понедельник, 5 декабря 2016 г.

Osiris-Locky

Osiris-Locky Ransomware

(шифровальщик-вымогатель, версия 2016 года)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2-3 BTC, чтобы вернуть файлы. Оригинальное название: Locky. По факту это новая итерация Locky. На файле может быть написано что угодно. 
This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: Locky > Osiris-Locky (версия 2016 года) > Osiris-Locky 2017

К зашифрованным файлам добавляется расширение .osiris
Зашифрованные файлы переименовываются по следующему шаблону:
фактически: [first_8_chars_of_id] - [next_4_chars_of_id] - [next_4_chars_of_id] - [8_hexadecimal_chars] - [12_hexadecimal_chars].osiris
кратко: [8_chars_ID] - [4_chars_ID] - [4_chars_ID] - [8_hex_chars] - [12_hex_chars].osiris

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
DesktopOSIRIS.htm
DesktopOSIRIS.bmp
OSIRIS-<4_chars>.htm
OSIRIS-<4_chars>.bmp

Другим информатором выступает скринлок, встающий обоями рабочего стола.
 
 
Комбинации требований о выкупе (htm и bmp)

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wiki pedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/A5ZQW54T4KN*****
4. Follow the instructions on the site.
!!! Your personal identification ID: A5ZQW54T4KN***** !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Более подробную информацию о RSA и AES можно найти здесь:
   xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
   xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Дешифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которая находится на нашем секретном сервере.
Чтобы получить свой закрытый ключ, следуйте по одной из ссылок:
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный ID: A5ZQW54T4KN***** !!!

Другим информатором выступает Tor-сайт вымогателей, для входа на который требуется ввести ID. 
Скриншот требований за "Locky Decryptor" с Tor-сайта

Содержание текста страницы на Tor-сайте:
Locky Decryptor™
We present a special software - Locky Decryptor™ -
which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™?
    You can make a payment with BitCoins, there are many methods to get them.
    You should register BitCoin wallet:
    Simplest online wallet or Some other methods of creating wallet
    Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
    Here are our recommendations:
    localbitcoins.com (WU) Buy Bitcoins with Western Union.
    coincafe.com Recommended for fast, simple service.
    Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
    localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
    cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
    btcdirect.eu The best for Europe.
    bitquick.co Buy Bitcoins instantly for cash.
    howtobuybitcoins.info An international directory of bitcoin exchanges.
    cashintocoins.com Bitcoin for cash.
    coinjar.com CoinJar allows direct bitcoin purchases on their site.
    anxpro.com
    bittylicious.com
    Send 3.00 BTC to Bitcoin address:
    131xQfmfRhyNQdEYamPUC313FmPYroeRKL
    Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
    Date Amount BTC Transaction ID Confirmations
    not found
    Refresh the page and download decryptor.
    When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.

Примечательно, что требования о выкупе мультиязычны (30 языков), но отсутствуют языки союзных республик бывшего СССР. 

Список языков:
Български
Català
Čeština
Dansk
Deutsch
Ελληνικά
English
Español
Suomi
Français
हिन्दी
Hrvatski
Magyar
Italiano
日本語
한국어
Bahasa Melayu (بهاس ملايو)
Nederlands
Norsk bokmål
Polski
Português
Slovenčina
Српски
Svenska
Türkçe
中文
עברית
العَرَبِية
ไทย
Tiếng Việt

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (js и dll), обманных загрузок, эксплойтов (RigEK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Вложенный файл может иметь нетрадиционные расширения, например, вместо .dll или .js это может быть расширение .spe

После успешной загрузки вредоносный файл, например eftrPKltKvb.spe, активируется через rundll32.exe с помощью команды:
"C:\Windows\System32\rundll32.exe"
C:\Users\User.Name\AppData\Local\Temp\eftrPK~1.spe,0hGQpkMN34kl22tyKmdeTr
Rundll32.exe, запускающий установку Locky

После запуска Osiris-Locky начинает шифровать файлы, а затем отображает требования о выкупе с использованием браузера по умолчанию или Firefox.

В коде текущей версии есть небольшая ошибка, которая неправильно называет записки о выкупе (htm и bmp).

Теневые копии файлов удаляются, но иногда этот процесс работает некорректно, потому теневые копии могут оказаться целы.  
Защита от запуска на виртуальных машинах работает с ошибками. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DesktopOSIRIS.htm
DesktopOSIRIS.bmp
OSIRIS-<4_chars>.htm
OSIRIS-<4_chars>.bmp
<random>.exe
<random>.tmp
Invoice_Inv[random_numbers].xls 
Item-Delivery-Details-00659753.doc.wsf
Item-Delivery-Details-00659753.doc.wsf.bin

Расположения:
\DesktopOSIRIS.bmp или OSIRIS.bmp
\DesktopOSIRIS.htm или OSIRIS.htm
C:\Users\User\AppData\Local\Temp\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
babypbshop.ru/***
partnerbrasilia.com.br/***
www.6c.com.co/counter/***
otpugivatel.by/counter/***
med-lex.com/***
offie.nl/***
и другие
***g46mbrrzpfszonuk.onion
BTC: 131xQfmfRhyNQdEYamPUC313FmPYroeRKLСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >> Ещё >> Ещё >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Locky)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, R0bert R0senb0rg‏ 
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *