понедельник, 6 февраля 2017 г.

Digisom, X-files

X-files Ransomware

Digisom Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, потом угрожает удалять один файл каждый 2 часа и требует выкуп в 0,2 биткоина, чтобы вернуть файлы. Названия от использованных элементов. Фальш-имя: Firefox. Фальш-копирайт: Firefox and Mozilla Developers / Microsoft.


© Генеалогия: HiddenTear (модифицированный) >> 
X-files (Digisom)
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляются составные расширения, которые можно записать по шаблону:

<random> и <random>.x 
[original_name.extension[3_random_chars]
[original_name.extension[3_random_chars].x
[original_filename.extension][A-Za-z0-9]{3}
[original_filename.extension][A-Za-z0-9]{3}.x

В самом первом примере, который попал в наше поле зрения использовались подрасширения b0C или b0C.x
Таким образом файлы DOC, JPG, PDF, ZIP меняли расширение на .pdfb0C 
А файлы формата DOCX меняли расширение на .docxb0C.x

Во втором примере у всех зашифрованных файлов оказалось расширением b0C.x


1-й пример с b0C-расширением

2-й пример с b0C.x-расширением

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа разбрасываются на рабочем столе в пронумерованном виде: 
Digisom Readme0.txt 
Digisom Readme1.txt 
и так до Digisom Readme9.txt
Содержание записки о выкупе: 
Your important files were encrypted on this computer: photos, videos, documents, etc. You can verify this by opening them.
To save your files, you need a private key to decrypt it.
The single copy of private key, which will allow you to unlock the files, is located on a secret server on the internet; the server will destroy the key within 48 hours after encryption completed. After that, nobody are able to restore the files.
To retrieve the private key, you need to pay 0.2 bitcoins. Check out the website on how to make payment: xxxx://www.digisom.pw 
YOUR UNIQUE ID TO FIND KEY: *****

Перевод записки на русский язык:
Ваши важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Вы можете проверить это, открыв их.
Чтобы сохранить файлы, вам нужен закрытый ключ для расшифровки.
Единственный экземпляр секретного ключа, который позволит вам разблокировать файлы, находится на секретном сервере в Интернете; сервер уничтожит ключ через 48 после завершения шифрования. После этого никто не сможет восстановить файлы.
Чтобы получить секретный ключ, вам нужно оплатить 0,2 Bitcoins. Проверьте веб-сайт о том, как произвести платеж: xxxx://www.digisom.pw 
ВАШ УНИКАЛЬНЫЙ ID НАЙДЕННЫЙ КЛЮЧ: *****

При переходе по адресу, указанному в записке о выкупе, открывается сайт с мультиязычной поддержкой. При переключении языка можно найти также и русский. См. анимированное изображение, которое я сделал из скриншотов с этого сайта. 

Дополнительной запиской с требованием выкупа выступает экран с таймером. 

Содержание текста с экрана:
One File will be deleted in:
1 : 59 : 58
Don't try to close this program, your file will delete automatically!
Check your desktop for more information. 

Перевод текста на русский язык:
Один файл будет удален через:
1 : 59 : 58
Не пытайтесь закрыть эту программу, файл удалится автоматически!
Проверьте ваш рабочий стол для информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (фальшивых PDF), кликбейта и кликджекинга, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


После первого запуска в автозагрузку добавляется скрипт для запуска файла шифровальщика

Список файловых расширений, подвергающихся шифрованию:

.doc, .docx, .jpg, .jpeg, .pdf, .zip, .xls, .xlsx 

Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.


Файлы, связанные с этим Ransomware:

Satoshimines Balance Adder.exe
Digisom.exe
Firefox.exe_0x2e0000-0x18000.exe
Firefox.exe и firefox.vbs
<random>.exe
<random>.pdf.exe
<random>.tmp
%APPDATA%\firefox\Firefox.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\firefox.vbs

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:

digisom.pw (68.65.122.94:80 - США)
***goldenwordsoftheday.com/
***airbnb.es-farina.es/cat/listing/
См. ниже результаты анализов.

Результаты анализов:

Гибридный анализ >> 
VirusTotal анализ >>  Ещё >>
Гибридный анализ на вредоносный PDF >>
VirusTotal анализ на вредоносный PDF >>

Из результатов анализов оказалось, что это повторение вредоносных кампаний 2015 и 2016 годов, когда таким же образом использовались вредоносный файл <random>.pdf.exe . Только теперь используется другой шифровальщик. 

Степень распространённости: средняя.

Подробные сведения собираются регулярно.


 Read to links: 
 Topic on BC + Topic
 ID Ransomware (ID as Digisom)
 

Added later
Video review (add. February 17, 2017)
 Thanks: 
 @xXToffeeXx
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton