понедельник, 5 декабря 2016 г.

Sage

Sage Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на Tor-сайт, чтобы уплатить выкуп в биткоинах и получить инструкции, как вернуть файлы. Сумма выкупа: нефиксированные ~0,74 BTC с долями или $545. По истечении 148 часов сумма выкупа удвоится. 

Название вымогателя упомянуто в записке о выкупе, используется в добавляемом расширении и на сайте оплаты. Внутреннее имя исполняемого файла: Qavluqk (так было записано какое-то корейское слово). 

© Генеалогия: Cry (CryLocker) > Sage

К зашифрованным файлам добавляется расширение .sage

Активность этого криптовымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
!Recovery_<6_chars>.txt, например: !Recovery_AVuKmu.txt
!Recovery_<6_chars>.html, например: !Recovery_AVuKmu.html

Они разбрасываются на каждом диске, в документах и на рабочем столе. 
Содержание текстовой записки о выкупе:
=== WARNING!
YOUR DOCUMENTS, DATABASES, PROJECT FILES, AUDIO AND VIDEO CONTENT AND OTHER CRITICAL FILES HAVE BEEN ENCRYPTED WITH A PERSISTENT MILITARY-GRADE CRYPTO ALGORITHM
...How did this happen?
Specially for your PC was generated personal 4096 bit RSA key, both public and private.
All your files have been encrypted with the public key.
Decrypting of your files is only possible with the help of the private key and de-crypt program.
...What do I do?
Don't wait for a miracle and the price doubled!
Start obtaining Bitcoin now and restore your data easy way!
=== If you HAVE REALLY VALUABLE DATA, you better NOT WASTE YOUR TIME, because there is NO OTHER WAY to get your files, EXCEPT MAKE A PAYMENT 
...Your personal ID: *****
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 - http://qbxeaekvg7o3lxnn.onion.to
2 - http://qbxeaekvg7o3lxnn.onion.cab
3 - http://qbxeaekvg7o3lxnn.onion.city
...What should you do with these addresses?
1.  Take a look at the first address (in this case it is http://qbxeaekvg7o3lxnn.onion.to);
2.  Select it with the mouse cursor holding the left mouse button and moving the cursor to the right;
3.  Release the left mouse button and press the right one;
4.  Select "Copy" in the appeared menu;
5.  Run your Internet browser (if you do not know what it is run the Internet Explorer);
6.  Move the mouse cursor to the address bar of the browser (this is the place where the site address is written);
7.  Click the right mouse button in the field where the site address is written;
8.  Select the button "Insert" in the appeared menu;
9.  Then you will see the address http://qbxeaekvg7o3lxnn.onion.to appeared there;
10. Press ENTER;
11. The site should be loaded; if it is not loaded repeat the same instructions with the second address and continue until the last address if falling.
...
If for some reason the site cannot be opened check the connection to the Internet.
Unfortunately these sites are short-term since the antivirus companies are interested in you do not have a chance to restore your files but continue to buy their products.
Unlike them we are ready to help you always.
If you need our help but the temporary sites are not available:
1.  Run your Internet browser (if you do not know what it is run the Internet Explorer);
2.  Enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3.  Wait for the site loading;
4.  On the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5.  Run Tor Browser;
6.  Connect with the button "Connect" (if you use the English version);
7.  A normal Internet browser window will be opened after the initialization;
8.  type or copy the address http://qbxeaekvg7o3lxnn.onion in this browser address bar;
9.  Press ENTER;
10. The site should be loaded; if for some reason the site is not loading wait for a moment and try again
===
!!! IMPORTANT !!!
Be sure to copy your personal ID and the instruction link to your notepad not to lose them. 

Перевод на русский язык:
=== ВНИМАНИЕ!
Ваши документы, базы, файлы проектов, аудио- и видео-контент, и другие критически важные файлы были зашифрованы с помощью криптостойкого военного класса алгоритма
...Как это произошло?
Специально для вашего ПК был создан личный 4096-битный RSA ключ, как открытый, так и закрытый.
Все ваши файлы были зашифрованы с помощью открытого ключа.
Дешифрование файлов возможно только с помощью закрытого ключа и декриптора.
...Что мне делать?
Не ждать чуда, а то цена удвоится!
Сначала получите Bitcoin и восстановить данные станет просто!
=== Если ваши данные реально ценны, то лучше не тратьте свое время, т.к. нет никакого другого способа получить ваши файлы, кроме внести платеж
... Ваш персональный ID: *****
Для подробных инструкций, пожалуйста, посетите вашу личную страницу, есть несколько разных адресов, указывающих на вашу страницу ниже:
1 - хттп://qbxeaekvg7o3lxnn.onion.to
2 - хттп://qbxeaekvg7o3lxnn.onion.cab
3 - хттп://qbxeaekvg7o3lxnn.onion.city
... Что вы должны делать с этими адресами?
1. Посмотрите на первый адрес (в данном случае это хттп://qbxeaekvg7o3lxnn.onion.to);
2. Выделите ее курсором мыши, удерживая левую кнопку мыши и перемещая курсор вправо;
3. Отпустите левую кнопку мыши и нажмите одну правую;
4. Выберите "Копировать" в появившемся меню;
5. Запустите интернет-браузер (если вы не знаете, что он запускается в Internet Explorer);
6. Переместите курсор мыши в адресную строку браузера (это место, где пишется адрес сайта);
7. Щелкните правой кнопкой мыши в поле, где написан адрес сайта;
8. Нажмите кнопку "Вставить" в появившемся меню;
9. После этого вы увидите адрес хттп://qbxeaekvg7o3lxnn.onion.to что появится там;
10. Нажмите кнопку ENTER;
11. Сайт должен быть загружен; если он не загружен повторите те же самые инструкции со вторым адресом и продолжайте до последнего адреса, если попытки неудачны.
...
Если по каким-либо причинам сайт не может быть открыт, проверьте подключение к Интернету.
К сожалению, эти сайты краткосрочные, т.к. антивирусные компании заинтересованы в том, вы не получили шанс восстановить ваши файлы, но продолжали покупать их продукцию.
В отличие от них мы готовы помочь вам всегда.
Если вам нужна наша помощь, но временные сайты не доступны:
1. Запустите интернет-браузер (если вы не знаете, что он запускается в Internet Explorer);
2. Введите или скопируйте адрес хттпs://www.torproject.org/download/download-easy.html.en в адресной строке вашего браузера и нажмите ENTER;
3. Дождитесь загрузки сайта;
4. На сайте вам будет предложено загрузить Tor Browser; скачать и запустить его, следуйте инструкциям по установке, подождите, пока установка не будет завершена;
5. Запустите Tor Browser;
6. Соедините с помощью кнопки "Connect" (если вы используете английскую версию);
7. Обычно окно интернет-браузера будет открыто после инициализации;
8. Введите или скопируйте адрес хттп://qbxeaekvg7o3lxnn.onion в этом адресной строке браузера;
9. Нажмите кнопку ENTER;
10. Сайт должен быть загружен; если по каким-то причинам сайт не загружается, подождите минуту и ​​повторите попытку
===
!!! ВАЖНО !!!
Обязательно скопируйте свой личный ID и ссылку инструкции в ваш блокнот, чтобы не потерять их.

Информатором жертвы также выступает изображение <6 chars>.bmp, встающее обоями рабочего стола (красный текст на чёрном фоне). 
Содержание текста с экрана:
ATTENTION!
Sage encrypted all your files!
All your files, images, videos, and databases were encrypted and made inaccessible by software known as Sage.
You have no chance to restore the files without our help.
But if you follow our instructions files can be restored easily.
Instructions on how to get your files back are stored on every disk, in your documents and on your desktop.
Look for files !Recovery_2g0zr9.txt and !Recovery_2g0zr9.html
If you can't find this files, use the program "Tor Browser“(you can find it in Google) to access the (onion)web site http://qbxeaekvg7o3lxnn.onion to get your instructions.

Перевод записки на русский язык:
ВНИМАНИЕ!
Sage зашифровал все файлы!
Все ваши файлы, изображения, видео и базы данных зашифрованы и сделаны недоступными программой, известной как Sage.
У вас нет шансов восстановить файлы без нашей помощи.
Но если вы будете следовать нашим инструкциям, файлы можно легко восстановить.
Инструкции о том, как получить файлы обратно, хранятся на каждом диске в ваших документах и на рабочем столе.
Ищите файлы !Recovery_2g0zr9.txt и !Recovery_2g0zr9.html
Если вы не можете найти эти файлы, используйте программу "Tor Browser" (вы можете найти его в Google), чтобы получить доступ к (onion)веб-сайту http://qbxeaekvg7o3lxnn.onion, чтобы получить ваши инструкции.

На onion-сайте вымогателей информация предоставляется только после ввода ID. Далее открывается информация об условиях выкупа, оплате, тест-дешифровке, инструкции на декриптор, поддержке. 
Коллаж из страниц сайта оплаты. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Прописывается в автозагрузку Windows. 
Создаёт задание для планировщика Windows
Удаляет образцы изображений и музыки из Sample Pictures и Sample Music. 
После шифрования удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<6_chars>.bmp
<random>.exe
<random>.tmp и <random_8_chars>.tmp
C:\Temp\lol.txt
%TEMP%\0.tmp
%TEMP%\1.tmp
<random>.lnk и <random_8_chars>.lnk
<random>.html
%USERPROFILE%\Application Data\<random>.exe
%USERPROFILE%\Application Data\<random>.tmp
%USERPROFILE%\Start Menu\Programs\Startup\<random>.lnk
Sage_Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения и связи:
translate.google.com
maps.googleapis.com
qbxeaekvg7o3lxnn.onion
torproject.org/download/download-easy.html.en
qbxeaekvg7o3lxnn.onion.to
qbxeaekvg7o3lxnn.onion.cab
qbxeaekvg7o3lxnn.onion.city
+ много адресов: 7698 соединений на порт 13655 (Южная Корея, Сингапур, США, Иордания, Ливан, Германия, Испания, Чехия, Норвегия, Россия, Великобритания, Эстония)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Malwares анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 14 декабря 2016:
Файл: <random>_rad86EF3.tmp.kaf
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryLocker)
 Write-up
 *
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *