пятница, 18 ноября 2016 г.

CHIP, ChipLocker

CHIP Ransomware 
ChipLocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-512, а затем требует плату за декриптер, чтобы вернуть файлы. Название от добавляемого расширения. Другие названия: ChipLocker, ChipCrypter.

© Генеалогия: CHIP > DALE > ATLAS

К зашифрованным файлам добавляется расширение .CHIP

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: CHIP_FILES.txt
Разбрасываются по папкам с зашифрованными файлами.

Содержание записки о выкупе:
YOUR ID:424ad***
Hello!
All Your files are encrypted!
For more specific instructions, please visit a support home page:
http://mm6x57ri2coivya6.onion
To see this page follow these steps:
1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - After a successful installation, run the browser
3 - Type in the address bar - http://mm6x57ri2coivya6.onion
4 - Follow the instructions on the site
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES!
Kind regards,
Support Team.
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***

Перевод записки на русский язык:
ВАШ ID:424ad***
Привет!
Все Ваши файлы зашифрованы!
Для подробных инструкций, посетите домащнюю страницу поддержки:
http://mm6x57ri2coivya6.onion
Чтобы увидеть эту страницу сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - После успешной установки запустить браузер
3 - Ввести в адресной строке - http://mm6x57ri2coivya6.onion
4 - Следуйте инструкциям на сайте
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить ваши файлы!
С наилучшими пожеланиями,
Группа поддержки.
ВАШ ID:424ad*** (повторяется 5 раз)



Инструкции на Tor-сайте:
Hello!
Your files are encrypted!
If You want to restore Your system, You need to use a contact form below.
Leave Your ID number (ID number is located in the "CHIP_FILES.TXT") and contact email.
Our appointment coordinators will contact you within 24 hours!
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES!

Перевод на русский язык:
Привет!
Ваши файлы зашифрованы!
Если Вы хотите восстановить систему, Вы должны использовать контактную форму ниже.
Оставьте свой ID номер (ID номер расположен в "CHIP_FILES.TXT") и контактный email.
Наши назначенные координаторы свяжутся с вами в течение 24 часов!
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить свои файлы!

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, в данном случае RIG-Empire, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Когда посетитель просматривает сайт, который был ранее взломан и скомпрометирован с помощью набора эксплойтов RIG-E (Empire), то скрипт будет пытаться использовать уязвимости в системе и установленных программах ПК. Если уязвимость будет найдена и проэксплуатирована, то RIG-E загрузит и установит пейлоад (payload), который в данном случае и является CHIP Ransomware. Эту цепь событий можно увидеть в изображении ниже (из статьи Брэда Данкена).

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
.db, .doc, .docx, .jpg, .jpeg, .ppt, .pptx, .txt, .wb2, .wpd, .xls, .xlsx, .xml и пр.

Файлы, связанные с этим Ransomware:
rad46480.tmp.exe 
CHIP_FILES.txt
C:\MSOCache\All Users\{90140000-0012-0000-0000-0000000FF1CE}-C\CHIP_FILES.txt

Записи реестра, связанные с этим Ransomware:
См. ниже гибридный, malwr и maldun-анализы.

Сетевые подключения:
checkip.dyndns.org (216.146.43.70:80) (США)
cavallinomotorsport.com (27.121.64.183) (Австралия)
imomfs.e89mfe.top (185.153.198.107:80)
mm6x57ri2coivya6.onion
109.236.82.8:80 (Нидерланды)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Maldun анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Topic on BC + ID Ransomware (ID as CHIP)
 Malware-Traffic-Analysis
 Write-up on BC (add. October 19, 2016)
 Thanks: 
 mike 1
 Michael Gillespie
 Brad Dunkan
 Lawrence Abrams
 CyberSecurity GrujaRS for Video review

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton