суббота, 26 ноября 2016 г.

Thanksgiving

Thanksgiving Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в *** биткоинов, чтобы вернуть файлы. Название получил от американского праздника "День Благодарения", к которому готовится индейка.

© Генеалогия: Stampado (шаблон и список расширений) > Thanksgiving 

Образец этого криптовымогателя был найден в ноябре 2016 г. Находится пока в разработке и активно не распространяется. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Образец содержит изображение индейки, символа "Дня Благодарения". 

Записки с требованием выкупа имеются в разделённом виде, в трёх частях: 
lblMain.txt
lbBitcoinInfoMain.txt
lbFinallyText.txt
Содержание записки lblMain.txt:
All files including videos, photos and documents on your computer have been encrypted by this software.
Encryption was produced using a unique key specific to your computer. The only way to obtain your files back is to decrypt them using the unique key specific to your computer.
Your unique key is stored on a tor server which will automatically destroy itself after 1 week. After that, no one will be able to restore your files.
If this program is altered in any way without ransom being payed, your files will be lost forever.
Your files will be automatically decrypted once the payment is received.
This program automatically communicates with the server and will decrypt your files once the payment has been received. Any questions, email me at: john.perezzka@gmail.com . An email needs to be sent when you have sent your payment with your IP address.

Перевод lblMain.txt на русский язык:
Все файлы, включая видео, фото и документы на вашем компьютере были зашифрованы с помощью этой программы.
Шифрование сделано с помощью ключа уникального для вашего компьютера. Один способ вернуть файлы — дешифровать их с уникальным ключом, созданным для вашего компьютера.
Ваш уникальный ключ хранится на tor-сервере и самоуничтожится через 1 неделю. Потом уже никто не восстановит ваши файлы.
Если эта программа изменена как-то без уплаты выкупа, ваши файлы будут потеряны навсегда.
Ваши файлы автоматически расшифруются после получения оплаты.
Эта программа автоматически свяжется с сервером и дешифрует файлы после получения платежа. Все вопросы, пишите мне на email: john.perezzka@gmail.com. Email должно быть отправлено, когда вы отправили платеж с вашего IP-адреса.


Содержание записки lbFinallyText.txt:
The damage has been done. It does not matter whether you remove this program or not, your data cannot be recovered by any other means. Your system is useless, it will be even more useless once you meet your due date.
-Attempting to close the program will delete a random file
-Cutting off your internet connection will delete files
-Any attempt of removing the program will delete files
Once the payment has been received, your files will be decrypted automatically once we receive an email from you.
Your system is unusuable. we recommend using another device to navigate the internet for you to be able to purchase bitcoins.
If this program is to ever disappear, feel free to open it up again from where you saved it.

Перевод lbFinallyText.txt на русский язык:
Ущерб был нанесен. Неважно, удалите ли вы эту программу или нет, данные не могут быть восстановлены с помощью других средств. Ваша система бесполезна, это станет еще более бесполезным, как только ваше время выйдет.
- Попытка закрыть программу удалит случайный файл
- Разрыв подключения к Интернету будет удалять файлы
- Любая попытка удаления программы будет удалять файлы
После полученя оплаты ваши файлы будут расшифрованы автоматически, как только мы получаем email от вас.
Ваша система непригодна, мы советуем вам пользовать другое устройство для навигации в Интернете и покупки биткоинов.
Если эта программа вдруг закроется, не стесняйтесь открыть его снова, где вы её сохранили.


Содержание записки lbBitcoinInfoMain.txt:
Bitcoins are a cryptocurrency. First of all, you need a wallet to store the bitcoins which you purchase, ordering 1% more bitcoins than the amount you are due is recommended due to wallet transfer rates.
Now you need to find a place to purchase bitcoins. Simply google search 'buy bitcoins' and purchase from the websites which appear in your google search. Make sure you place the bitcoins into your own wallet before sending it to the instructed address.
Once you have the bitcoins, send them to the address specified above, and your files will automatically be decrypted and the negative effects of this program will disappear.

Перевод lbBitcoinInfoMain.txt на русский язык:
Биткоины это криптовалюта. Сначала, вам нужен бумажник для хранения биткоинов, которые вы купите, заказыв на 1% больше, чем Bitcoins-сумма, из-за тарифов на трансфер.
Теперь вам нужно найти место для покупки биткоинов. Просто ищите в Google "купить Bitcoins" и покупайте с веб-сайтов, что выходят в поиске Google. Убедитесь, что получили биткоины в свой кошелек, до пересылки их на адрес в инструкции.
После получения биткоинов отправьте их по адресу, указанному выше, и ваши файлы автоматически расшифруются и негативные эффекты от программы исчезнут.

После выхода финальной версии вполне может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
!@!, $cr, $efs, ---, ___fpe, __b, _docx, _vc, {pb, ~de, ~dp, ~mn, ~y7, 000, 001, 00b, 1, 13t, 1p4_zip, 1password, 1pif, 1-step, 201, 2015, 210, 2db, 3Ds, 3Fr, 500, 73i87A, 7z, 999, a$v, a2r, aaa, aas, ab, abc,abcd, abk,abu1, accdb, acd-bak, aci, acl, acr, acsm, ad, adk, adoc, aea, aee, aen, aepkey, aes, aes256, aex, aexpk, afp, afs3, agilekeychain, ai, aiml, aja, ajl, alk, amj, amk, ani, anim, aos, apk, appt, apv, apw, arc, arch00, arm, arw, arz, asc, asd, asec, ashbak, ashdisc, asset, atc, ate, att, au3, aut, auth, avi, avn, avz, awb, awsec, axx, azf, azs, b2a, bac, backup, backupdb, bak, bak~, bak1, bak3, bakx, bar, base64, bay, baz, bbb, bbk, bc6, bc7, bc9, bca, bdb, bexpk, bfa, bfe, bff, bfs, bfw, big, bik, bin, bioexcess, bitstak, bjf, bk!, bk0, bk1, bk2, bk3, bk4, bk5, bk6, bk7, bk8, bk9, bkc, bkf, bki, bko, bkp, bks, bku, bkup, bkz, blend1, blend2, blob, bm3, bmp, bmpenx, bmr, bms, bnc, box, bp0, bp1, bpa, bpb, bpk, bpn, bpp, bps, bpw, breaking_bad, brw, brz, bsa, bsk, bsr, btc, btoa, btx, buc, bud, bvh, bvw, bz1, c, c2v, cae, can, cAs, cas, cbk, cbu, ccc, CCCRRRPPP, ccitt, ccp, cdb, cdr, cef, cer, cerber, cfd, cfe, cfog, cfp, cfr, cgp, chi, chml, cig, cip, ckp, clk, cln, clu, clx, cmb, cml, cmp, cng, coverton, cpp, cps, cpt, cpx, cr2, crinf, crjoker, crl, crpt, crptrgr, crt, crw, cry, cryp1, crypt, crypt10, crypt11, crypt12, crypt5, crypt6, crypt7, crypt8, crypt9, crypted, cryptolocker, cryptomite, cryptowall, cryptra, crypz, csj, css, csv, ctf, ctx, ctz, cvt, cxt, cyp, czip, czvxce, d3dbsp, da0, da1, dac, daf, darkness, das, dat, dat_mcr, dat_old, data, DayZProfile, daz, dazip, db, db.crypt5, db.crypt7, db.crypt8, db0, dbe, dbfv, dbk, dc4, dcf, dco, dcr, dcv, der, des, desc, devicesalt, dhcd, dim, diy,dkb, dl_, dlm, dmd, dmg, dmp, dng, doc, doce, docenx, docl, docm, docx, docxenx, docxl, dotmenx, dotxenx, dpd, drc, drt, dsa, dsb, dsc, dse, dsf, dsk, dss, dst, dt6, dwg, dwk, dwx, dxg, ebc, ebi, ebk, ebq, ecb, ecbk, ecc, ecr, edat, edc, ee, eea, eee, efa, efc, eff, efl, efr, efs, efu, efx, eg, egisenc, egisenx, egs, eid, ekb, embp, emc, enc, enciphered, EnCiPhErEd, encrypt, encrypted, enigma, enk, eno, ent, enz, eoc, epa, epb, epf, epk, eps, erf, eslock, esm, ets, etxt, ex_, exc,exportedfavorites, extz, exx, ezk, ezz, fb, fbc, fbf, fbk, fbu, fcfe, fdb, fdk, fdp, fez, ff, ffu, fgp, fkc, fl, flk, flka, flkb, flkw, flv, flwa, forge, fos, fpa, fpbf, fpenc, fpk, fri, fsh, fss, ftil, ftmb, fun, fve, fwb, fxa, fxh, gb1, gbck, gbk, gbm, gbp, gcb, gdb, gdk, ge2, gho, ghs, gif, gifenx, good, gpc, gpg, grd, gsba, gte, gws, gxk, ha3, hbi, hbk, hbx, hc, hcb, hde, hds, hdt, herbst, hex, hid, hid2, hkdb, hkx, hm~, hm4, hop, hpg, hplg, hsf, hsh, html, htmlenx, hvpl, i5d, iab, ibak, ibank, ibe, Ibf, Ibk, ibz, ica, icbu, icd, ichat, ico, icp, icxs, iff, ifs, iif, ima, image, img, img3, imm, in1, indd, info, ini, iobit, ipd, ipe, isk, ism, iso, itdb, itf, itl, itm, iv2i, ivex, iwa, iwd, iwi, ize, jaf, jbc, jbk, jcrypt, jmc, jmce, jmck, jmcp, jmcr, jmcx, jpa, jpeg, jpegenx, jpegx, jpg, jpg_encrypted, jpgenx, jpgx, jpi, jrl, jrs, js, jse, jsn, json, jsonlz4, jwc, k2p, kbb, kdb, kdbx, kdc, kde, kernel_complete, kernel_pid, kernel_time, key, keybtc@inbox_com, keychain, kf, kgb, kge, kimcilware, kkk, kne, kraken, kratos, krt, ks,ksd, kwm, layout, lcb, ldb, LeChiffre, legion, leotmi, Let, lf, lgb, litemod, llx, lma, lmr, lock3, locked, locky, lok, lol!, lp7, lrf, lrs, ltx, lvl, lxv, m14, m2, m3u, m4a, ma, macs, magic, manifest, map, mb, mb2, mbak, mbf, mbk, mbk, mbkp, mbs, mbsb, mbu, mbz5, mcat, mcfi, mcfp, mcgame, mck, mcmeta, mcrp, md, mdb, mdbackup, mddata, mdf, mdinfo, mef, mel, menc, menu, meo, metadata, mfs, mhtenx, mhtmlenx, mib, micro, migitallock, mim, mjd, mkey, mkeyb, mkz, mll, mlx, mnc, mny, mon, mono, mov, moz-backup, mp,mp3, mp4, mpb, mpqe, mpqge, mrbak, mrimg, mrwref, mscx, mscz, msd, mse, msgstoredbcrypt7, msnbak, mtd, mtl, muk, mv_, myc, mye, myox, mсg, n43, nab, nb7, nba, nbak, nbd, nbf, nbi, nbu, nbz, nc, ncf, nco, ndu, nef, nfb, nfc, nip, npb, npc, npf, nr4, nrb, nrc, nrd, nrg, nri, nrm, nru, nrw, nsx, ntj, ntl,ntx, nv2, nv3, nvf, nwbak, ob, ob3, obb, obj, obk, och, odb, odc, odcodc, odm, odp, ods, odt, ofb, ofc, ofx, ogex, okr, old, omg, ontx, op, opef, orf, ori, orig, original_epub, original_mobi, osbx, osf, otp, out, p00, p03, p04, p12, p14, p15, p20, p21, p24, p2i, p2v, p5tkjw, p7, p7a, p7b, p7c, p7e,p7m, p7s, p7x, p7z, padcrypt, pae, pak, pal, pandora, pas, passwordwallet4, paw, paym, paymrss, payms, paymst, paymts, payrms, pays, pb, pbb, pbd, pbf, pbr, pca, pcd, pchd, pcp, pcu, pcxm, pd2, pd6, pdb, pdc, pdcr, pdd, pde, pdf, pdfenx, pdfl, pdv, pef, pem, pf, pfx, pgp, php, pi2, pie, pjpg, pkcs12, pkd, pkey, pkf, pkk, pkpass, pkr, ple, png, pnne, PoAr2w, poo, potmenx, pp7m, ppenc, ppk, pps, ppsenx, ppsx, ppsxenx, ppt, ppte, pptenx, pptl, pptm, pptx, pptxenx, pqb, pr5, previous, prv, prvkr, ps, psb, psc, psd, psk, pst, psw, pswx, ptb, ptb, ptx, ptxt, puf, purgeable, pvk, pvr, pwa, pwl, pwv, py, pzdc, pсk, pсv, qb2013, qb2014, qb2015, qbb, qbk, qbm, qbmb, qbo, qbr, qbw, qbx, qby, qch, qcn, qdb, qdf, qdf-backup, qfx, qic, qif, qmd, qsd, qtx, QuickBooksAutoDataRecovery, quickenbackup, qxf, qze, r00, r10, r12, r13, r14, r15, r16, r18, r20, r3d, r5a, raa, rae, raes, raf, rar, rarenx, raw, rb, rb0, rb4, rbb, rbf, rbk, rbr, rdb, rdi, rdk, rdm, rdy, rdz, re3, re4, rec, REM, ren, req, rfp, rgss2a, rgss3a, rim, rkn, rman, rmb, rmbak, rng, rofl, rokku, rom, rpk, rpz, rrk, rrr, rsa, rsdf, rte, rtf, rtg, rw2, rwl, rxf, rzk, rzs, rzx, s1j, saa, safe, SafeText, saj, sat, sav, saved, sb, sba, sbb, sbe, sbf, sbk, sbu, sc2save, sccef, sda, sdc, sde, sdf, sdo, sdoc, sdsk, sdtid, sec, secure, SecureCrypted, sef, ses, set, sgn, sgz, shy, sic, sid, sid, sidd, sidn, sie, sign, signed, sik, sis, sjpg, ska, skb, skl, skp, skr, slm, slp, smbp, sme, smea, smht, smsbackup, sn1, sn2, sn3, snx, soft, sparsebundle, sparseimage, spb, spba, spd, spi, spk, spn, sppt, spt, sqb, sql, sr2, srf, srw, ssb, ssc, ssg, ssn, ssp, stg, sth, sti, stxt, suf, sum, sun, surprise, svd,svg, svl, svq, svs, swatch, swc, switch, sxl, sxm, sxml, syncdb, szf t09, t10, t11, t12, t13, t14, t15, ta1, tax, tax2008, tax2009, tax2010, tax2011, tax2012, tax2013, tax2014, tax2015, tb2, tbk, tbp, tc, tcs, tdr, tfx, tib, tifenx, tig, tk2, tlg, tly, tmb, tmp, tmr, tmw, tofp, tor, tpb, tpm, trn, tsc, tt12, tt13, tt14, tt15, ttbk, ttt, txf, txt, txtenx, tzp, uas, uci, udif, uea, ueaf, ueed, uenc, uhh, uid-zps, umb, undo, unity3d, upk, utb, uu, uud, uue, v11pf, v2b, v2c, v2i, v30, vbak, vbb, vbf, vbk, vbox, vbox-prev, vcf, vd, vdata, vdf, veg, vf3, vfs0, vfs4, viivo, vmdf, vme, vmf_autosave, vpk, vpp_pc, vrb, vrimg, vsf, vsr, vtf, vvv, vzn, w3x, wa~, wallet, walletx, wav, wb2, wbb, wbc, wbcat, wbf1, wbfs, wbk, wbp, wbu, wbverify, wcf, wed, wflx, whb, whx, wim, win, windows10, wjf, wkp, wma, wmc, wmg, wmo, wmt, wmv, wotreplay, wpb, wpd, wps, write, wspak, wza, x26, x3f, xar, xcon, xdb, xdc, xef, xf, xfd, xfi, xfl, xia,xlamenx, xlk, xls, xlsb, xlse, xlsenx, xlsl, xlsm, xlsx, xlsxenx, xlsxl, xml, xmm, xrm-ms, xxe, xxx, xyz, y8pd, yenc, ync, zap13, zbb, zbd, zcrypt, zdb, zepto, zip, zipenx, zix, zps, ztmp, zw1, zw3, zw5, zw6, zxn, zyklon, zzz (1240 расширений без 103 дублей в исходнике). 

Это документы MS Office, PDF, фотографии, музыка, видео, базы данных, бэкапы программ резервного копирования, общие сетевые папки и пр.

Я выявил в этом списке 93 расширения от других вымогателей: 
!@!, 73i87A, aaa, abc, axx, bak, bin, bitstak, bk6, bk8, bk9,breaking_bad, btc, ccc, CCCRRRPPP, cerber, coverton, crinf, crjoker, crptrgr, cryp1, crypt, crypted,cryptolocker, cryptowall, crypz, czvxce, darkness, data, ecc, enciphered, EnCiPhErEd, encrypt, encrypted, enigma, exx, ezz, fun, good, ha3, herbst, info, kernel_complete,kernel_pid,kernel_time, keybtc@inbox_com, kimcilware, kkk, kraken, kratos, LeChiffre, legion, locked, locky, lol!, magic, micro, mp3, odcodc, p20, p5tkjw, padcrypt, paym, paymrss, payms, paymst, paymts, payrms, pays, pdcr, PoAr2w, prv, pzdc, r12, r18, r5a, rdm, rokku, rrk, SecureCrypted, surprise, szf, tmr, ttt, vvv, wflx, windows10, xxx, xyz, zcrypt, zepto, zyklon, zzz

Ранее такой обширный список, включающий расширения, взятые у других вымогателей, был использован в обновлённой версии крипто-вымогателя Stampado Ransomware. Но этот список был дополнен разработчиком шифровальщика из разных других списков, потому и содержал 103 дубля уже имеющихся расширений, а некоторые из них были повторены несколько раз. 

Файлы, связанные с этим Ransomware:
lblMain.txt
lbBitcoinInfoMain.txt
lbFinallyText.txt
<random_name>.exe

Записи реестра, связанные с этим Ransomware: n/a
Сетевые подключения: n/a

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: единичные случаи.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (n/a)

 *
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *