воскресенье, 18 декабря 2016 г.

AES-NI

AES-NI Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует написать на email вымогателей, чтобы выкупить секретный ключ и вернуть файлы. Сначала название дано по логину из email вымогателей, потом подтвердилось. 

© Генеалогия: AES-NI. Начало.

К зашифрованным файлам добавляется расширение:
.aes256 
.aes_ni 
.aes_ni_gov - для атак на госучреждения (спец. сборка);
.lock - используется тем, кто перешёл с Globe. 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!!! READ THIS - IMPORTANT !!!.txt

Содержание записки о выкупе:
< YOUR FILES ARE ENCRYPTED! >
SORRY! All personal files on your computer are encrypted.
File contents are encrypted with random key (AES-256; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
   aes-ni@protonmail.com
   aes-ni@tuta.io
Also you can write to BitMsg (https://bitmsg.me) address
  if you did not receive any answer on e-mail:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
You will receive instructions of what to do next.
You MUST refer this ID in your message:
*****
< YOUR FILES ARE ENCRYPTED! >

Перевод записки на русский язык:
< ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ! >
ПРОСТИ! Все личные файлы на твоем компьютере зашифрованы.
Содержимое файла зашифровано со случайным ключом (AES-256, режим ECB).
Случайный ключ шифруется с помощью открытого ключа RSA (2048 бит).
Мы убедительно не советуем использовать "инструменты дешифрования".
Эти инструменты могут привести к повреждению данных, что сделает восстановление НЕВОЗМОЖНЫМ.
Если хочешь расшифровать свои файлы, то должен получить RSA секретный ключ.
Для заказа секретного ключа, пиши сюда:
   aes-ni@protonmail.com
   aes-ni@tuta.io
Также можешь написать на BitMsg-адрес (https://bitmsg.me) 
   если ты не получил никакого ответа на email:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
Ты получишь инструкции о том, что делать дальше.
Ты должен передать этот ID в своем сообщении:
*****
< ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ! >

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

AES-NI определяет локальный язык и страну пользователей, подключаясь в адресу ipinfo.io, поэтому шифровальщик не работает у пользователей из России и стран СНГ (защита от запуска). 
Использует антиреверсинг, определяет запуск в песочнице.
Использует C&C-сервер в Tor-сети. 

Использует инжект в выполняющиеся процессы.


Шифруются все файлы, кроме тех, что имеют расширения:
.dll, .exe, .lnk, .mui, .sys

Таким образом документы MS Office, PDF, базы данных, фотографии, музыка, видео, архивы наверняка будут зашифрованы, а система будет работать. 

Файлы, связанные с этим Ransomware:
!!! READ THIS - IMPORTANT !!!.txt
<random>.exe
C:\ProgramData\[PC_NAME#ID].key.lock -  оффлайн-ключи

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
aes-ni@protonmail.com
aes-ni@tuta.io
0xc030@protonmail.ch
frogobigens@india.com (ранее был замечен в Globe2)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 27 февраля 2017:
Файлы с ключами: .key.aes_ni_gov
Email: 0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@sigaint.org
<< Скриншот записки (реконструкция)



Обновление от 9 февраля / 13 марта:

Новая тема поддержки пользователей на BC
Расширение: .lock
Записка: !!! READ THIS - IMPORTANT !!!.txt
Email: frogobigens@india.com (перешли на AES-INI после использования Globe). 
Идентификация ПК жертвы по шаблону: 
Your ID: PC_NAME#HASH style ID [random_A-Z0-9]{32}
Содержание записки о выкупе:
Your ID: COMP#0B090BFB5147AAE38F4CF1F1F507935D
Also check for .key.lock files in the C:\ProgramData directory and send them to support.
Translation at the expense of Bitcoin address
1HyasSC2VifTZo7YkUNn33udnWXw3*****
Buy Bitcoin here https://localbitcoins.com or
https://www.buybitcoinworldwide.com/find-exchange/ or
https://www.coinbase.com or
https://www.xmlgold.eu  or
any other exchanger
or
write to Google how to buy Bitcoin in your country?
after payment you will receive a program that automatically decrypts all your files
mail support frogobigens@india.com
NO money = NO decryption

Степень распространённости: низкая. 
Подробные сведения собираются регулярно.


Обновление 20 июня 2017:
КЛЮЧИ и ДЕКРИПТЕР от РАЗРАБОТЧИКА AES-NI для ДЕШИФРОВКИ
------------------------------------------------------
IN ENGLISH
-------------------------
keys: https://www.sendspace.com/file/8co1k2
pass: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Decrypter and private keys
https://www.sendspace.com/file/n3ha1w
password: 6bvlWD9yz3yBtQyOhtAqFheg
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 private master key for offline AES-NI keys.
https://www.sendspace.com/file/fz133k 
pass: 85W0vhRkPbqcvaTafHknhMRP
---
We wish you a successful decrypting!
---------------------------------------------------
НА РУССКОМ ЯЗЫКЕ
-------------------------
ключи: https://www.sendspace.com/file/8co1k2
пароль: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Декриптер и закрытые ключи
https://www.sendspace.com/file/n3ha1w
пароль: 6bvlWD9yz3yBtQyOhtAqFheg 
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 закрытый мастер-ключ оффлайн ключей AES-NI.
https://www.sendspace.com/file/fz133k 
пароль: 85W0vhRkPbqcvaTafHknhMRP
---
Желаем вам успешной дешифровки!


------------------------------------------------------

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AES-NI)
 Topic on BC / Now Topic on BC
 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton