ONI Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью XTEA, а затем требует прислать на email ID, чтобы узнать как заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: ONI. На файле написано: что попало.
Обнаружения:
DrWeb -> Trojan.Encoder.25904
BitDefender -> Generic.Ransom.Oni.C799D4F1
Avira (no cloud) -> TR/DelFile.hanud
ESET-NOD32 -> A Variant Of Win32/Filecoder.NRV
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_INO.THHBGAH
© Генеалогия: Aurora Ransomware, AnimusLocker >> ONI
Генеалогия подтверждена Intezer Analyze >>
К зашифрованным файлам добавляется расширение: .ONI
Оригинальное имя файла вместе с расширением переименовывается в hex.
Примеры зашифрованных файлов:
312E6A7055.ONI
322E6A6858.ONI
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: RESTORE_ONI_FILES.txt
Два варианта записки с разным ID (с реального ПК и с виртуалки)
Oops! Your files have been encrypted.
Your files are no longer accessible.
You might have been looking for any way to recover your files.
Don't waste your time, you can't recovery PC without our
decryption service.
Our email: enco@cock.email
Your ID (send it to my mail):
WVpHLsjYkt***Bk+nneEvjw=
Attention!
* Only enco@cock.email can decrypt your files
* Trust no one enco@cock.email
* Do not attempt to uninstall the program or run anti-virus tools
* Attempts to self-encrypt files will result in loss of your data
* Decoders of other users are not compatible with your data because each user has a unique encryption key
Перевод записки на русский язык:
Упс! Ваши файлы были зашифрованы.
Ваши файлы больше не доступны.
Возможно, вы ищете какой-то способ восстановить ваши файлы.
Не тратьте свое время, вы не можете восстановить ПК без нашей службы дешифровки.
Наш email: enco@cock.email
Ваш ID (отправьте его на мою почту):
WVpHLsjYkt***Bk+nneEvjw=
Внимание!
* Только enco@cock.email может расшифровать ваши файлы
* Не доверяйте никому, кроме enco@cock.emai1
* Не пытайтесь удалить программу или запустить антивирусные инструменты
* Попытки зашифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, т.к. каждый пользователь имеет уникальный ключ шифрования
---
ID содержит 684 знака.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ UAC не обходит. Требуется разрешение на запуск.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, а затем выключает компьютер, используя команды:
cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
В исходном коде это выглядит так:
/c cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP & wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP & cmd.exe /c wmic SHADOWCOPY DELETE & WMIC.exe wmic SHADOWCOPY DELETE & cmd.exe /c vssadmin Delete Shadows /All /Quiet & vssadmin.exe vssadmin Delete Shadows /All /Quiet & cmd.exe /c bcdedit /set {default} recoveryenabled No & bcdedit.exe bcdedit /set {default} recoveryenabled No & cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
При шифровании пропускаются файлы, которые находятся в следующих директориях:
$recycle.bin
$windows.~bt
Boot
drivers
Program Files
program files (x86)
ProgramData
Windows
Файлы, связанные с этим Ransomware:
RESTORE_ONI_FILES.txt
ose.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
enco@cock.email
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Aurora Ransomware - май 2018
Animus Locker Ransomware - с расширением .animus - июнь 2018
Animus Locker Ransomware с расширением .desu - июль 2018
ONI Ransomware - август 2018
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Скачайте дешифровщик по этой ссылке >> *** Это общий дешифровщик для Aurora, AnimusLocker, ONI.
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID under Aurora) Write-up, Topic of Support 🎥 Video review >>
- Видеообзор от CyberSecurity GrujaRS
Thanks: MalwareHunterTeam, Michael Gillespie Andrew Ivanov, GrujaRS * *
© Amigo-A (Andrew Ivanov): All blog articles.
