вторник, 27 июня 2017 г.

Shifr RaaS, Gojdue

Shifr RaaS Ransomware

Gojdue, ShurL0ckr, Cypher

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель распространяется как RaaS и шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.01 до 1 BTC, чтобы вернуть файлы. Оригинальное название: Simple ransomware. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Windows_Security (WS Go) > Shifr RaaS (Gojdue, ShurL0ckr, Cypher)

К зашифрованным файлам добавляется расширение .shifr
Ранняя активность этого крипто-вымогателя пришлась на конец июня 2017 г. Потом продолжилась в связи с распространением вымогателя как RaaS. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT_FILES.html

Содержание записки о выкупе:
Your files have been encrypted.
To decrypt your files, follow instructions here.

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Для дешифровки файлов следуйте инструкциям.


Shifr RaaS

Сообщение на форуме:
Simple ransomware - no reg, 10% commision
This is ransomware. Once launched on the computer it will encrypt files and demand ransom. Other features of the service:
- No registration required.
- Ransom from 0.01 BTC to 1 BTC.
- Automatic payouts.


Страница после включения VPN
Shifr RaaS
Та же страница из кэша поисковой системы


Технические детали

Распространяется как RaaS на форумах Даркнета. После попадания в другие руки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .arw, .bay, .cdr .cr2, .crw, .csv, .dcr, .dng, .doc, .docx, .dwg, .dxf, .erf, .jpeg, .jpg, .kdc, .mef, .mrw, .nef, .nrw, .orf, .pdf, .pef, .png, .ppt, .pptx, .psd, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .svg, .tiff, .txt, .xls, .xlsx (42 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, и пр. файлы. 

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_FILES.html
<random>.exe
decrypter.exe
encryption_key
lock_file
uuid_file

Расположения:
\AppData\Roaming\uuid_file
\AppData\Roaming\lock_file
\AppData\Roaming\encryption_key
\Desktop\HOW_TO_DECRYPT_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://sinister.ly/Thread-RAAS-Simple-ransomware-no-reg-10-commision
xxxx://v5t5z6a55ksmt3oh.onion.to/decrypt/f2f6d2aa-06e0-43f9-9ebd-853af768e29e
xxxx://v5t5z6a55ksmt3oh.onion.to/new_c/
xxxx://v5t5z6a55ksmt3oh.onion.to/
xxxx://v5t5z6a55ksmt3oh.onion/
***download.windowsupdate.com
Email: simple_ransomware@xmpp.jp
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7-8 февраля и видеообзор от 20 февраля:
🎥 Видеообзор от CyberSecurity GrujaRS >>
Посты в Твиттере: MalwareHunterTeam‏  + GrujaRS 
Новые названия: ShurL0ckr Ransomware и Cypher Ransomware
Новое расширение: .cypher
Файл: encryption_key 
Расположение: %APPDATA%\encryption_key
Ориентация на Windows x64.
Список целевых расширений: .arw, .bay, .cdr, .cr2, .crw, .csv, .dcr, .dng, .doc, .dwg, .dxf, .erf, .jpg, .kdc, .mef, .mrw, .nef, .nrw, .orf, .pdf, .pef, .png, .ppt, .psd, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .svg, .txt, .xls (37 расширений). 
➤ ShurL0ckr обходит механизмы обнаружения облачных платформ. Инфицированные ShurL0ckr-ом файлы пропускаются антивирусной защитой, загружаются в облако, а затем распространяются на другие компьютеры. 
➤ ShurL0ckr продаётся RaaS другим преступникам, получающим комиссию от каждого выкупа. Сумма выкупа на местах: от 0.01 BTC до 1 BTC
➤ Исследователи провели анализ и выяснили, что у четырех популярных приложений, глобально представляющих технологию облачного харанения - OneDrive, Google Drive, Box и Dropbox - был самый высокий уровень заражения.
- Microsoft OneDrive- 55%; 
- Google Drive - 43%;
- Dropbox и Box - по 33%.
👉 Отсюда можно сделать выводы, что облачные приложения становятся всё более привлекательным механизмом распространения вредоносного ПО, а большинство провайдеров облачных хранилищ не обеспечивают защиту от вредоносных программ и угроз нулевого дня. Стоит ли им доверять? Выбор за вами. 
Результаты анализов: HA + VT + HA + VT + HA + VT
Новая статья от McAfee >> (добавлена 16 февраля)
URL: kdvm5fd6tn6jsbwh.onion.to (185.100.85.150:443 Румыния)---



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Shifr)
 Write-up, Topic of Support
 🎥 Video review by CyberSecurity GrujaRS >>

 Thanks: 
 BleepingComputer, Catalin Cimpanu
 Michael Gillespie
 MalwareHunterTeam
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton