вторник, 24 апреля 2018 г.

CryptConsole-2018

CryptConsole-2018 Ransomware

sequre xzet xzer zizz helps szems desparo zeman xser redbul heineken berr avira starbax

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.14 BTC, чтобы вернуть файлы. Оригинальное название: не указано. Написан на языке C# для платформы Microsoft .NET Framework. 
👉 По данным исследователей, это та же CryptConsole 2.0, которая шифрует файлы с добавлением приставки, а не расширения. Файлы можно дешифровать! Ссылка внизу статьи - см. зелёный замок. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptConsole 2.0 > CryptConsole-2018
Изображение не принадлежит шифровальщику (это логотип статьи)

К зашифрованным файлам добавляется приставка, состоящая из email вымогателей и переведённого в hex имени файла. Т.е. имя файла переименовывается в hex и ставится после почты вымогателей. В результате чего получается нечто, состоящие из email вымогателей и набора букв и цифр.

Шаблон итогового зашифрованного файла можно записать как: 
sequre@tuta.io_[hex] или sequre@tuta.io_[random_0-9A-Z]
или [ransom_email]_[0-9A-Z], как для всего семейства CryptConsole

Пример зашифрованного файла: 
sequre@tuta.io_7654321757A6540747574612E696F5K123***

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На форума оказания помощи очень много пострадавших из России, Украины, других стран бывшего СССР. 

Записка с требованием выкупа называется: HOW DECRIPT FILES.hta
CryptConsole-Sequre Ransomware note

Содержание записки о выкупе:
Your files are encrypted!
Your personal ID
NQFWTAPP72VXJI2TKUFGN2107016WN0KDU9UYCUI
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
How to get the automatic decryptor:
1) 0.14 BTC
Buy BTC on one of these sites:
1. https://localbitcoins.corn
2. https://www.coinbase.com
3. https://xchangetcc

bitcoin adress for pay:
14vo2jGKGemxwWKySqPKJ2kTh4MoboqAbG
Send 0.14 BTC

2) Send screenshot of payment to sequre@tuta.io . In the letter include your personal ID(look at the beginning of this document).
3) You will receive automatic decryptor and all files will be restored
* To be sure in getting the decryption, you can send one fie(iess than 10MB) to sequre@tuta.io In the letter ndude your personal ID(look at the beginning of this document). But ths action wi ncrease the cost of the automatic decryptor on 0.01 btc...

Attention!
• No Payment = No decryption
• You realy get the decryptor after payment
• Do not attempt to remove the program or run the anti-vrus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible wth your data, because each user's unique encryption key
• If you can't send a message, try to write with the other e-mail address, for example register mail.india.com

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный идентификатор
NQFWTAPP72VXJI2TKUFGN2107016WN0KDU9UYCUI
Обнаружена серьезная уязвимость в вашей сетевой безопасности.
Данные не украдены и никто не сможет это сделать, пока они зашифрованы.
Для вас у нас есть автоматический декриптор и инструкции по исправлению.
Как получить автоматический декриптор:
1) 0,14 BTC
Купите BTC на одном из этих сайтов:
1. https://localbitcoins.corn
2. https://www.coinbase.com
3. https://xchangetcc

биткоин-адрес для оплаты:
14vo2jGKGemxwWKySqPKJ2kTh4MoboqAbG
Пришли 0.14 BTC

2) Отправьте скриншот платежа на sequre@tuta.io. В письме укажите свой личный ID (смотрите начало этого документа).
3) Вы получите автоматический декриптор и все файлы будут восстановлены
* Чтобы убедиться в расшифровке, вы можете отправить один файл (до 10 МБ) на sequre@tuta.io. В письме укажите свой личный ID (смотрите начало этого документа). Бездействие будет увеличивать стоимость автоматического декриптора на 0,01 btc ...

Внимание!
• Нет оплаты = Нет расшифровки
• Вы действительно получите декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самодешифрования файлов приведут к потере ваших данных
• Декодеры других пользователей несовместимы с вашими данными, поскольку каждый пользовательский ключ шифрования уникален
• Если вы не можете отправить сообщение, попробуйте написать с другого email-адреса, для примера, регистрируйтесь на mail.india.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

 Открытый Мьютекс: ShimCacheMutex

➤ Примечательно, что этот образец расшифровывает зашифрованный исходный код Ransomware, компилирует его в память и вызывает ENTRYPOINT скомпилированной сборки. Это делается для предотвращения обнаружения дроппера антивирусными программами. 
Подробнее в статье Лоуренса Абрамса

➤ Шифрование может перезапускаться и срабатывать несколько раз с разными ключами. Нужно просмотреть и собрать все записки README.hta, т.к. там могут быть разные ID жертвы. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
smsss.exe
HOW DECRIPT FILES.hta
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sequre@tuta.io
BTC: 14vo2jGKGemxwWKySqPKJ2kTh4MoboqAbG
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >> 

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


CryptConsole 1.0 Ransomware - январь 2017
CryptConsole 2.0 Ransomware - февраль - март 2017 - по апрель 2018
CryptConsole-2018 - новые версии с апреля 2018 и далее



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 апреля 2018:
CryptConsole-Xzet Ransomware
К файлам спереди добавляется xzet@tutanota.com_
🎥 Видеообзор от GrujaRS >>
Пост в Твиттере >>
Имя файла переименовывается в hex и ставится после почты вымогателей.
Пример зашифрованного файла: xzet@tutanota.com_736D7373732E657865***
Записка о выкупе: HOW DECRIPT FILES.hta
Email: xzet@tutanota.com
BTC: 171WytZSEVCCW1QcK1SWaGq2kZWbhy3dF2
Сумма выкупа: 0.112 BTC
Файл: smsss.exe
Результаты анализов: VT + VB + HA
CryptConsole-Xzet note

Обновление от 30 апреля 2018:
CryptConsole-Xzer Ransomware
К файлам спереди добавляется .xzer@tutanota.com_
Записка о выкупе: HOW DECRIPT FILES.hta
Email: xzer@tutanota.com
BTC: 12hvCB5iC534V9oBgQTpXF5VmzguaMAzCM
Сумма выкупа: 1000 USD в BTC
Результаты анализов: VT
Содержание записки о выкупе:
Your files are encrypted!
Your personal ID
5MQ8LNVQBIIO7DODXK85SW5C1SE2QH1QFO525YEO
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
How to get the automatic decryptor:
1) 1000 USD
  Buy BTC on one of these sites:
https://localbitcoins.com
https://www.coinbase.com
https://xchange.cc
  bitcoin adress for pay:
  12hvCB5iC534V9oBgQTpXF5VmzguaMAzCM
  Send 1000 USD
2) Send screenshot of payment toxzer@tutanota.com. In the letter include your personal ID(look at the beginning of this document).
3) You will receive automatic decryptor and all files will be restored
* To be sure in getting the decryption, you can send one file(less than 10MB) to xzer@tutanota.com In the letter include your personal ID(look at the beginning of this document). But this action will increase the cost of the automatic decryptor on 100 USD...
Attention!
No Payment = No decryption
You really get the decryptor after payment
Do not attempt to remove the program or run the anti-virus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
If you can't send a message, try to write with the other e-mail address, for example register mail.india.com

Обновление от 18 мая 2018:
Шаблон зашифрованного файла: 
zizz@tutanota.de_[hex] или zizz@tutanota.de_[random_0-9A-Z]
или [ransom_email]_[0-9A-Z], как для всего семейства CryptConsole
Записка: HOW DECRIPT FILES.hta
Email: zizz@tutanota.de
Результаты анализов: VT
Топик на форуме >>

Обновление от 23 мая 2018:
Шаблон зашифрованного файла: 
helps@tutanota.com_[hex] или helps@tutanota.com_[random_0-9A-Z]
или [ransom_email]_[0-9A-Z], как для всего семейства CryptConsole
Записка: README.hta
Email: helps@tutanota.com
BTC: 1goXR1Msj8DbDVANesFo7BehZ3GUszvUn
Сумма выкупа: 1000$
Файлы: smsssA.exe, DontSleep.exe
Результаты анализов: VT
Обновление от 24 мая 2018:
Шаблон зашифрованного файла: 
szems@tutanota.com_[hex] или szems@tutanota.com_[random_0-9A-Z]
или [ransom_email]_[0-9A-Z], как для всего семейства CryptConsole
Сумма выкупа: 1000$
Записка: README.hta
Email: szems@tutanota.com
➤ Шифрование может перезапускаться и срабатывать несколько раз с разными ключами. Нужно просмотреть и собрать все записки README.hta, т.к. там могут быть разные ID жертвы. 
Результаты анализов: VT
Топик на форуме >>

Обновление от 25 мая 2018:
Пост в Твиттере >>
Шаблон зашифрованного файла: 
desparo@tuta.io_[hex] или desparo@tuta.io_[random_0-9A-Z]
или [ransom_email]_[0-9A-Z], как для всего семейства CryptConsole
Email: desparo@tuta.io
BTC: 1FqxHMN54b8mU2tnBiNfdBCWRZ6HvLV7zx
Файл: systemA.exe
Результаты анализов: VT

Обновление от 29 мая 2019: 
Шаблон зашифрованного файла: zeman@tutanota.de_[hex] или zeman@tutanota.de_[random_0-9A-Z]
или [ransom_email]_[0-9A-Z], как для всего семейства CryptConsole
Email: zeman@tutanota.de
BTC: 12akRNsz1fkwtXPgRWL4ThSp5PSsLpxmWd
Сумма выкупа: 1000$
Записка: HOW DECRIPT FILES.hta
Файлы: smsssA.exe, DontSleep.exe

Обновление от 5 июня 2018:
Пост в Твиттере >>
Шаблон зашифрованного файла: xser@tutanota.com_[hex]
Email: xser@tutanota.com
Сумма выкупа: 50$
Записка: Readme.txt
Топик на форуме >>

Обновление от 6 июня 2018:
Пост в Твиттере >>
Шаблон зашифрованного файла: redbul@tutanota.com_[hex]
Пример зашифрованного файла: redbul@tutanota.com_5070744c522e636162
Email: redbul@tutanota.com
Сумма выкупа: 50$
Записка: README.txt или Readme.txt или readme.txt
На файле написано: GitHub Desktop
Результаты анализов: HA + VT + VBIA + VMRay


Обновление от 7 июня 2018:
Пост в Твиттере >>
Шаблон зашифрованного файла: heineken@tuta.io_[hex]
Email: heineken@tuta.io
Записка: README.txt 
Топик на форуме >>

Обновление от 19-20 июня 2018:
Условное название версии CryptConsole-3 (в IDR)
Шаблон зашифрованного файла: [hex] - без указания email-адреса вымогателей
Пример зашифрованного файла: D09AD0B0D180D182D0B020D0BFD180D0B5D0B4D0BFD180D0B8D18F
Записка: README.txt
Email-1: avira@keemail.me
Email-2: starbax@tutanota.de
Файл: Microsoft Updater.exe
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Для зашифрованных файлов есть декриптер
Скачать CryptConsole Decrypter >>>
В первую очередь прочтите инструкцию и рекомендации.
Самое главное — не сделать себе хуже, чем уже есть.
Если не получается, обращайтесь к Майклу Джиллеспи >> 
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptConsole)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Lawrence Abrams
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton