суббота, 28 апреля 2018 г.

GandCrab-3

GandCrab-3 Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларусиКазахстана, Украины >>>

Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для ключа, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GandCrab Ransomware v3. На файле написано: toalatspring.exe. Есть сведения, что вымогатели действуют из Румынии. Среди распространителей шифровальщика есть знающие русский язык. Для вас подготовлен видеообзор

© Генеалогия: GandCrab > GandCrab-2 > GandCrab-3 GandCrab-4

К зашифрованным файлам добавляется расширение .CRAB 
Изображение не принадлежит шифровальщику (это логотип статьи)


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на конец апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: CRAB-DECRYPT.txt

Содержание записки о выкупе:
---= GANDCRAB V3  =--- 
Attention! 
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB 
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files. 
The server with your key is in a closed network TOR. You can get there by the following ways: 
0. Download Tor browser - https://www.torproject.org/ 
1. Install Tor browser 
2. Open Tor Browser 
3. Open link in TOR browser:
4. Follow the instructions on this page 
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
    0) Enter "username": 21b1a2d1729f0695
    1) Enter "password": your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot 
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf 
CAUGHTION! 
Do not try to modify files or use your own private key. This will result in the loss of your data forever! 

*| CAUGHTION! - видимо они хотели написать CAUTION! (ОСТОРОЖНО!)


Перевод записки на русский язык:
Внимание!
Все ваши файлы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .CRAB
Единственный способ восстановления файлов - купить закрытый ключ. Это на нашем сервере, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытом сетевом TOR. Вы можете добраться туда следующими способами:
0. Загрузите Tor-браузер - https://www.torproject.org/
1. Установите Tor-браузер
2. Откройте Tor-браузер
3. Откройте ссылку в Tor-браузере: ***
4. Следуйте инструкциям на этой странице
На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно.
Альтернативный способ связаться с нами - использовать Jabber messanger. Узнайте, как:
0. Загрузите Psi-Plus Jabber Client: https://psi-im.org/download/
1. Зарегистрируйте новую учетную запись: http://sj.ms/register.php
    0) Введите "имя пользователя": 21b1a2d1729f0695
    1) Введите "пароль": ваш пароль
2. Добавьте новую учетную запись в Psi
3. Добавьте и напишите Jabber ID: ransomware@sj.ms любое сообщение
4. Следите инструкциям
ВНИМАНИЕ!
Это бот! Это полностью автоматизированная искусственная система без человеческого контроля!
Чтобы связаться с нами, используйте TOR-ссылки. Мы можем предоставить вам все необходимые доказательства доступности расшифровки в любое время. Мы открыты для разговоров.
Вы можете прочитать инструкции по установке и использованию jabber здесь http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
ОСТОРОЖНО!
Не пытайтесь модифицировать файлы или использовать свой закрытый ключ. Это приведет к потере ваших данных навсегда!
Скриншот Tor-сайта вымогателей


Эта версия теперь делает надпись на Рабочем столе, заменяя обои на свои с надписью, чей текст обращён к пользователю ПК. 

Содержание текста: 
ENCRYPTED BY GANDCRAB 3
DEAR [user_name],
YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DECRYPTOR
For further steps read CRAB-DECRYPT.txt that is located in every encrypted folder.


Комбинированный скриншот: записка, сайт, зашифрованные файлы



Технические детали

GandCrab v3.0 активно распространяется помощью набора эксплойтов Magnitude,  email-спама и вредоносных вложенийМожет также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, других эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Следует отметить, что GandCrab-3 Ransomware существенно отличается от 2-й версии. Сбрасываемый файл содержит закодированный двоичный файл и распаковывает его для создания итогового исполняемого EXE-файла в памяти. Этот исполняемый файл создает в памяти вредоносный DLL-файл, который выполняет фактическую функцию Ransomware и внедряет код в этот процесс после выполнения обычного процесса svchost.exe. Целевой процесс svchost.exe жестко закодирован в файле. Существующий бестелесный GandCrab сравнивается с тем, который вводится в процесс explorer.exe. DLL-файл, внедренный в процесс, похож на поток кода и метод работы с уже известным DLL-файлом. 

➤ Визуальные отличия от предыдущих версий:
- изменение текста записки о выкупе;
- использование сайта carder.bit в качестве сервера;
- использование Psi-Plus Jabber для связи; 
- добавление изображения с текстом на Рабочий стол;
- перезагрузка после шифрования и установки обоев;
- добавление своего ключа в Автозагрузку Windows.*

*| Для пользователей Windows 7 есть проблема с этим методом, поскольку ключ в Автозагрузке заставляет браузер открывать Tor-сайт и отображает фон, но не отображает Рабочий стол.

➤ Ресурсы шифровальщика забиты текстами на разных экзотических языках. Всё это кажется бессмысленным набором текста. На самом же деле этот приём уже известен исследователем и его участие в процессе шифрования понятно. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .acl, .acrodata, .avi, .bak, .blf, .bmp, .conf, .contact, .crl, .csv, .dat, .db, .dic, .doc, .docx, .dotm, .dotx, .flv, .gif, .hve, .ini, .jpeg, .jpg, .js, .json, .laccdb, .lnk, .library-ms, .log, .log1, .m4a, .mdb, .mdw, .mkv, .mp3, .mp4, .mpt, .odp, .ods, .odt, .one, .onetoc2, .ots, .pdf, .pem, .png, .pps, .ppt, .pptx, .pst, .rdf, .rtf, .sdi, .search-ms, .sol, .sql, .sqlite, .srs, .swf, .txt, .url, .wav, .wim, wmv, .wtv, .xls, .xlsx, .xml, .xsl (70 или больше расширений), файлы без расширений, файл bootmgr, файлы, находящиеся в директориях System Volume Information. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CRAB-DECRYPT.txt
jin.exe (nslookup.exe)
kiqdsc.exe
kssbel.exe
apphelp.dll
<random>.exe - случайное название

Открытые мьютексы: 
RasPbFile
ShimCacheMutex 

Расположения:
\Desktop\ ->
\User_folders\ ->
%APPDATA%\Microsoft\kiqdsc.exe
%APPDATA%\Microsoft\kssbel.exe
%WINDIR%\system32\apphelp.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: gandcrab2pie73et.onion
Psi-Plus Jabber Client: ransomware@sj.ms

ns2.wowservers.ru (94.249.60.127 Иордания)
ns1.wowservers.ru (94.249.60.127 Иордания)
ransomware.bit
carder.bit (66.171.248.178:80 США)
xxxx://ipv4bot.whatismyipaddress.com (66.171.248.178 TTL:299 США)
94.249.60.127:53 Иордания
xxxx://financialbroker.gq/***
xxxx://rated.dadsrnp.xyz/***
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA>>  HA>>
𝚺  VirusTotal анализ >>  VT>>  VT>>
ᕒ  ANY.RUN анализ >> + AR RigEK>>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


GandCrab-1 Ransomware
GandCrab-2 Ransomware
GandCrab-3 Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 10 мая 2018:
Пост в Твиттере >>
Расширение: .CRAB
Записка: CRAB-DECRYPT.txt
Файл: resume.js
Результаты анализов: HA + VT
Скриншоты записок и сайтов >>



Обновление от 11 мая 2018:
Списки URL-адресов сайтов-распространителей >>

Обновление от 14 мая 2018:
Пост в Твиттере >>
Расширение: .CRAB
Файлы: <random>.exe
\AppData\Local\Temp\\pidor.bmp
Список URL: 
xxxxs://pastebin.com/XvxRyj0x
xxxxs://pastebin.com/Xyq634RE

Обновление от 29 мая 2018:
Расширение: .CRAB
Файлы: <random>.exe (примеры: rt0fv0ph.exe, nhkaro.exe)
\AppData\Local\Temp\\pidor.bmp - видимо изображение, встающее на обои

Использует вредоносные DOC-файлы с макросами для инфицирования при открытии. 
Пример такого файла: dhl_invoice_18553.doc  Документ на данный момент на корейском. 
Ориентация: Windows7_64_sp1 MSOffice 2016 и старше
URL: xxxx://carder.bit/ (95.153.32.6)
xxxx://my-dhl-invoice.top/dhl_invoice_18553.doc***
Результаты анализов: HA + VT + VMRay + ANY.RUN
Дополнительно:  v.3.0.1 - VMRay





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (~ID as GandCrab3)
 Write-up, Post of Topic, Topic of Support
 🎥 Video review >>
Added later:
Write-up on BleepingComputer (on May 4, 2018)
Write-up on VMRay (on June 5, 2018)
*
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 (victim in the topics of support)
 Marcelo Rivero, Andrew Ivanov
 CyberSecurity GrujaRS
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton