контактный email.
Наши назначенные координаторы свяжутся с вами в течение 24 часов!
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить свои файлы!

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, в данном случае RIG-Empire, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Когда посетитель просматривает сайт, который был ранее взломан и скомпрометирован с помощью набора эксплойтов RIG-E (Empire), то скрипт будет пытаться использовать уязвимости в системе и установленных программах ПК. Если уязвимость будет найдена и проэксплуатирована, то RIG-E загрузит и установит пейлоад (payload), который в данном случае и является CHIP Ransomware. Эту цепь событий можно увидеть в изображении ниже (из статьи Брэда Данкена).

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
.db, .doc, .docx, .jpg, .jpeg, .ppt, .pptx, .txt, .wb2, .wpd, .xls, .xlsx, .xml и пр.

Файлы, связанные с этим Ransomware:
rad46480.tmp.exe 
CHIP_FILES.txt
C:\MSOCache\All Users\{90140000-0012-0000-0000-0000000FF1CE}-C\CHIP_FILES.txt

Записи реестра, связанные с этим Ransomware:
См. ниже гибридный, malwr и maldun-анализы.

Сетевые подключения:
checkip.dyndns.org (216.146.43.70:80) (США)
cavallinomotorsport.com (27.121.64.183) (Австралия)
imomfs.e89mfe.top (185.153.198.107:80)
mm6x57ri2coivya6.onion
109.236.82.8:80 (Нидерланды)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Maldun анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Topic on BC + ID Ransomware (ID as CHIP)
 Malware-Traffic-Analysis
 Write-up on BC (add. October 19, 2016)
 Thanks: 
 mike 1
 Michael Gillespie
 Brad Dunkan
 Lawrence Abrams
 CyberSecurity GrujaRS for Video review

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *