пятница, 13 января 2017 г.

NMoreia 2.0

NMoreia 2.0 Ransomware

HakunaMatata Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует связаться с вымогателями посредством системы Bitmessage, чтобы вернуть файлы. Первоначально получил название HakunaMatata от добавляемого расширения, но потом оказалось, что это новая версия NMoreia. Одно другому не мешает. 

© Генеалогия: NMoreia > NMoreia 2.0 > R > NM4

К зашифрованным файлам добавляется расширение .HakunaMatata


Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Recovers files yako.html

Содержание записки о выкупе:
Encrypted files!
All your files are encrypted.Using AES256-bit encryption and RSA-2048-bit encryption.
Making it impossible to recover files without the correct private key.
If you are interested in getting is the key and recover your files
You should proceed with the following steps.
-
To get in touch you should use the Bitmessage system,
You can download the Bitmessage software at https://bitmessage.org/
After installation you should send a message to the address
Bitmsg: BM-2cWcp***

If you prefer you can send your Bitmenssages from a web browser
Through the webpage https://bitmsg.me this is certainly the most practical method!
Below is a tutorial on how to send bitmessage via web browser: https://bitmsg.me/

1 B° Open in your browser the link
https://bitmsg.me/users/sign_up
Make the registration by entering name email and password.
2 B° You must confirm the registration, return to your email and follow the instructions that were sent.
3 B° Return to site sign in
https://bitmsg.me/users/sign_in
4 B° Click the Create Random address button.
5 B° Click the New massage button
6 B° Sending message

To: Enter address: BM-2cWcp***
Subject: Enter your key: afe299***
Menssage: Describe what you think necessary
Click the Send message button.
Your message will be received and answered as soon as possible!.
Send message to: BM-2cWcp***
 Your Key: afe299***

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы. Использованы AES256-бит шифрование и RSA-2048-бит шифрование.
Это делает невозможным восстановление файлов без правильного секретного ключа.
Если вы заинтересованы в получении ключа и восстановлении файлов
Вы должны сделать следующие шаги.
-
Для контакта вы должны использовать систему Bitmessage,
Вы можете загрузить программу Bitmessage на xxxxs://bitmessage.org/
После установки вы должны отправить сообщение по адресу
Bitmsg: BM-2cWcp ***

При желании вы можете отправить битмессагу из веб-браузера
Через веб-страницу xxxxs://bitmsg.me это самый практичный метод!
Ниже есть учебник о том, как отправить битмессагу через веб-браузер: xxxxs://bitmsg.me/

1) Открыть в браузере по ссылке
xxxxs://bitmsg.me/users/sign_up
Сделать регистрацию, введя email и пароль.
2) Вы должны подтвердить регистрацию, вернуться к вашему email и следовать пришедшим инструкциям.
3) Вернуться к регистрации сайта в
xxxxs://bitmsg.me/users/sign_in
4) Нажать кнопку "Create Random address".
5) Нажать кнопку "New massage"
6) Отправить сообщениt

Кому: Ввести адрес: BM-2cWcp***
Тема: Ввести ключ: afe299***
Menssage: Написать, что вы считаете нужным
Нажать кнопку Send message.
Ваше сообщение будет получено и ответ будет как можно скорее!
Отправить сообщение для: BM-2cWcp ***
Ваш ключ: afe299 ***

Текст-обращение в коде:
"Hi debugger dude, asm is very cool to understand is not it? I used to crack lots of softwares with Ollydbg but lately I don't have time to do it. Good disassembling man or woman lol. Fwosar you are the man, I am inspired by dudes who understand what they do. Your bruteforcing tool was amazing, I am really impressed :). I was so stupid to use SHA1, the limited set of characters for the AES password and not setting up the IV correctly... Lesson to be learned: This polite idiot here really needs to stop using the predicable and insecure srand, RTLGenRandom all the way stupid me. This still idiot person hope you can break this too, I'm not being sarcastic, you're really inspiring. Hugs, NMoreira Core Dev. Btw, can anyone in this world guess what NMoreira really means?" (Indicator: "ollydbg")

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Проверяет наличие известных отладчиков и инструментов анализа. 
Создаёт множество процессов, чтобы скрыть свою деятельность. 
Удаляет теневые копии файлов с помощью команд:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Delete Shadows /All /Quiet

Завершает работу и отключает запуск на старте системы следующих служб: 
Firebird, MSSQL, SQL, Exchange, wsbex, postgresql, BACKP, tomcat, SharePoint, SBS...

Отключает запуск:
MSExchangeAB, MSExchangeAntispamUpdate, MSExchangeEdgeSync, MSExchangeFDS, MSExchangeFBA, MSExchangeImap4, MSExchangeIS, MSExchangeMailSubmission, MSExchangeMailboxAssistants, MSExchangeMailboxReplication, MSExchangeMonitoring, MSExchangePop3, MSExchangeProtectedServiceHost, MSExchangeRepl, MSExchangeRPC, MSExchangeSearch, wsbexchange, MSExchangeServiceHost, MSExchangeSA, MSExchangeThrottling, MSExchangeTransport, MSExchangeTransportLogSearc, MSExchangeADTopology...

Список файловых расширений, подвергающихся шифрованию:
Это точно расширения .bmp, .cab, .doc, .jpg, .mp3, .pdf, .png, .xml ...
Скорее всего, целями являются документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Recovers files yako.html
<random>.exe
<random>.tmp
crypter_191_.exe
net1.exe
wevtutil.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://gcc.gnu.org/bugs.html
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NMoreia 2.0)
 Write-up (n/a)
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Jakub Kroustek
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *