среда, 12 апреля 2017 г.

AES-NI: April Edition

AES-NI Ransomware: April Edition

SPECIAL VERSION: NSA EXPLOIT EDITION

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: AES-NIСпособы оплаты выкупа: индивидуальные для каждого клиента. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: AES-NI >> AES-NI: April Edition

К зашифрованным файлам добавляется расширение .aes_ni

Появление этой обновлённой версии пришлось на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Для России, Беларуси и некоторых других стран из бывшего Союза шифровальщик не работает. Но если такое случится, то для пострадавших из этих стран СНГ расшифровка бесплатная!!!
Геолокация определяется благодаря обращению к легитимному сайту ipinfo.io. 

Записки с требованием выкупа размещаются во всех папках с зашифрованными файлами и называются: !!! READ THIS - IMPORTANT !!!.txt
Смешение элементов букв названия произошло в моём блокноте. 
В оригинале надпись в ASII представлена в нормальном виде. 

Содержание записки о выкупе:
==========================# aes-ni ransomware #==========================
                   █████╗ ██████╗██████╗        ███╗    ██╗ ██╗
                  ██╔═██╗██╔═══╝██╔═══╝        ████╗  ██║ ██║
                  ██████║█████╗  ██████╗███╗██╔██╗██║ ██║
                  ██╔═██║██╔══╝  ╚═══██║╚══╝██║╚████║ ██║
                  ██║  ██║██████╗██████║        ██║  ╚███║ ██║
                  ╚═╝  ╚═╝╚═════╝╚═════╝        ╚═╝    ╚══╝ ╚═╝
SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
0xc030@protonmail.ch
Also there is one fast way to contact us.
If you are familiar with Jabber, write us to JID: zooolo@darknet.nz (it is Jabber, not e-mail address!)
You can get Jabber account for example at https://www.xmpp.jp/signup
IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
 please do not panic and write to BitMsg (https://bitmsg.me) address:
 BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
 or create topic on https://www.bleepingcomputer.com/ and we will find you there.
Also it will be better if you download Tor browser here: https://www.torproject.org/download/download-easy.html.en
Download, install and run it; then visit our site (from Tor browser): http://kzg2xa3nsydva3p2.onion/index.php
Please do not visit this site from standard browser: it just will not open. You need Tor Browser to open .onion sites.
There is a form, you can write us there if all e-mails are blocked and we will contact you very fastly.
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
You MUST refer this ID in your message:
PC#EB53D6F20CF4C8BDCFD536DE4B29906C
Also you MUST send all ".key.aes_ni" files from C:\ProgramData if there are any.
==========================# aes-ni ransomware #==========================

Additional message:
After payment, clients receive full consultation and recommendations for improving safety.

Перевод записки на русский язык:

ПРОСТИТЕ! Ваши файлы зашифрованы.
Содержимое файла зашифровано со случайным ключом (AES-256, режим ECB).
Случайный ключ зашифрован с помощью открытого ключа RSA (2048 бит).
Мы НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ НЕ использовать какие-то "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, сделав восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не связываться с компаниями, занимающимися восстановлением данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый ключ RSA.
Чтобы получить закрытый ключ, напишите сюда:
0xc030@protonmail.ch
Также есть более быстрый способ связаться с нами.
Если вы знакомы с Jabber, пишите нам на JID: zooolo@darknet.nz (это Jabber, а не email-адрес!)
Вы можете получить учетную запись Jabber, например, по адресу https://www.xmpp.jp/signup
ВАЖНО: В некоторых случаях исследователи Malware могут блокировать наши email.
Если вы не получили ответа по email в течение 48 часов,
 Пожалуйста, не паникуйте и пишите на адрес BitMsg (https://bitmsg.me):
 BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
 Или создайте тему на https://www.bleepingcomputer.com/, и мы найдем вас там.
Также будет лучше, если вы загрузите браузер Tor здесь: https://www.torproject.org/download/download-easy.html.en
Загрузите, установите и запустите; затем посетите наш сайт (из браузера Tor): http://kzg2xa3nsydva3p2.onion/index.php
Пожалуйста, не заходите на этот сайт с обычного браузера: он просто не откроется. Вам нужен Tor Browser для открытия сайтов .onion.
Там есть форма, вы можете написать нам туда, если все email заблокированы, и мы свяжемся с вами очень быстро.
Если кто-то предлагает вам восстановить файлы, попросите его сделать тест-расшифровку.
 Только мы можем успешно расшифровать ваши файлы; знайте, это может защитить вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
Вы ДОЛЖНЫ указать этот идентификатор в своем сообщении:
ПК # EB53D6F20CF4C8BDCFD536DE4B29906C
Также вы ДОЛЖНЫ отправить все файлы «.key.aes_ni» из C: \ ProgramData, если они есть.

Дополнительное сообщение:
После оплаты клиенты получают полную консультацию и рекомендации по улучшению безопасности.

Страница "AES-NI support form" в Tor-сети:

Используется для атак на корпоративный сектор, серверные версии Windows и веб-серверы. Может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (специальная эксплойтная версия), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

AES-NI определяет локальный язык и страну пользователей, не работает у пользователей из России и стран СНГ (стоит защита от запуска). 
Использует антиреверсинг, определяет запуск в песочнице.

Особенности версии:
Особенности версии:
- наличие в AES-NI региональных ограничений;
- вписывает ИД ключа и оригинальное имя файла в зашифрованный файл (добавлено 20-25 марта).

Шифруются все файлы, кроме тех, что имеют расширения:
.dll, .exe, .lnk, .mui, .sys

Пропускаются папки Drivers и Temp на дисках. 

Таким образом документы MS Office, PDF, базы данных, фотографии, музыка, видео, архивы наверняка будут зашифрованы, а система будет работать. 

Файлы, связанные с этим Ransomware:
!!! READ THIS - IMPORTANT !!!.txt
файлы .key.aes_ni
<random>.tmp.exe
decoder.exe

Расположения:
C:\ProgramData\.key.aes_ni

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://kzg2xa3nsydva3p2.onion/index.php
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
0xc030@protonmail.ch и другие. 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ для SPECIAL VERSION: NSA EXPLOIT EDITION >>
VirusTotal анализ для SPECIAL VERSION: NSA EXPLOIT EDITION >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Почему это произошло? 


Нельзя использовать устаревшие версии Windows, в которых дыра на дыре сидит и дырой погоняет.
Настройки безопасности Windows по умолчанию никуда не годятся. RDP такой, какой нужен хакерам.
В вашей организации кабинет директора, офис с компьютерами запираются же на ключ, есть охрана.
Так почему же на сервере открытая настежь дверь с табличкой "Заходи, кто хочешь, бери, что хочешь"? 
Хакерам и их программам для взлома даже ничего ломать не нужно — просто зайти в открытую дверь... 

*****************************

Обновление от 16 апреля 2017:


Версия без бильда: SPECIAL VERSION: NSA EXPLOIT EDITION
Записка: !!! READ THIS - IMPORTANT !!!.txt
Расширение: .aes_ni_0day
Файлы файлы .key.aes_ni_0day
Email: 0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
Для пострадавших из России, Беларуси и других стран СНГ расшифровка бесплатная!!!


Содержание записки:
=====# aes-ni ransomware #=====
AES-NI
SPECIAL VERSION: NSA EXPLOIT EDITION
INTRO: If you are reading it, your server was attacked with NSA exploits.
Make World Safe Again.
SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
 please do not panic and write to BitMsg (https://bitmsg.me) address:
 BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
 or create topic on https://www.bleepingcomputer.com/ and we will find you there.
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
You MUST refer this ID in your message:
RECOVERI2#97B0C34050C1C00F7A2977CB25******
Also you MUST send all ".key.aes_ni_0day" files from C:\ProgramData if there are any.
=====# aes-ni ransomware #=====
*****************************

Обновление апреля/мая 2017:
Почта только для пострадавших из России и некоторых стран бывшего Союза: 
michell_nulled@protonmail.ch
aes-ni@scryptmail.com
Дублируйте запрос на оба адреса. 

Обновление 20 июня 2017:
КЛЮЧИ и ДЕКРИПТЕР от РАЗРАБОТЧИКА AES-NI для ДЕШИФРОВКИ
------------------------------------------------------
IN ENGLISH
-------------------------
keys: https://www.sendspace.com/file/8co1k2
pass: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Decrypter and private keys
https://www.sendspace.com/file/n3ha1w
password: 6bvlWD9yz3yBtQyOhtAqFheg
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 private master key for offline AES-NI keys.
https://www.sendspace.com/file/fz133k 
pass: 85W0vhRkPbqcvaTafHknhMRP
---
We wish you a successful decrypting!
---------------------------------------------------
НА РУССКОМ ЯЗЫКЕ
-------------------------
ключи: https://www.sendspace.com/file/8co1k2
пароль: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Декриптер и закрытые ключи
https://www.sendspace.com/file/n3ha1w
пароль: 6bvlWD9yz3yBtQyOhtAqFheg 
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 закрытый мастер-ключ оффлайн ключей AES-NI.
https://www.sendspace.com/file/fz133k 
пароль: 85W0vhRkPbqcvaTafHknhMRP
---
Желаем вам успешной дешифровки!

------------------------------------------------------



 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as AES-NI)
 Write-up, Topic (n/a)
 * 
 Thanks: 
  AES-NI
  Thyrex
  *
  *
 

© Amigo-A (Andrew Ivanov): All blog articles.

14 комментариев:

  1. Здравствуйте! Пострадал от этого щифровальщика. Как рпасшифровать. Что значит "Для пострадавших из СНГ расшифровка бесплатная!!!" Спасибо за ответ.

    ОтветитьУдалить
    Ответы
    1. напишите им на указанную почту, подтвердите, что Вы из России

      Удалить
    2. Да, используйте контакты из обновления от 16 апреля 2017. Некоторые ранние блокированы почтовиками. Или используйте BitMesenger. Адрес указан.

      Удалить
    3. Сообщите мне, как пострадали: открыли вложение или сервер был взломан.

      Удалить
    4. Еще один контакт, ранее не опубликованный: Michell_Nulled@protonmail.ch

      Удалить
  2. сервер был взломан судя по всему, после пропал интернет, перезагузил а там "ntldr is missing" на чёрном фоне... думал винт подох подключил к другому компу... и на тебе "ntldr.aes_ni" в корне диска С. Удивительно но сам диск по размеру (в свойствах на диске С) - 1Гб,

    ОтветитьУдалить
  3. сломали старенький 2003 сервер, скорее всего по дыре в иис
    все защифровано и подписано - Michell_Nulled
    можно ли что либо сделать или только платить?

    ОтветитьУдалить
    Ответы
    1. Да, можно, см. выше в комментариях от 19 апреля почту с тем же Michell_Nulled.
      Напишите на неё. Для пострадавших из России, Беларуси и других стран СНГ расшифровка бесплатная!

      Удалить
  4. все выше указанные почту уже заблокированны за абузу "хороших людец" которые лишают возможности клиент получение их файловю
    пока жива почта aes-ni@scryptmail.com

    ОтветитьУдалить
  5. ключи и декрипт можно найти тут
    https://www.bleepingcomputer.com/forums/t/635140/aes-ni-ransomware-aes256-aes-ni-read-this-importanttxt-support-topic/page-12

    ОтветитьУдалить
  6. keys: https://www.sendspace.com/file/8co1k2
    pass: dT3FfWkaOKaWGLk

    MD5 269802A70BEC0D74DA42D74DB7EEDE6F

    ОтветитьУдалить
  7. https://www.bleepingcomputer.com/forums/t/635140/aes-ni-ransomware-aes256-aes-ni-read-this-importanttxt-support-topic/page-13

    ОтветитьУдалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *