вторник, 6 декабря 2016 г.

GoldenEye

GoldenEye Ransomware 

Petya-3 Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (в режиме CBC), а затем требует выкуп в размере ~1,33-1,34 биткоинов, чтобы вернуть файлы. Название оригинальное. Из результатов анализов видно, что есть ещё оригинальное название проекта: ZoomIt. Фактически это новая вариация крипто-вымогателя Petya+Mischa. Фальш-имена: ESET OnlineScanner, EOS_v2. Разработчик: Janus Cybercrime Solutions.

© Генеалогия: PetyaPetya+Misha > GoldenEye > ☠ PetrWrap Petna (Petya NSA EE) 

К зашифрованным файлам добавляется расширение .<random_8_chars>

Логотипы GoldenEye Ransomware

Этимология названия: 
Название получил от советского космического оружия GoldenEye ("Золотой глаз"), которое фигурирует в одном из фильмов о Джеймсе Бонде ("GoldenEye", 1995). 
"Петя" и "Миша" — это названия спутников из этого фильма. В также действует некая преступная группа "Янус", отсюда "имя" разработчика крипто-вымогателя — Janus Cybercrime Solutions. 
Порядковое название данной версии: Petya-3 или Petya 3.0

Активность этого крипто-вымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Вредонос вызывает отказ системы и принудительную перезагрузку. После перезагрузки ПК появляется чёрный экран, где как будто отображается процесс проверки жесткого диска на ошибки (CHKDSK). На самом же деле GoldenEye просто шифрует файлы жертвы. Затем появляется экран, информирующий жертву о произошедшем. 

Содержание текста с экрана:
You became victim of the GOLDENEYE RANSOMWARE!
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser: 
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Enter your personal decryption code there:
ngWPic-*****-eKASeh
If you already purchased your key, please enter it below.
Key: ___

Перевод на русский:
Вы стали жертвой GOLDENEYE RANSOMWARE!
Жёсткие диски вашего компьютера были зашифрованы с алгоритмом шифрования военного класса. Нет никакого способа, чтобы восстановить ваши данные без специального ключа. Вы можете приобрести этот ключ на странице даркнета, показанной на шаге 2.
Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:
1. Загрузите браузер Tor на "https://www.torproject.org/". Если вам нужна помощь, ищите в Google "access onion page".
2. Зайдите на одну из следующих страниц с Tor-браузером:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Введите ваш персональный код дешифрования здесь:
ngWPic-*****-eKASeh
Если вы уже приобрели ключ, пожалуйста, введите его ниже.
Ключ: ___

При переходе на сайт оплаты выкупа жертва должна ввести свой ID, после чего откроются следующие страницы сайта вымогателей. Я сделал анимированное изображение из трёх страниц сайта. 
GoldenEye_Ransomware_site
Страницы сайта оплаты выкупа

Кроме того, есть текстовые записки с требованием выкупа, они называются YOUR_FILES_ARE_ENCRYPTED.TXT и разбрасываются в документах, на рабочем столе и в других папках с зашифрованными файлами. 

Содержание текстовой записки о выкупе:
You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Enter your personal decryption code there: *****

В других записках указаны адреса:
golden5a4eqranh7.onion/Elk4oLEp
goldeny4vs3nyoht.onion/Elk4oLEp
golden5a4eqranh7.onion/xe2r2oo4
goldeny4vs3nyoht.onion/xe2r2oo4

Перевод записки на русский язык:
Вы стали жертвой GOLDENEYE RANSOMWARE!
Файлы на компьютере были зашифрованы с помощью алгоритма шифрования военного класса. Нет способа восстановить ваши данные без специального ключа. Вы можете приобрести этот ключ на странице даркнета, показанной на шаге 2.
Чтобы приобрести ключ и восстановить данные, сделайте следующие три простых шага:
1. Загрузите браузер Tor с "https://www.torproject.org/". Если вам нужна помощь, ищите в Google "access onion page".
2. Зайдите на одну из следующих страниц с Tor-браузером:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Введите ваш персональный код дешифрования здесь: *****

Распространяется с помощью email-спама, фишинга и вредоносных вложений, в частности вредоносного файла с названиями "Bewerbung.xls" и им подобными: Wiebold-Bewerbung.xls, Meinel-Bewerbung.xls, Seidel-Bewerbung.xls, Wüst-Bewerbung.xls, Born-Bewerbung.xls, Schlosser-Bewerbung.xls ...

Письмо приходит якобы от rolf.drescher@, что на самом деле неправда. На момент написания статьи сообщалось о пострадавших в Германии и немецкоговорящих пользователях. Пример, см. ниже. 

При открытии жертве отображается следующая таблица Excel-документа, содержащего вредоносный макрос, который и устанавливает на ПК шифровальщик GoldenEye, см. пример ниже.
Если пользователь разрешит использование макроса, то сработает сценарий, вредонос будет сохранён в папку Temp и автоматически запущен на исполнение — начнётся процесс шифрования файлов.

Для каждого зашифрованного файла GoldenEye добавляет случайное расширение, состоящее из 8 символов: .<random_8_chars>

В перспективе GoldenEye может начать распространяться и с помощью эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. В том числе может поменять вложение на PDF-EXE-файл. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Основное отличие GoldenEye от Mischa в том, что предшественник ставился после того, как не мог установиться Petya (MBR буткит), а сегодняшний GoldenEye сначала ставится сам, шифрует файлы, а уже потом пытается установить MBR-буткит для шифрования MFT (Master File Table) диска после перезагрузки ПК с помощью алгоритма Salsa20

Важное замечание! Вымогатель сделан так, что выкуп нужно уплатить не откладывая и не выключая ПК, иначе вступит в работу MBR-буткит и при перезагрузке или последующем включении ПК начнётся процесс шифрования MFT диска. Не факт, что вымогатель будет ждать, когда вы сделаете платёж, а не вызовет принудительную перезагрузку системы, чтобы причинить гарантированно больший ущерб системе и пользовательским данным. Нельзя доверять вымогателям! 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .ddspspimage, .default, .der, .dfm, .dib, .directory, .disc, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .fff, .flv, .frm, .gfx, .gif, .gzip, .h, .htm, .html, .idl, .iiq, .indd, .inf, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpegB, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lit, .localstorage, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p12, .p7b, .p7c, .pagesN, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf$, .tga, .tiff, .toast, .ts, .txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip (236 расширений). 

Это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.TXT
rad[5_chars].exe (например: radF1016.exe, radBA016.exe, radF3E9A.exe)
netdde.exe
dfrgui.exe
core.dll
elevate_x86.dll
elevate_x64.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
goldenhjnqvc211d.onion/ngWPic5x
golden2uqpiqcs6j.onion/ngUPic5x
golden5a4eqranh7.onion/Elk4oLEp
goldeny4vs3nyoht.onion/Elk4oLEp



Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ на EXE>>  Ещё >> Ещё >>
VirusTotal анализ на DLL >>
Malwr анализ >>
Malwr анализ >>
Symantec: Ransom.Goldeneye >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GoldenEye)
 Write-up + Write-up
Added later:
Write-up on BC (add. on December 7, 2016)
Write-up on Malwarebytes (add. on Dec. 15, 2016)
Video review
 Thanks: 
 Fabian A. Scherschel + CERT-Bund
 Michael Gillespie
 hasherezade
 Catalin Cimpanu
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *