пятница, 27 января 2017 г.

CryptConsole

CryptConsole 1.0 Ransomware

(фейк-шифровальщик)

Этот вымогатель якобы шифрует файлы пользователей, а затем требует выкуп в 0,25 биткоина за фейк-дешифровку. Название оригинальное.

© Генеалогия: CryptComsole 1.0 > CryptComsole 2.0


Мне не было известно о версиях этого вымогателя, потому я условно разделил их на 1-ю и 2-ю версии. 

К якобы зашифрованным файлам прибавляется некое недорасширение по шаблону: 
unCrypte@outlook.com_<random_numbers_and_upper_letters>
decipher_ne@outlook.com_<random_numbers_and_upper_letters>
unCrypte@india.com_<random_numbers_and_upper_letters>
decipher_ne@india.com_<random_numbers_and_upper_letters>

Пример якобы зашифрованного файла:
unCrypte@outlook.com_91CFABE91D02B572FFD6EBFABCFC123D86DBCEAB5B33902D229477A5020C40A188EE08194D0301838C914FD6CF94DD48


Так выглядят якобы зашифрованные файлы

Как оказалось впоследствии, этот вымогатель не шифрует сами файлы, а только переименовывает их названия. 

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: How decrypt files.hta
Они заимствованы у Globe Ransomware, под которого, видимо, косят. 
 

Содержание записки о выкупе:
Your files are encrypted!
Your personal ID 764F6A6664514B414373673170615339554A534A5832546A55487169644B4A35
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
How to get the automatic decryptor:
1) Pay 0,25 BTC
Buy BTC on one of these sites:
xxxs://localbitcoins.com
xxxs://www.coinbase.com
xxxs://xchange.cc
bitcoin adress for pay:
1KG8r***
Send 0,25 BTC
2) Send screenshot of payment to unCrypte@outlook.com. In the letter include your personal ID (look at the beginning of this document).
3) You will receive automatic decryptor and all files will be restored
* To be sure in getting the decryption, you can send one file (less than 10MB) to unCrypte@outlook.com In the letter include your personal ID (look at the beginning of this document). But this action will increase the cost of the automatic decryptor on 0,25 btc...
Attention!

• No Payment = No decryption
• You really get the decryptor after payment
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш персональный ID 764F6A6664514B414373673170615339554A534A5832546A55487169644B4A35
Обнаружена серьезная уязвимость в безопасности вашей сети.
Никакие данные не были украдены и никто не сможет сделать это пока они зашифрованы.
Для вас у нас есть автоматический дешифровщик и инструкции по восстановлению.
Как получить автоматический дешифратор:
1) Оплатить 0,25 BTC
Купить BTC на одном из этих сайтов:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxxs://xchange.cc
Bitcoin-адрес для оплаты:
1KG8r***
Отправить 0,25 BTC 
2) Отправить скриншот оплаты на unCrypte@outlook.com. В письме указать свой ID (смотри в начале этого документа).
3) Вы получите автоматический дешифровщик и все файлы будут восстановлены
* Для уверенности в получении дешифровки вы можете отправить один файл (меньше 10 МБ) на unCrypte@outlook.com. В письме указать свой ID (смотри в начале этого документа). Но это действие увеличит стоимость автоматического дешифратора на 0,25... BTC
Внимание!
• Нет оплаты = Нет дешифрования
• Вы действительно получите декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирус
• Попытка самому дешифровать файлы приведет к потере ваших данных
• Декодеры других пользователей несовместимы с вашими данными, т.к. ключ шифрования уникален для каждого пользователя

В конце января - начале февраля появились версии с текстовыми записками. См. внизу обновления. 

Атакует серверы, имеющие поддержку RDP и уязвимости в защите или вообще не имеющие защиты. Устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP. Возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, PsExec и пр. 

Почему это возможно? 
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер, с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.

Также может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся фейк-шифрованию:
.doc, .docx, .jpg, .jpeg, .pdf, .xls, .xlsx, .rtf, .txt

Это вероятно документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Пропускаются папки и файлы в этих папках:
Windows
$Recycle.Bin
Config.Msi
MSOCache
System Volume Information
Recovery

Пропускаются файлы:
svchost.exe
Readme.txt
Readme.hta
bootmgr
BOOTNXT
pagefile.sys
swapfile.sys
hiberfil.sys
loadmgr

Файлы, связанные с этим Ransomware:
How decrypt files.hta - записка
<random>.exe - файл шифровальщика
svchost.exe - файл шифровальщика
sv.exe - файл шифровальщика (другая версия)
Decrypt.exe - декриптер от вымогателей

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
unCrypte@outlook.com
decipher_ne@outlook.com
unCrypte@india.com и unCrypte@INDIA.COM
decipher_ne@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 31 января:
Записка: !!!_ЧИТАТЬ_ПЕРЕД_ЗАПУСКОМ_!!!.txt

Обновление от 4 февраля:
Примеры зашифрованных файлов:
models.xml -> decipher_ne@india.com_DC96D49B8F9F07DBC5321305D9C5403D
negativ.xml -> decipher_ne@india.com_CC228B27D9523040E45991C5C5EEFC09
Записка: Readme.txt
Содержание записки:
YOUR PERSONAL ID: 352E3232362E39392E3130363A333338394047525550415745434F4E5C7263703B726370
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decipher_ne@india.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 10Mb. 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Обновление от 8-9 февраля 2017:
Файл: smsss.exe
Email: unCrypte@INDIA.COM
Записка: Readme.txt
Результаты анализов: VT

Обновление от 20 февраля 2017:
Версия: 2.0
Файл: smsss.exe
Email: something_ne@india.com
Записка: HOW DECRIPT FILES.hta
Подробнее см. в статье CryptConsole 2.0 >>

Обновление от 18 марта 2017:
Файл: smsss.exe
Email: trulolo@india.com
Результаты анализов: VT

Внимание!
Для зашифрованных файлов есть декриптор!
Скачать декриптор и дешифровать файлы >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CryptConsole)
 Topic on BC
Added later:
Write-up (add. January 3, 2017)
 Thanks: 
 xXToffeeXx
 Michael Gillespie
 Thyrex
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *