Если вы не видите здесь изображений, то используйте VPN.

четверг, 16 марта 2017 г.

Kirk+Spock

Kirk Ransomware & Spock Decryptor

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в криптовалюте Monero в размере ~1,100, чтобы вернуть файлы. Оригинальное название. Разработчик: Trekkie. Написан на Python. По всей видимости это первый крипто-вымогатель, требующий оплату в криптовалюте Monero. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kirked 

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: RANSOM_NOTE.txt


Содержание записки о выкупе:
KIRK RANSOMWARE
Oh no! The Kirk ransomware has encrypted your files!
! IMPORTANT ! READ CAREFULLY:
Your computer has fallen victim to the Kirk malware and important files have been encrypted - locked up so they don't work. This may have broken some software, including games, office suites etc.
Here's a list of some the file extensions that were targetted:
***
There are an additional 441 file extensions that are targetted. They are mostly to do with games.
To get your files back, you need to pay. Now. Payments recieved more than 48 hours after the time of infection will be charged double. Further time penalties are listed below. The time of infection has been logged.
Any files with the extensions listed above will now have the extra extension '.kirked', these files are encrypted using military grade encryption.
In the place you ran this program from, you should find a note (named RANSOM_NOTE.txt) similar to this one.
You will also find a file named 'pwd' - this is your encrypted password file. Although it was generated by your computer, you have no way of ever decrypting it. This is due to the security of both the way it was generated and the way it was encrypted. Your files were encrypted using this password.
SPOCK TO THE RESCUE!
"Logic, motherfucker." ~ Spock.
Decrypting your files is easy. Take a deep breath and follow the steps below.
 1) Make the proper payment.
     Payments are made in Monero. This is a crypto-currency, like bitcoin.
     You can buy Monero, and send it, from the same places you can any other
     crypto-currency. If you're still unsure, google 'bitcoin exchange'.
     Sign up at one of these exchange sites and send the payment to the address below.
     Make note of the payment / transaction ID, or make one up if you have the option.
    Payment Address (Monero Wallet):
 4AqSwfTexbNaHcn8giSJw3KPiWYHGBaCF9bdgPxvHbd5A8Q3Fc7n6FQCReEns8uEg8jUo4BeB79rwf4XSfQPVL1SKdVp2jz
      Prices:
        Days   :  Monero  : Offer Expires
        0-2    :  50      : 03/18/17 15:32:14
        3-7    :  100     : 03/23/17 15:32:14
        8-14   :  200     : 03/30/17 15:32:14
        15-30  :  500     : 04/15/17 15:32:14
    Note: In 31 days your password decryption key gets permanently deleted.
          You then have no way to ever retrieve your files. So pay now.
 2) Email us.
     Send your pwd file as an email attachment to one of the email addresses below.
     Include the payment ID from step 1.
     Active email addresses:
        kirk.help@scryptmail.com
        kirk.payments@scryptmail.com
 3) Decrypt your files.
     You will recieve your decrypted password file and a program called 'Spock'.
     Download these both to the same place and run Spock.
     Spock reads in your decrypted password file and uses it to decrypt all of the
     affected files on your computer.
     > IMPORTANT !
       The password is unique to this infection.
       Using an old password or one from another machine will result in corrupted files.
       Corrupted files cannot be retrieved.
       Don't fuck around.
 4) Breathe.
LIVE LONG AND PROSPER

Перевод записки на русский язык:
KIRK RANSOMWARE
О нет! Kirk ransomware зашифровал ваши файлы!
! ВАЖНО ! ВНИМАТЕЛЬНО ЧИТАЙТЕ:
Ваш компьютер стал жертвой вредоносного ПО Kirk, а важные файлы были зашифрованы - заблокированы
Так что они не работают. Это может привести к поломке некоторых программ, в том числе игр, офисных наборов и т.д.
Вот список некоторых расширений файлов, которые были целями:
***
Есть ещё 441 расширение файлов, тоже целевые. Они в основном связаны с играми.
Чтобы вернуть файлы, вам нужно заплатить. Сейчас. Платежи, полученные через 48 часов после инфекции удвоятся. Дальнейшие штрафы указаны ниже. Время заражения записано.
Любые файлы с перечисленными выше расширениями теперь будут иметь дополнительное расширение '.kirked', эти файлы зашифрованы с помощью шифрования военного образца.
В том месте, где вы запускали эту программу, вы должны найти заметку (с именем RANSOM_NOTE.txt), похожую на эту.
Вы также найдете файл с именем 'pwd' - это ваш зашифрованный файл с паролями. Хотя он был сгенерирован вашим компьютером, у вас нет способа его дешифровать. Это связано с безопасностью, как способом его создания, так и способом его шифрования. С помощью этого пароля ваши файлы были зашифрованы.
СПОК НА ПОМОЩЬ!
«Логично, ублюдок». ~ Спок.
Дешифровать ваши файлы очень просто. Сделайте глубокий вдох и следуйте инструкциям ниже.
 1) Сделайте правильный платеж.
     Выплаты производятся в Monero. Это криптовалюта, как биткойн.
     Вы можете купить Monero, и отправить его, из тех же мест, где вы можете любой другой
     Криптовалюта. Если вы все еще не уверены, выполните команду Google bitcoin exchange.
     Зарегистрируйтесь на одном из этих сайтов обмена и отправьте платеж по указанному ниже адресу.
     Запишите идентификатор платежа / транзакции или создайте его, если у вас есть такая возможность.
    Адрес для оплаты (Monero Wallet):
 4AqSwfTexbNaHcn8giSJw3KPiWYHGBaCF9bdgPxvHbd5A8Q3Fc7n6FQCReEns8uEg8jUo4BeB79rwf4XSfQPVL1SKdVp2jz
      Цены:
        Дни: Monero: Предложение истекает
        0-2: 50: 03/18/17 15:32:14
        3-7: 100: 03/23/17 15:32:14
        8-14: 200: 03/30/17 15:32:14
        15-30: 500: 04/15/17 15:32:14
    Примечание. Через 31 день ваш ключ дешифрования пароля будет удален окончательно.
    Тогда у вас не будет способа получить ваши файлы. Так что платите сейчас.
 2) Напишите нам.
     Отправьте свой файл pwd в качестве вложения на один из указанных ниже адресов email.
     Укажите идентификатор платежа на шаге 1.
     Активные электронные адреса:
        Kirk.help@scryptmail.com
        Kirk.payments@scryptmail.com
 3) Расшифруйте ваши файлы.
     Вы получите дешифрованный файл с паролем и программу под названием «Спок».
     Загрузите эти файлы в одно и то же место и запустите Спока.
     Спок считает в дешифрованном файле пароль и использует его для дешифровки всех
     поврежденных файлов на вашем компьютере.
     > ВАЖНО!
       Пароль уникален для этой инфекции.
       Использование старого или другого пароля приведет к повреждению файлов.
       Поврежденные файлы не могут быть восстановлены.
       Не напрягайся.
 4) Дыши.
ЖИВИ ДОЛГО И ПРОЦВЕТАЙ

Вредонос генерирует ключ AES, который будет использоваться для шифрования файлов жертвы. Затем этот ключ шифруется с помощью встроенного открытого ключа шифрования RSA-4096 и сохраняется в файле под названием PWD в одном каталоге с исполняемым файлом вымогателя. 


Технические детали

При распространении выдаёт себя за инструмент стресс-тестирования сети Low Orbital Ion Cannon, но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.01, .11, .12, .123, .13, .14, .15, .18, .20, .21, .24, .25, .256, .2da, .32, .3do, .3g2, .3gp, .4, .42, .43, .6, .602, .7z, .9, .acm, .addr, .afl, .age3yrec, .ags, .ahc, .ai, .aif, .aiml, .ala, .alo, .anm, .anm, .ant, .apk, .arch00, .arj, .arz, .asf, .asg, .asset, .asx, .atlas, .aud, .avi, .azp, .baf, .bag, .bank, .bar, .bat, .bba, .bf, .bff, .big, .bik, .bikey, .bin, .bix, .bk, .blb, .blk, .blorb, .blp, .bm2, .bmd, .bmg, .bmp, .bnd, .bndl, .bnk, .bns, .bnt, .bod, .bot, .bsa, .bsm, .bsp, .bun, .bundledmesh, .c, .cab, .capx, .card, .cas, .cbf, .ccw, .cd, .cdata, .cdp, .cem, .cfm, .cfr, .cgi, .cgm, .cha, .civ5save, .class, .clz, .cm, .cme, .cmg, .cok, .com, .cow, .cpn, .cpp, .cpx, .crf, .cry, .cs2, .csv, .ctp, .cvm, .d2i, .dat, .DayZProfile, .dazip, .db, .db0, .db1, .db7, .db9, .dbf, .dbi, .dc6, .dcc, .dcz, .dds, .ddsx, .ddt, .ddv, .deb, .dem, .dff, .dif.z, .djs, .dl, .dm_1, .dnf, .doc, .docm, .docx, .dog, .dor, .dot, .dotm, .dotx, .drl, .drs, .ds1, .dsb, .dxt, .dzip, .e4mod, .ebm, .ed, .edf, .ees, .eix, .ekx, .elu, .emi, .emz, .enc, .epc, .epk, .erp, .ert, .esf, .esm, .eur, .evd, .exe, .fbrb, .fda, .ff, .flmod, .flv, .fmf, .fomod, .forge, .fos, .fpk, .fps, .frd, .frw, .fsh, .fuk, .fxcb, .gaf, .gam, .game, .gax, .gblorb, .gcm, .gct, .gcv, .ggpk, .ghb, .gif, .gla, .gm, .gm1, .gob, .grle, .gro, .gsc, .gtf, .gxt, .h, .hak, .hbr, .he0, .hkx, .hlk, .hmi, .hogg, .hpk, .hsv, .htm, .html, .hwp, .i3animpack, .i3chr, .i3d, .i3exec, .ibf, .ibi, .ibt, .icd, .ids, .imc, .ims, .intr, .iqm, .isb, .itm, .itp, .iwd, .iwi, .j2e, .jam, .jar, .java, .jdf, .jit, .jpeg, .jpg, .jpz, .JQ3SaveGame, .js, .jsp, .jtd, .jtt, .key, .kf, .kto, .l2r, .la0, .lab, .lbf, .ldw, .lec, .lfd, .lfl, .litemod, .lmg, .lnc, .lng, .los, .lpr, .lrf, .lrn, .lsd, .lsd, .lta, .lts, .ltx, .lua, .lug, .lvl, .lzc, .m2, .m2ts, .m4s, .mao, .map, .material, .mca, .mcmeta, .mcworld, .md2, .md4, .mdl, .me2headmorph, .mgx, .mine, .mis, .mkv, .mlx, .mob, .model, .modpak, .mog, .mov, .mp3, .mp4, .mpa, .mpeg, .mpeg4, .mpg, .mpk, .mpq, .mpqe, .mrm, .mta, .mtf, .mtr, .mul, .mve, .mwm, .myp, .mys, .n2pk, .nav, .naz, .ncs, .nfs11save, .nfs13save, .ngn, .nh, .nif, .ntl, .nut, .oac, .odp, .ods, .ogg, .oob, .opk, .oppc, .opq, .osf, .osk, .osr, .osu, .osz, .otd, .p3d, .pac, .package, .pak, .papa, .pat, .patch, .pbn, .pcc, .pck, .pcpack, .pdb, .pdf, .pff, .php, .phz, .pk2, .pk3, .pk4, .pk7, .pkg, .pkx, .pkz, .pl, .player, .plr, .png, .pot, .potm, .potx, .ppe, .pps, .ppt, .pptm, .pptx, .profile, .psark, .psd, .psk, .psv, .psw, .pt2, .pta, .pud, .pxl, .py, .pyc, .qst, .qsv, .qvm, .raf, .rar, .rav, .rbn, .rbz, .rcf, .rda, .re4, .replay_last_battle, .res, .rez, .rgm, .rgss3a, .rgssad, .rgt, .rim, .rlv, .rm, .rmv, .rofl, .rpack, .rpf, .rrs, .rss, .rtf, .rvm, .rvproj2, .rw, .rwd, .rwv, .rx3, .rxdata, .sabl, .sabs, .sav, .sav2, .save, .sc1, .SC2Replay, .scb, .scm, .sco, .sda, .sdc, .sdd, .sdp, .sdw, .sex, .sfar, .sga, .sgh, .sgl, .sgm, .sh, .shader_bundle, .sii, .sims2pack, .sims3pack, .skudef, .slh, .slk, .sngw, .sns, .spawn, .spidersolitairesave-ms, .spv, .stormreplay, .streamed, .sv4, .sv5, .sve, .swar, .swd, .swe, .swf, .swift, .sww, .szs, .t3, .tad, .taf, .tar, .tar.gz, .tas, .tbc, .tbi, .tdf, .tew, .tex, .tfc, .tfil, .tgx, .tif, .tiff, .tiger, .til, .tinyid, .tir, .tit, .tlk, .tobj, .tor, .tre, .trf, .tsr, .tst, .ttarch, .ttarch2, .ttg, .ttz, .txd, .txt, .u2car, .uasset, .uax, .ubi, .uc, .ucs, .udk, .udm, .ugd, .uhtm, .umod, .umv, .unity, .unity3d, .unr, .uof, .uot, .upk, .ut4mod, .utc, .utx, .vb, .vcm, .vdf, .vdk, .vef, .vfs, .vfs0, .vis, .vmt, .vob, .vol, .vor, .vpp, .vpp_pc, .vpt, .vtf, .w3g, .w3x, .w3z, .wad, .wai, .wav, .wb2, .wep, .wf, .whd, .wk1, .wks, .wld, .wma, .wmv, .world, .wotreplay, .wowpreplay, .wowsreplay, .wpd, .wpl, .wps, .wsf, .wso, .wtf, .wx, .wxd, .xbe, .xbf, .xcr, .xex, .xfbin, .xhtml, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmg, .xml, .xp3, .xpd, .xpk, .xtbl, .xwm, .xxx, .yaf, .ydc, .ydk, .ydr, .yrm, .yrp, .ytd, .z2f, .z3, .zar, .zdk, .zfs, .zip, .zse (617 расширений без дублей). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RANSOM_NOTE.txt
loic_win32.exe
PWD-файл
FileDecrypter.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
kirk.help@scryptmail.com
kirk.payments@scryptmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kirk)
 Write-up, Topic
 * 
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *