пятница, 30 июня 2017 г.

Lalabitch

Lalabitch Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .lalabitch
Зашифрованные файлы переименовываются с помощью base64. 

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Lalabitch

Записка с требованием выкупа называется: lalabitch.php

Содержание записки о выкупе:
Your site is locked with Lalabitch Custom encryption method. 
Please pay 0.5 btc to 18LbTxonanfMoh43t47Pjvdox7z2HFaiM9 for the Decryption key. Or else, 
in 12 hours all of your files in this website will be deleted
- [lalabitch2017[at]yandex.com] -
----------------------------------------------
This is a notice of ransomware.
How to restore the beginning?
Please contact us via email listed

Перевод записки на русский язык:
Ваш сайт заблокирован с Lalabitch обычным способом шифрования.
Оплатите 0.5 btc на 18LbTxonanfMoh43t47Pjvdox7z2HFaiM9 за ключ дешифрования. Или, через 12 часов все ваши файлы на этом веб-сайте будут удалены.
- [lalabitch2017 [at] yandex.com] -
----------------------------------------------
Это уведомление о выкупе.
Как начать восстановление?
Свяжитесь с нами по email.


Технические детали

Может распространяться путём взлома сервера через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Скриншот интерфейса

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Из шифрования исключаются файлы, содержащие в имени: 
.php
.png
404.php
.htaccess
.lndex.php
DyzW4re.php
index.php
.htaDyzW4re

.lol.php

Файлы, связанные с этим Ransomware:
lalabitch.php
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 18LbTxonanfMoh43t47Pjvdox7z2HFaiM9
Email: lalabitch2017@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Lalabitch)
 Write-up, Topic of Support
 * 
Added later:
Write up on BC
*
*
 Thanks: 
 Michael Gillespie
 Catalin Cimpanu
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

четверг, 29 июня 2017 г.

Johnnie

Johnnie Ransomware 

Random6 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название не указано. На файле написано: df4344.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Этимология названия:
Ряд антивирусных движков назвали вредонос как Johnnie.
Johnnie

К зашифрованным файлам добавляется случайное расширений с шестью разными буквами .<random6>

Примеры таких расширений:
.llawex
.dkdfln
.pmxkab
.upzbrf

Зашифрованные файлы переименовываются с использованием base64.
Johnnie Random6

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется с использованием случайного расширения.
Примеры шаблонов записки можно записать так: 
RESTORE-.<random6>-FILES.txt
RESTORE-.<6-char_extension>-FILES.txt

Примеры таких записок:
RESTORE-.llawex-FILES.txt
RESTORE-.dkdfln-FILES.txt
RESTORE-.pmxkab-FILES.txt
RESTORE-.upzbrf-FILES.txt
Johnnie Random6

Содержание записки о выкупе:
Your files are Encrypted!
For decryption send letter on email filesrestore@tutanota.com in letter attach your Personal ID.
If email don't works, register here: http://bitmsg.me, send letter to BM-NBazWh9xNVf2SgmvLv8pc3Uc9CCXtXMu
With your Personal ID and email for contacts.
After you send payment to given BTC adress in answer, you will get your files restored.
Your Personal ID: 
XwPCzCqFJ99Yvg***

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Для расшифровки отправьте письмо на email filesrestore@tutanota.com к письму приложите свой личный ID.
Если почта не работает, зарегистрируйтесь здесь: http://bitmsg.me, отправьте письмо на BM-NBazWh9xNVf2SgmvLv8pc3Uc9CCXtXMu
С вашим личным ID и email для контакта.
После отправки платежа на указанный BTC-адрес в ответ, вы восстановите свои файлы.
Ваш личный ID:
XwPCzCqFJ99Yvg***

Информатором жертвы выступает также скринлок, встающий обоями рабочего стола Desktop background.png

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
dfdf333.exe (sdFf34453.exe)
Desktop background.png
RESTORE-.llawex-FILES.txt
.llawex.log
<random>.llawex

Расположения:
%USERPROFILE%\Downloads\<random>.llawex

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Random6)
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

WannaCry.NET

WannaCry.NET Ransomware
Fake Clone WannaCry

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 0.1 BTC (сейчас это ~$260), чтобы вернуть файлы. Оригинальное название: WannaCry (разумеется фальшивый). На файле написано: wanna_cry и др.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: .NET >> WannaCry.NET

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает текстовый файл @Please_Read_Me@.txt, скринлок, встающий обоями и экран блокировки:


WannaCry.NET
WannaCry.NET
WannaCry.NET

Содержание записки @Please_Read_Me@.txt:
Q: What's wrong with my files?
A: Oooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted. If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely! Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption. Please send 0.1 bitcoin to this bitcoin address: 13KBb1G7pkqcJcxpRHg387roBj2NX7Ufyf
Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software. Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don't worry about decryption. We will decrypt your files surely because nobody will trust us if we cheat users.
* If you need our assistance, send a message by clicking < Contact Us > on the decryptor window.

Перевод записки на русский язык:
В: Что не так с моими файлами?
О: Упс, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы. Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы! Давайте начнем расшифровку!
В: Что мне делать?
О: Во-первых, вам нужно заплатить выкуп за услуги расшифровки. Отправьте 0.1 биткоина на этот биткойн-адрес: 13KBb1G7pkqcJcxpRHg387roBj2NX7Ufyf 
Затем найдите файл приложения с именем "@WanaDecryptor@.exe". Это программа дешифровки. Запустите и следуйте инструкциям! (Возможно, вам нужно временно отключить антивирус.)
В: Могу ли я доверять?
О: Не беспокойтесь о расшифровке. Мы расшифруем ваши файлы, т.к. никто не будет нам доверять, если мы обманем пользователей.
* Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us> в окне расшифровки.


Технические детали


WannaCry.NET внешне сделан один-в-один как WannaCry NSA EE, с такими же таймером и требованиями выкупа, но не более. Кодирован в .NET, включает в себя строку WNCRY и не использует никаких эксплойтов NSA. Обычно .NET-Ransomware является признаком того, что автор не имеет опыта кодирования, но к этому фальшивому WannaCry это не относится, т.к. является одним из лучших штаммов .NET-Ransomware, которые мы ранее видели. 

Специалисты ЛК обнаружили несколько индикаторов, оставленных разработчиками-вымогателями для того, чтобы ввести пожелавших заглянуть в код программы. Это строка WNCRY, строка-название проекта WannaCry и строка made in china
WannaCry.NET
WannaCry.NET
WannaCry.NET

WannaCry.NET удаляет теневые копии файлов. Инициализирует ключи.
Не запускается без специальных аргументов командной строки. 
Использует C&C в сети Tor. 
Вырубает процессы приложений перед шифрованием файлов. 
Создает список файлов для шифрования. Шифрует файлы.
Показывает окно с требованием выкупа. Сохраняет текстовую записку с вопросами и ответами. 

Закрытый ключ RSA шифруется открытым ключом RSA. Для каждого файла генерируется ключ AES-256 и IV. Ключ и IV зашифровываются сгенерированным ключом RSA «Session» и сохраняются в зашифрованном файле.

Номер BTC-кошелька фиксирован 13KBb1G7pkqcJcxpRHg387roBj2NX7Ufyf для всех инфекций. На данный момент кошелек получил семь платежей, всего 0,51 BTC. Большая часть платежей сделана 26 июня, видимо это был тот день, когда атака достигла максимума. Интересно, что злоумышленники отозвали 0.41 BTC со счета.

Около 90 атакованных организаций получили на свои ПК с обновлениями ПО M.E.Doc ещё и WannaCry.NET, большинство находятся в Украине.

После перепродажи крипто-вымогатель может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Кто стоит за этим крипто-вымогателем?
Сегодня кто-то распространяет (продаёт) этот крипто-вымогатель в Украине под видом WannaCry. Ранее распространялся XData на основе похищенной кодовой базы AES-NI, PSCrypt - на основе GlobeImposter, Petya NSA EE замаскирован под Petya.
Нет чётких доказательств того, что одна и та же группа стоит за всеми этими вредоносными кампаниями в Украине и других странах, но довольно много совпадений, чтобы это не замечать. 
Хочу посоветовать пострадавшим включить голову и извлечь из этих атак уроки. Если продолжать обвинять во всех мнимых и явных нападках Россию и неких российских хакеров, то это значит снова подставить под удар свои серверы, сайты, сети и ПК. 
Атакующим (как и любым другим преступникам) только на руку, чтобы виновными считали совершенно других людей, чтобы обвинения выдвигали против кого-то другого. 

Запомните, кибер-криминал безлик, безнационален, скрытен, но цели его известны: причинить вред и извлечь выгоду. 
Атаки будут продолжаться, кажущаяся тишина временна, т.к. за это время кибер-криминал ищет новые уязвимые места, чтобы ударить ещё точнее, сильнее и разрушительнее. 

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm,.3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup,.bak, .bat, .brd, .bz2, .c, .cgm, .class, .cmd,.cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu,.doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv,.frm, .gpg, .gz, .h, .hwp, .ibd, .iso,.jar, .java, .js, .jsp, .key, .lay,.lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .mp3, .mp4,.mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg,.odp, .ods, .odt,.onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php,.pl, .pot, .potm, .potx,.ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar,.raw, .rb, .rtf, .sch, .sh, .sldm,.sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob,.vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .zip (173 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wc.exe - WannaCry
wd.exe - @WanaDecryptor@.exe
ed.exe - Electronic documents (M.E.Doc)
@Please_Read_Me@.txt
@WanaDecryptor@.bmp

Расположения:
%CurrentFolder%\ed.exe
%SystemDrive%\Documents and Settings\All Users\Desktop\@Please_Read_Me@.txt
%SystemDrive%\Documents and Settings\All Users\Desktop\@WanaDecryptor@.exe
%SystemDrive%\All Users\Music\@Please_Read_Me@.txt
%SystemDrive%\All Users\Music\@WanaDecryptor@.exe
%SystemDrive%\All Users\Pictures\@Please_Read_Me@.txt
%SystemDrive%\All Users\Pictures\@WanaDecryptor@.exe
%SystemDrive%\All Users\Favorites\@Please_Read_Me@.txt
%SystemDrive%\All Users\Favorites\@WanaDecryptor@.exe
%SystemDrive%\All Users\AppData\Roaming\Microsoft\Templates\@Please_Read_Me@.txt
%SystemDrive%\All Users\AppData\Roaming\Microsoft\Templates\@WanaDecryptor@.exe

Записи реестра, связанные с этим Ransomware:
RSA Private Key 
RSA Public Key 
HKEY_CURRENT_USER\Software\WC\"public_key" = "[DATA]"
HKEY_CURRENT_USER\Software\WC\"private_key_encrypted" = "[DATA]"
HKEY_CURRENT_USER\Software\WC\"guid" = "[UNIQUE ID]"
HKEY_CURRENT_USER\Software\WC\"wc_path" = "[PATH TO MALWARE]"
HKEY_CURRENT_USER\Software\WC\"time" = "[SYSTEM TIME]"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://4gxdnocmhl2tzx3z.onion
BTC: 13KBb1G7pkqcJcxpRHg387roBj2NX7Ufyf
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ на Dropper >>
VirusTotal анализ на Dropper >>
Гибридный анализ на GUI >>
VirusTotal анализ на GUI >>
Гибридный анализ на Encrypter >>
VirusTotal анализ на Encrypter >>
Symantec: Ransom.Fakecry >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WannaCry.NET)
 Write-up, Write-up
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 BleepingComputer
 SecureList, Symantec Security Response
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

среда, 28 июня 2017 г.

Pirateware

Pirateware Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Pirateware и First Gui. На файле написано: First Gui.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.
.
Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи видимо находится в разработке и ничего не шифрует. 

Запиской с требованием выкупа выступает экран блокировки:
Pirateware

Содержание записки о выкупе:
What happend to my computer?
Your personal documents and files on this computer have just been encrypted.
The original files have been deleted and will only be recovered by following the steps described below.
The encryption as done with a unique generated encryption key (using AES-256 and RSA-2048).
This means the enciypted files are of no use until they get decrypted using a key stored on a secret server.
The server will only release the key if the amount of Bitcoins displayed is payed.
How to get your hands on a key:
1. Create your own Bitcoin wallet and convert money into Bitcoins.
2. After you have sent the Bitcoins from your own Bitcoin adress type it into contact for adresses.
3. Go under Message and type i have bought a key and would like to receive it and then click "Submit Message"
4. After we have confirmed your purchase and you have gotten you key paste it into the key box and click "start decryption".
Every third day the prices -Anil increase by 0.1 bitcoin. so if you wait three days to pay it will be 0.2 bitcoins.
*Remember the rule or you wont get your key!*
Price for key: 0.1 Bitcoins
Send Bitcoins to this adress
34tfAnJsTbhJNCLnyurvPeTpqgGzobHLhL
Pirateware
Any attempt to corrupt or remove this software will result in immediate elimination of private key by the server.

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши личные документы и файлы на этом компьютере только что были зашифрованы.
Исходные файлы были удалены и будут восстановлены только после выполнения описанных ниже действий.
Шифрование выполняется с уникальным сгенерированным ключом шифрования (AES-256 и RSA-2048).
Это значит, что заблокированные файлы бесполезны, пока они не будут дешифрованы с ключом, хранящимся на секретном сервере.
Сервер отдаст ключ только в том случае, если указанная сумма биткойнов будет уплачена.
Как получить ключ на руки:
1. Создайте свой собственный биткойн-кошелек и конвертируйте деньги в биткойны.
2. После того, как вы отправили биткойны из вашего личного биткойн-адреса, введите его в контакт для адресов.
3. В поле под "Message" впишите "I have bought a key and would like to receive it" (я купил ключ и хочу его получить), а затем нажмите  кнопку "Submit Message",
4. После того, как мы подтвердим вашу покупку, и вы получили ключ, вставьте его в поле для ключей и нажмите "start decryption".
Каждый третий день цена увеличивается на 0.1 биткойн. Поэтому, если вы подождете три дня для оплаты, это будет 0.2 биткойна.
* Запомните правило, иначе вы не получите свой ключ! *
Цена за ключ: 0.1 биткойна
Отправьте биткойны на этот адрес
34tfAnJsTbhJNCLnyurvPeTpqgGzobHLhL
Pirateware
Любая попытка испортить или удалить эту программу приведет к немедленной ликвидации закрытого ключа сервером.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Файлы пока ещё не шифруются.
После релиза это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pirateware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 34tfAnJsTbhJNCLnyurvPeTpqgGzobHLhL
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Nemucod-AES

Nemucod-AES Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей (первые 2 Кб файла) с помощью AES-128 (режим ECB) + RSA-2048, а затем требует выкуп в ~0,11-~0,13 BTC, чтобы вернуть файлы. Оригинальное название Nemucod xxx. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Nemucod > Nemucod-AES

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
Decrypt.txt
Decrypt.hta

Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола. Или это файл HTA. Содержание текста видимо аналогичное. 
Nemucod-AES

Содержание записки о выкупе:
ATTENTION!
All your documents, photos, databases and other important personal files were  encrypted using a combination of strong RSA-2048 and AES-128 algorithms.
The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here:
xxxxs://blockchain.info/wallet/new
2. Buy 0.11471 bitcoins here:
https://localbitcoins.com/buy_bitcoins
3. Send 0.11471 bitcoins to this address:
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Open one of the following links in your browser:
xxxx://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Download and run decryptor to restore your files.
You can find this instruction in "DECRYPT" file on your desktop.

Перевод записки на русский язык:
ВНИМАНИЕ!
Все ваши документы, фото, базы данных и другие важные личные файлы были зашифрованы с сочетания сильных алгоритмов RSA-2048 и AES-128.
Единственный способ восстановить ваши файлы - купить декриптор. Пожалуйста, выполните следующие действия:
1. Создайте свой биткойн-кошелек здесь:
xxxxs://blockchain.info/wallet/new
2. Купите 0.11471 биткойна здесь:
https://localbitcoins.com/buy_bitcoins
3. Отправьте 0.11471 биткойна по этому адресу:
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Откройте в браузере одну из следующих ссылок:
хххх://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Загрузите и запустите декриптор для восстановления ваших файлов.
Вы можете найти эту инструкцию в файле "DECRYPT" на своем рабочем столе.


Другой вариант записки о выкупе:
ATTENTION!
All your documents, photos, databases and other important personal files were encrypted
using a combination of strong RSA-2048 and AES-128 algorithms.
The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here: 
xxxxs://blockchain.info/wallet/new
2. Buy 0.13066 bitcoins here: 
xxxxs://localbitcoins.com/buy_bitcoins
3. Send 0.13066 bitcoins to this address: 
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Open one of the following links in your browser: 
xxxx://luxe-limo.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://musaler.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://vinoteka28.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://www.agrimixxshop.com/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://sharedocsrl.it/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
Download and run decryptor to restore your files. 
You can find this instruction in "DECRYPT" file on your desktop.

Этот вариант записки различается лишь деталями (сумма выкупа, адреса и пр.). 


Технические детали

Как и предыдущие версии Nemucod-семейства новый Nemucod-AES шифрует только первые 2 Кб каждого целевого файла. Однако, в отличие от своих предшественников, Nemucod-AES использует шифрование AES со случайным образом созданным 128-битным ключом для каждого файла. 

Зашифрованные данные, а также имя файла и ключи AES, зашифрованные RSA, затем сохраняются в файле базы данных (с раширением .db) внутри каталога %TEMP%. Затем Nemucod-AES перезаписывает исходные первые 2 Кб файла случайными данными.

Поскольку зашифрованные данные хранятся не в файлах, а в отдельном файле базы данных, то этот файл необходим для процесса дешифрования.

Затем Nemucod-AES удаляет все теневые копии файлов и создаёт заметку о выкупе DECRYPT.hta на рабочем столе, потребовав от жертвы выкуп $300 в биткоинах, чтобы вернуть свои файлы.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (JS, EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .als, .arc, .arj, .asc, .asf, .asm, .asp, .aup, .avi, .backup, .bak, .bas, .bat, .blend, .bmp, .brd, .bz, .bz2, .bza, .bzip, .bzip2, .c, .cad, .cdr, .cgm, .class, .cmd, .cpp, .cpr, .cpt, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dsk, .dwg, .eps, .fb2, .fla, .flv, .frm, .gif, .gpg, .gz, .gzip, .h, .hwp, .ibd, .ice, .img, .indd, .iso, .jar, .java, .jpeg, .jpg, .js, .kdb, .kdbx, .key, .lay, .lay6, .ldf, .lwo, .lws, .m3u, .m4u, .m4v, .max, .mb, .mdb, .mdf, .mid, .midi, .mkv, .mml, .mov, .mp3, .mp4, .mpe, .mpeg, .mpg, .mpp, .ms11, .ms11, .myd, .myi, .nef, .npr, .odb, .odg, .odm, .odp, .ods, .odt, .ogg, .onenotec2, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .pgp, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pub, .py, .qcow2, .r00, .r01, .r02, .r03, .rar, .raw, .rb, .rm, .rtf, .scad, .sch, .sh, .skp, .sldasm, .slddrw, .sldm, .sldprt, .sldx, .slk, .sql, .sqlite3, .sqlitedb, .ssh, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .tsv, .txt, .u3d, .uop, .uot, .vb, .vbproj, .vbs, .vcproj, .vdi, .veg, .vhd, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wk1, .wks, .wma, .wmf, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (222 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключения из шифрования:
\winnt, \boot, \system, \windows, \tmp, \temp, \program,\appdata, \application, \roaming, \msoffice, \temporary, \cache, recycler

Файлы, связанные с этим Ransomware:
UPS-Delivery-005156577.doc.js
UPS-Receipt-4424638.doc.js
Decrypt.txt
Decrypt.hta
<random>.doc
<random>.exe
Cab<random>.tmp
Tar<random>.tmp

Расположения:
\Desktop\Decrypt.txt
%TEMP%\<random>.doc
%TEMP%\<random>.exe
%TEMP%\Cab<random>.tmp
%TEMP%\Tar<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://elita5.md/counter/***
xxxx://artdecorfashion.com/counter/***
xxxx://goldwingclub.ru/counter/***
xxxx://perdasbasalti.it/counter/***
xxxx://natiwa.com/counter/***
xxxx://luxe-limo.ru/counter/***
xxxx://musaler.ru/counter/***
xxxx://vinoteka28.ru/counter/***

xxxx://www.agrimixxshop.com/counter/***
elita5.md (217.26.160.15 Молдова)
goldwingclub.ru (62.109.17.210  Россия)
amis-spb.ru (77.222.61.227  Россия)
и другие (см. гибридный анализ)
BTC: 1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Nemucod-AES)
 Write-up (July 12th, 2017), Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Emsisoft Lab
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *