среда, 28 июня 2017 г.

Nemucod-AES

Nemucod-AES Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (режим ECB) + RSA, а затем требует выкуп в ~0,11 BTC, чтобы вернуть файлы. Оригинальное название Nemucod xxx. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Nemucod > Nemucod-AES

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
Decrypt.txt
Decrypt.hta

Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола. Или это файл HTA. Содержание текста видимо аналогичное. 
Nemucod-AES

Содержание записки о выкупе:
ATTENTION!
All your documents, photos, databases and other important personal files were  encrypted using a combination of strong RSA-2048 and AES-128 algorithms.
The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here:
xxxxs://blockchain.info/wallet/new
2. Buy 0.11471 bitcoins here:
https://localbitcoins.com/buy_bitcoins
3. Send 0.11471 bitcoins to this address:
<%ADDRESS%>
4. Open one of the following links in your browser:
xxxx://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Download and run decryptor to restore your files.
You can find this instruction in "DECRYPT" file on your desktop.

Перевод записки на русский язык:
ВНИМАНИЕ!
Все ваши документы, фото, базы данных и другие важные личные файлы были зашифрованы с сочетания сильных алгоритмов RSA-2048 и AES-128.
Единственный способ восстановить ваши файлы - купить декриптор. Пожалуйста, выполните следующие действия:
1. Создайте свой биткойн-кошелек здесь:
xxxxs://blockchain.info/wallet/new
2. Купите 0.11471 биткойна здесь:
https://localbitcoins.com/buy_bitcoins
3. Отправьте 0.11471 биткойна по этому адресу:
<% ADDRESS%>
4. Откройте в браузере одну из следующих ссылок:
хххх://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Загрузите и запустите декриптор для восстановления ваших файлов.
Вы можете найти эту инструкцию в файле "DECRYPT" на своем рабочем столе.


Другой вариант записки о выкупе:
ATTENTION!
All your documents, photos, databases and other important personal files were encrypted
using a combination of strong RSA-2048 and AES-128 algorithms.
The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here: 
https://blockchain.info/wallet/new
2. Buy 0.13066 bitcoins here: 
https://localbitcoins.com/buy_bitcoins
3. Send 0.13066 bitcoins to this address: 
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Open one of the following links in your browser: 
http://luxe-limo.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
http://musaler.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
http://vinoteka28.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
http://www.agrimixxshop.com/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
http://sharedocsrl.it/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
Download and run decryptor to restore your files. 
You can find this instruction in "DECRYPT" file on your desktop.

Этот вариант записки различается лишь деталями (сумма выкупа, адреса и пр.). 


Технические детали

Как и предыдущие версии Nemucod-семейства новый Nemucod-AES шифрует только первые 2 Кб каждого целевого файла. Однако, в отличие от своих предшественников, Nemucod-AES использует шифрование AES со случайным образом созданным 128-битным ключом для каждого файла. 

Зашифрованные данные, а также имя файла и ключи AES, зашифрованные RSA, затем сохраняются в файле базы данных (с раширением .db) внутри каталога %TEMP%. Затем Nemucod-AES перезаписывает исходные первые 2 Кб файла со случайными данными.

Поскольку зашифрованные данные хранятся не в файлах, а в отдельном файле базы данных, то этот файл необходим для процесса дешифрования.

Затем Nemucod-AES удаляет все теневые копии файлов и создаёт заметку о выкупе DECRYPT.hta на рабочем столе, потребовав от жертвы выкуп $300 в биткоинах, чтобы вернуть свои файлы.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (JS, EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .als, .arc, .arj, .asc, .asf, .asm, .asp, .aup, .avi, .backup, .bak, .bas, .bat, .blend, .bmp, .brd, .bz, .bz2, .bza, .bzip, .bzip2, .c, .cad, .cdr, .cgm, .class, .cmd, .cpp, .cpr, .cpt, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dsk, .dwg, .eps, .fb2, .fla, .flv, .frm, .gif, .gpg, .gz, .gzip, .h, .hwp, .ibd, .ice, .img, .indd, .iso, .jar, .java, .jpeg, .jpg, .js, .kdb, .kdbx, .key, .lay, .lay6, .ldf, .lwo, .lws, .m3u, .m4u, .m4v, .max, .mb, .mdb, .mdf, .mid, .midi, .mkv, .mml, .mov, .mp3, .mp4, .mpe, .mpeg, .mpg, .mpp, .ms11, .ms11, .myd, .myi, .nef, .npr, .odb, .odg, .odm, .odp, .ods, .odt, .ogg, .onenotec2, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .pgp, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pub, .py, .qcow2, .r00, .r01, .r02, .r03, .rar, .raw, .rb, .rm, .rtf, .scad, .sch, .sh, .skp, .sldasm, .slddrw, .sldm, .sldprt, .sldx, .slk, .sql, .sqlite3, .sqlitedb, .ssh, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .tsv, .txt, .u3d, .uop, .uot, .vb, .vbproj, .vbs, .vcproj, .vdi, .veg, .vhd, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wk1, .wks, .wma, .wmf, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (222 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Исключения из шифрования:
\winnt, \boot, \system, \windows, \tmp, \temp, \program,\appdata, \application, \roaming, \msoffice, \temporary, \cache, recycler

Файлы, связанные с этим Ransomware:
UPS-Delivery-005156577.doc.js
UPS-Receipt-4424638.doc.js
Decrypt.txt
Decrypt.hta
<random>.doc
<random>.exe
Cab<random>.tmp
Tar<random>.tmp

Расположения:
\Desktop\Decrypt.txt
%TEMP%\<random>.doc
%TEMP%\<random>.exe
%TEMP%\Cab<random>.tmp
%TEMP%\Tar<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
elita5.md (217.26.160.15 Молдова)
goldwingclub.ru (62.109.17.210  Россия)
amis-spb.ru (77.222.61.227  Россия)
и другие (см. гибридный анализ)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Nemucod-AES)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *