Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 18 декабря 2016 г.

AES-NI

AES-NI Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует написать на email вымогателей, чтобы выкупить секретный ключ и вернуть файлы. Сначала название дано по логину из email вымогателей, потом подтвердилось. 

© Генеалогия: AES-NI. Начало.

К зашифрованным файлам добавляется расширение:
.aes256 
.aes_ni 
.aes_ni_gov - для атак на госучреждения (спец. сборка);
.lock - используется тем, кто перешёл с Globe. 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!!! READ THIS - IMPORTANT !!!.txt

Содержание записки о выкупе:
< YOUR FILES ARE ENCRYPTED! >
SORRY! All personal files on your computer are encrypted.
File contents are encrypted with random key (AES-256; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
   aes-ni@protonmail.com
   aes-ni@tuta.io
Also you can write to BitMsg (https://bitmsg.me) address
  if you did not receive any answer on e-mail:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
You will receive instructions of what to do next.
You MUST refer this ID in your message:
*****
< YOUR FILES ARE ENCRYPTED! >

Перевод записки на русский язык:
< ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ! >
ПРОСТИ! Все личные файлы на твоем компьютере зашифрованы.
Содержимое файла зашифровано со случайным ключом (AES-256, режим ECB).
Случайный ключ шифруется с помощью открытого ключа RSA (2048 бит).
Мы убедительно не советуем использовать "инструменты дешифрования".
Эти инструменты могут привести к повреждению данных, что сделает восстановление НЕВОЗМОЖНЫМ.
Если хочешь расшифровать свои файлы, то должен получить RSA секретный ключ.
Для заказа секретного ключа, пиши сюда:
   aes-ni@protonmail.com
   aes-ni@tuta.io
Также можешь написать на BitMsg-адрес (https://bitmsg.me) 
   если ты не получил никакого ответа на email:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
Ты получишь инструкции о том, что делать дальше.
Ты должен передать этот ID в своем сообщении:
*****
< ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ! >

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

AES-NI определяет локальный язык и страну пользователей, подключаясь в адресу ipinfo.io, поэтому шифровальщик не работает у пользователей из России и стран СНГ (защита от запуска). 
Использует антиреверсинг, определяет запуск в песочнице.
Использует C&C-сервер в Tor-сети. 

Использует инжект в выполняющиеся процессы.


Шифруются все файлы, кроме тех, что имеют расширения:
.dll, .exe, .lnk, .mui, .sys

Таким образом документы MS Office, PDF, базы данных, фотографии, музыка, видео, архивы наверняка будут зашифрованы, а система будет работать. 

Файлы, связанные с этим Ransomware:
!!! READ THIS - IMPORTANT !!!.txt
<random>.exe
C:\ProgramData\[PC_NAME#ID].key.lock -  оффлайн-ключи

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
aes-ni@protonmail.com
aes-ni@tuta.io
0xc030@protonmail.ch
frogobigens@india.com (ранее был замечен в Globe2)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 27 февраля 2017:
Файлы с ключами: .key.aes_ni_gov
Email: 0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@sigaint.org
<< Скриншот записки (реконструкция)



Обновление от 9 февраля / 13 марта:

Новая тема поддержки пользователей на BC
Расширение: .lock
Записка: !!! READ THIS - IMPORTANT !!!.txt
Email: frogobigens@india.com (перешли на AES-INI после использования Globe). 
Идентификация ПК жертвы по шаблону: 
Your ID: PC_NAME#HASH style ID [random_A-Z0-9]{32}
Содержание записки о выкупе:
Your ID: COMP#0B090BFB5147AAE38F4CF1F1F507935D
Also check for .key.lock files in the C:\ProgramData directory and send them to support.
Translation at the expense of Bitcoin address
1HyasSC2VifTZo7YkUNn33udnWXw3*****
Buy Bitcoin here https://localbitcoins.com or
https://www.buybitcoinworldwide.com/find-exchange/ or
https://www.coinbase.com or
https://www.xmlgold.eu  or
any other exchanger
or
write to Google how to buy Bitcoin in your country?
after payment you will receive a program that automatically decrypts all your files
mail support frogobigens@india.com
NO money = NO decryption

Степень распространённости: низкая. 
Подробные сведения собираются регулярно.


Обновление 20 июня 2017:
КЛЮЧИ и ДЕКРИПТЕР от РАЗРАБОТЧИКА AES-NI для ДЕШИФРОВКИ
------------------------------------------------------
IN ENGLISH
-------------------------
keys: https://www.sendspace.com/file/8co1k2
pass: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Decrypter and private keys
https://www.sendspace.com/file/n3ha1w
password: 6bvlWD9yz3yBtQyOhtAqFheg
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 private master key for offline AES-NI keys.
https://www.sendspace.com/file/fz133k 
pass: 85W0vhRkPbqcvaTafHknhMRP
---
We wish you a successful decrypting!
---------------------------------------------------
НА РУССКОМ ЯЗЫКЕ
-------------------------
ключи: https://www.sendspace.com/file/8co1k2
пароль: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Декриптер и закрытые ключи
https://www.sendspace.com/file/n3ha1w
пароль: 6bvlWD9yz3yBtQyOhtAqFheg 
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 закрытый мастер-ключ оффлайн ключей AES-NI.
https://www.sendspace.com/file/fz133k 
пароль: 85W0vhRkPbqcvaTafHknhMRP
---
Желаем вам успешной дешифровки!


------------------------------------------------------

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AES-NI)
 Topic on BC / Now Topic on BC
 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *