пятница, 2 декабря 2016 г.

Matrix

Matrix Ransomware

Malta Ransomware

bluetablet9643 decodedecode restoreassistan12 pyongyangooi relock001 datsun987  

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью стандартной комбинации AES + RSA при использовании ПО для шифрования с открытым исходным кодом GNU Privacy Guard (GnuPG), а затем требует отправить на email вымогателей код ID, чтобы получить инструкции по уплате выкупа, чтобы вернуть файлы. Название получил от используемого логина email и добавляемого расширения. Оригинальное название: Malta (malta.exe). 

© Генеалогия: Matrix. Начало. 

К зашифрованным файлам добавляется расширение .matrix или .MATRIX

Оригинальное имя файла изменяется, таким образом зашифрованный файл будет выглядеть как [random_name].id-[ ID_Encryption_Key].MATRIX
Например, 3T7irdExQcX.id-D31FE624BF22D8AF.MATRIX

Активность этого крипто-вымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру. Причем русский текст в послании вымогателей стоит первым. 

Записки с требованием выкупа называются: MATRIX-README.RTF
Но к этому названию спереди добавляются ещё 5 цифр по шаблону: 
[5 numbers]-MATRIX-README.RTF

Содержание записки о выкупе:
Текст на русском (первая часть записки):
Внимание! Все Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
ID-E4ACADFF7C070445
на электронный адрес: matrix9643@yahoo.com
Далее в ответном письме вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 24 часов (и только в этом случае!), воспользуйтесь резервной почтой:
redtablet9643@yahoo.com

Текст на английском (вторая часть записки):
Attention! All your files was encrypted.
To decrypt the files, You have to should send the following code:
ID-E4ACADFF7C070445
to e-mail address: matrix9643@yahoo.com
Then You will recieve all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more thon 24 heurs (and only in this case!), use the reserve e-mail address:
redtablet9643@yahoo.com

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов (RIG EK и EITest), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Во время работы шифровальщик создаёт поддельные системные процессы. 
После шифрования удаляются теневые копии файлов. 

⛳ Итак, подытожим:
Matrix Ransomware устанавливается на компьютеры, работающие под управлением ОС Windows, с помощью наборов эксплойтов на сайтах, демонстрирующих вредоносную и обычную рекламу, которые нацелены на уязвимости в Internet Explorer (CVE-2016-0189) и Flash (CVE-2015-8651). Обе эти уязвимости нацелены на посетителей этих сайтов, использующих уже неподдерживаемые и устаревшие версии Internet Explorer и Flash Player. Чтобы заразиться, пользователю достаточно просто открыть такой сайт в своем браузере и эксплойт сработает в любом случае, доставив на уязвимый компьютер крипто-вымогатель. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
malta.exe
<random>.exe
<random>.cmd
[5 numbers]-MATRIX-README.RTF
svchost.exe - переименованная утилита GnuPG (v.1.4.20), которой шифруются файлы
ZHjl3j.vbs - скрипт на удаление теневых копий файлов
Много дроппированных файлов: cmd, mth, vbs, tmp и пр.

Расположения:
C:\Users\%USERNAME%\AppData\Local\Temp\<random>.exe
%User_name%\AppData\Roaming\Microsoft\ZHjl3j.vbs
%APPDATA%\Vc27GDr3Cbpv\<random>.cmd
%TEMP%\<random>.exe

Записи реестра, связанные с этим Ransomware:
HKEY_USERS\S-1-5-21-3521364462-1692195860-978169631-1001\Software\Microsoft\Windows\CurrentVersion\Run\ZHjl3j.vbs
См. также ниже результаты анализов. 

Сетевые подключения и связи:
matrix9643@yahoo.com
redtablet9643@yahoo.com
thematrixhasyou9643@yahoo.com
noliberty9643@yahoo.com
См. также ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Дополнение от MalwareHunterTeam.
Более ранний текст вымогателей на русском языке:
........................................................................................................

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 24 февраля 2017:
Пост в Твиттере >>
Файл: AAM Updates Notifier.exe
Фальш-имя: AAM Updates Notifier
Записка: Readme-Matrix.rtf
Email: bluetablet9643@yahoo.com и bluetablet9643@yandex.ru
Расширение: [A-F0-9]{16}.matrix
Результаты анализов: VT
<< Скриншот

Обновление от 2 апреля 2017:
Пост в Твиттере >>
Записка: WhatHappenedWithMyFiles.rtf
Email: bluetablet9643@yahoo.com и decodedecode@yandex.ru
Видеоролик от 14 марта 2017 >>
<< Скриншот





Обновление от 4 апреля 2017: 


Записка: Bl0cked-ReadMe.rtf
Расширение: .b10cked
Email: bluetablet9643@yahoo.com
decodedecode@yandex.ru
URL: ***statcs.s76.r53.com.ua (148.251.13.83, Германия)
Результаты анализов: HA+VT



Обновление от 7 апреля 2017: 


Пост в Твиттере >> 
Email: bluetablet9643@yahoo.com 
decodedecode@tutanota.com
*
*
*




Обновление от 10 июля 2017:
Записка: !WhatHappenedWithMyFiles!.rtf
Email: decodedecode@tutanota.com
restoreassistant@yandex.com
Результаты анализов: HA+VT
<< Скриншот записки и экрана с файлами записок


Обновление от 14 августа 2017:
Пост в Твиттере >>
Записка: !What-wrong-with-files!.rtf
Email: restoreassistant@yandex.com
restoreassistan12@tutanota.com
Результаты анализов: VT
<< Скриншот записки 






Обновление от 26-27 октября 2017:
Пост в Твиттере >>
Отдельная статья на английском >>
Расширение: .pyongyan001@yahoo.com
Записка: #_#WhatWrongWithMyFiles#_#.rtf
Email: pyongyangooi@yahoo.com и bl4ckdr4gon@tutanota.com
Результаты анализов: VT
Шифрование: RSA-2048




Обновление от 2-3 ноября 2017:
Пост в Твитттере >>
Записка: !OoopsYourFilesLocked!.rtf
Расширение: _[RELOCK001@TUTA.IO]
Email: relock001@tuta.io и relock001@yahoo.com
Файлы: get.phpyCZPw.exe, huG9mMCD.exe, w5JaoO.doc, B2OE.pdf, Kin7.jpg, caic.rar
Скриншоты с текстом и файлами.
Результаты анализов: HA+VT


Обновление от 22 ноября 2017:
Email: datsun987@tutanota.com и datsun987@yahoo.com
Записка: #What-Happened-With-Files#.rtf
Скриншот с текстом.
Тема на форуме >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + ещё
 ID Ransomware (ID as Matrix)
 Write-up
 *
 Thanks: 
 Rommel Joven
 Michael Gillespie, MalwareHunterTeam
 al1963, GrujaRS, R0bert R0senb0rg
 Lawrence Abrams ...and others
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton