пятница, 3 марта 2017 г.

Nhtnwcuf

Nhtnwcuf Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. На самом деле файлы не шифруются, а перезаписываются мусором из случайных байтов, до 10,24 Мб в каждом большом файле. Оригинальное название неизвестно. Непонятное "слово" взято из кода программы. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам добавляется случайное расширение, например, .ije, .mkf, .nwy и пр. 
Шаблон расширения можно записать как:
.<random_chars_a-z{3}> или .<a-z{3}>

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!_RECOVERY_HELP_!.txt и HELP_ME_PLEASE.txt

Содержание записки о выкупе:
INTRODUCTION
Data encryption involves converting and transforming data into scrambled, unreadable, cipher-text using non-readable mathematical calculations and algorithms. Restoring requires a corresponding decryption algorithm in form of software and the decryption key.
Data encryption is the process of transforming information by using some algorithm to make it unreadable to anyone except those possessing a key. In addition to the private key you'll need the decryption software with which you can decrypt your files and return everything to the same level as it was in the first place. Any attempts to try restore you files with the third-party tools will be fatal for your encrypted content.
I almost understood but what do I have to do?
The first thing you should do is to read the instructions to the end. Your files have been encrypted. The instructions, along with encrypted files are not viruses, they are you helpers.
Unfortunately, antivirus companies are not and will not be able to restore your files. Moreover, they make things worse by removing instructions to restore encrypted content.
Antivirus companies will not be able to help decrypt your encrypted data, unless the correct software and unique decryption key is used. Fortunately, our team is ready to help to provide both, "Decryptor" and "Unique decryption key" based on yours unique "Ref#_8114126f16c8".
Keep in mind that the worse has already happened and the further life of your files directly depends on determination and speed of your actions. Therefore, we advice not to delay and follow "!_RECOVERY_HELP_!" instructions.
After purchasing a software package with the unique decryption key you'll be able to:
* Decrypt all your files
* Work with your documents
* View your photos and other media content
* Continue habitual and comfortable work at your computer
If you are aware of the whole importance and criticality of the situation, then we suggest to go directly to the below "!_RECOVERY_HELP_!" instructions where you will be given final simple steps, as well as guarantees to restore your files.
"!_RECOVERY_HELP_!"
Follow 3 Steps in Exact Order
1. In case if you don't already have, Register/Create a BitCoin Wallet.
2. Send 1.00 BTC ( One Bitcoin ) to the following BitCoin Address:
1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3
3. Send confirmation to the following E-mail address:
helptodecrypt@list.ru
* Mail Subject - "Ref#_8114126f16c8"
* Mail Content - "4 lines of text"
Line 1: "Ref#_8114126f16c8" - Your Reference Number - Must match with "Mail Subject"
Line 2: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" - Sender/Sent from - Your BitCoin Address
Line 3: "1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3" - Receiver/Sent to - Our BitCoin Address
Line 4: "1.00 BTC" - 1 Bitcoin - Service Charge
* After verification process ( Confirmed, as Paid by our 3rd party provider ) is completed, decription software and unique key will be E-mailed to you without delays.

Перевод записки на русский язык:
ВВЕДЕНИЕ
Шифрование данных включает в себя конвертацию и преобразование данных в скремблированный, нечитаемый, шифротекст с использованием нечитаемых математических вычислений и алгоритмов. Для восстановления требуется соответствующий алгоритм дешифрования в виде программного обеспечения и ключа дешифрования.
Шифрование данных - это процесс преобразования информации с использованием некоторого алгоритма, который делает его нечитаемым для всех, кроме тех, у кого есть ключ. В дополнение к закрытому ключу вам понадобится программное обеспечение для расшифровки, с помощью которого вы можете расшифровать ваши файлы и вернуть все на тот уровень, на котором он был в первую очередь. Любые попытки попытаться восстановить файлы с помощью сторонних инструментов будут фатальными для вашего зашифрованного контента.
Я почти понял, но что мне делать?
Первое, что вам нужно сделать, - прочитать инструкции до конца. Ваши файлы были зашифрованы. Инструкции вместе с зашифрованными файлами не являются вирусами, они ваши помощники.
К сожалению, антивирусные компании не могут и не смогут восстановить ваши файлы. Более того, они усугубляют ситуацию, удаляя инструкции по восстановлению зашифрованного контента.
Антивирусные компании не смогут расшифровать ваши зашифрованные данные, если не использовать правильное программное обеспечение и уникальный ключ дешифрования. К счастью, наша команда готова помочь предоставить «Decryptor» и «Unique decryption key» на основе вашего уникального «Ref#_8114126f16c8».
Имейте в виду, что худшее уже произошло, и дальнейшая жизнь ваших файлов напрямую зависит от решимости и скорости ваших действий. Поэтому мы советуем не откладывать и следовать инструкции "!_RECOVERY_HELP_!.txt".
После приобретения пакета программного обеспечения с уникальным ключом расшифровки вы сможете:
* Расшифровать все ваши файлы
* Работать с вашими документами
* Смотреть фотографии и другой медиа-контент
* Продолжать привычную и удобную работу на вашем компьютере
Если вам известно о всей значимости и критичности ситуации, мы предлагаем перейти непосредственно к приведенной ниже инструкции «! _RECOVERY_HELP_!», где вам даны окончательные простые шаги, а также гарантии для восстановления ваших файлов.
"! _RECOVERY_HELP_!"
Следуйте 3 шагам в точном порядке
1. Если у вас еще нет, зарегистрируйте/создайте BitCoin-кошелек.
2. Отправьте 1.00 BTC (один биткойн) на следующий BitCoin-адрес:
1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3
3. Отправьте подтверждение на следующий email-адрес:
helptodecrypt@list.ru
* Тема письма - "Ref#_8114126f16c8"
* Содержание письма - «4 строки текста»
Строка 1: «Ref#_8114126f16c8» - Ваш Reference-номер - должно совпадать с полем «Тема письма»
Строка 2: «xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx» - Отправитель/Отправлено из - ваш BitCoin-адрес
Строка 3: «1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3» - Получатель/Отправлено в - наш BitCoin-адрес
Строка 4: «1.00 BTC» - 1 биткойн - плата за обслуживание
* После завершения процесса проверки (Подтверждение оплаты нашим сторонним поставщиком), программа дешифрования и уникальный ключ будут отправлены вам по email немедленно.

Атакует серверы, имеющие поддержку RDP и уязвимости в защите или вообще не имеющие защиты. Устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP, если открыт стандартный порт TCP 3389.  Возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, LogMeIn, PsExec и пр. 

НИКОГДА не используйте изменённые или устаревшие версии программ для удалённого доступа.
NEVER use modified or outdated versions of programs for remote access. The result will be similar.

Почему это возможно? 
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер,  с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.

Может также распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 !_RECOVERY_HELP_!.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
helptodecrypt@list.ru
См. ниже результаты анализов.


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Topic on BC
 ID Ransomware (ID as Nhtnwcuf)
 Tweet on Twitter
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *