среда, 21 ноября 2018 г.

IEncrypt

IEncrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компаний с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: IEncrypt. На файле написано: IEncrypt и IEncrypt.dll. Фальш-копирайт: Microgaming.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение по шаблону: .PCname_of_company

В представленном примере была атакована компания KRAUSS-MAFFEI (Германия) и использовано имя ПК. Таким образом расширение на файлах было даном по имени ПК: .kraussmfz

В другой компании и на других ПК используются другие расширения. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на первую половину ноября, новый экземпляр попался во второй половине ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа создается на каждый зашифрованный файл, использует название зашифрованного ПК компании и оригинальное название файла, прибавляя к нему .kraussmfz_readme.txt

Шаблон записки: original_filename.PCname_readme.txt

Пример записок для зашифрованных файлов: 
MyDocument.doc.kraussmfz_readme.txt
Penguins.jpg.kraussmfz_readme.txt

Содержание записки о выкупе:
Hello KRAUSS-MAFFEI,
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at SARAH.BARRICK@PROTONMAIL.COM (or) LINDA.HARTLEY@TUTANOTA.COM to get the ransom amount.
Please, use your company name as the email subject.
TAiL:72nJfoO=
KEY:AQlAABBmAAAApAAAbcvdhz***

Перевод записки на русский язык:
Привет KRAUSS-MAFFEI,
Ваша сеть была взломана и зашифрована.
В Интернете нет бесплатной программы для дешифрования.
Email нам на SARAH.BARRICK@PROTONMAIL.COM (or) LINDA.HARTLEY@TUTANOTA.COM чтобы получить сумму выкупа.
Используйте название своей компании в качестве темы email.
TAiL:72nJfoO=
KEY:AQlAABBmAAAApAAAbcvdhz***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Base64 в записке представляет собой BLOB-объект (CryptoAPI) с AES-256 ключом, зашифрованным RSA-512.


➤ Удаляет теневые копии файлов.
Пытается получить доступ к сетевым ресурсам. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IEncrypt.dll
_ReadMe_.txt.kraussmfz_readme
ARP.EXE
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sarah.barrick@protonmail.com, linda.hartley@tutanota.com
Отправка запросов:
1.56.168.192.in-addr.arpa
10.56.168.192.in-addr.arpa
22.0.0.224.in-addr.arpa
252.0.0.224.in-addr.arpa
255.56.168.192.in-addr.arpa
8.8.8.8.in-addr.arpa
igmp.mcast.net 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Предыстория. Ранний образец от 12 ноября 2018:
Пост в Твиттере >>
Страна пострадавшей компании: США
Email: mary.weston@protonmail.com, beryl.mclennan@tutanota.de
➤ Содержание ранней записки:
Hello [redacted],
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at mary.weston@protonmail.com (or) beryl.mclennan@tutanota.de to get the ransom amount.
Please, use your company name as the email subject.
TAIL:[redacted 12 alphanum]
KEY:[redacted 0x20C bytes (BLOB)]
➤ Шаблон расширения и записки такой же, как я описал выше.
Название компании упоминается в записке. Данный случай связан с компанией из США. 

Обновление от 26 ноября 2018:
Пост в Твиттере >>

Email: Shirley.Rourke@protonmail.com, Imran.Adil@tutanota.com

Обновление от 27 ноября 2018:
Пост в Твиттере >>
Страна пострадавшей компании: Канада
Email: MARY.SWANN@PROTONMAIL.COM, HENRY.PROWSE@TUTANOTA.COM

Обновление от 30 ноября 2018:
Пост в Твиттере >>
Email: florri.nord@protonmail.ch, jakie.nunes@tutanota.com



Обновление от 14 декабря 2018:
Пост в Твиттере >>
Расширение: .cmsnwned
Объект атаки: CMS Nextech
Записка о выкупе: original_filename.cmsnwned_readme
Email: mary.weston@protonmail.com, beryl.mclennan@tutanota.de
Результаты анализов: VT + AR + HA
➤ Содержание записки:
Hello CMS Nextech,
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at mary.weston@protonmail.com (or) beryl.mclennan@tutanota.de to get the ransom amount.
Please, use your company name as the email subject.
TAIL:O7Js9a/WpwY=
KEY:AQIAABBmAAAApAAA***KFDWrlTs=




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as IEncrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton