понедельник, 28 января 2019 г.

LockerGoga, Worker32

LockerGoga Ransomware

Worker32 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компьютеров предприятий и организаций с помощью AES-256 + RSA-1024 (хотя в записке написано RSA-4096), а затем требует написать на email вымогателей, чтобы узнать сумму выкупа, заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: worker32, но в записке не указано. На файле написано: Service Worker и worker32.

Обнаружение: 
DrWeb -> Trojan.Encoder.27551, Trojan.Encoder.27163
BitDefender -> Trojan.GenericKD.31675815, Trojan.Ransom.LockerGoga.A, Gen:Variant.Ransom.LockerGoga.4

© Генеалогия: Vurten, Everbe, GusCrypter + Generic Ransomware > LockerGoga (Worker32) > MegaCortex
Родство подтверждено сервисом Intezer Analyze >>

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Возможно, что распространяется из Румынии или Польши, т.к. первый образец был загружен на проверку из Румынии 24 января 2019, а в каждой записке один из контактов — польский. Потом появились сведения о пострадавших из Нидерландов, Франции. 

Записка с требованием выкупа называется: README-NOW.txt
 

Содержание записки о выкупе:
Greetings!
There was a significant flaw in the security system of your company.
You should be thankful that the flaw was exploited by serious people and not some rookies.
They would have damaged all of your data by mistake or for fun.
Your files are encrypted with the strongest military algorithms RSA4096 and AES-256.
Without our special decoder it is impossible to restore the data.
Attempts to restore your data with third party software as Photorec, RannohDecryptor etc.
will lead to irreversible destruction of your data.
To confirm our honest intentions.
Send us 2-3 different random files and you will get them decrypted.
It can be from different computers on your network to be sure that our decoder decrypts everything.
Sample files we unlock for free (files should not be related to any kind of backups).
We exclusively have decryption software for your situation
DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME the encrypted files.
DO NOT MOVE the encrypted files.
This may lead to the impossibility of recovery of the certain files.
To get information on the price of the decoder contact us at:
CottleAkela@protonmail.com;QyavauZehyco1994@o2.pl
The payment has to be made in Bitcoins.
The final price depends on how fast you contact us.
As soon as we receive the payment you will get the decryption tool and
instructions on how to improve your systems security

Перевод записки на русский язык:
Привет!
В системе безопасности вашей компании был существенный недостаток.
Вы должны быть благодарны, что недостаток был использован серьезными людьми, а не какими-то новичками.
Они бы испортили все ваши данные по ошибке или ради интереса.
Ваши файлы зашифрованы с самыми надежными военными алгоритмами RSA4096 и AES-256.
Без нашего специального декодера невозможно восстановить данные.
Попытки восстановить ваши данные с помощью сторонних программ, таких как Photorec, RannohDecryptor и т.д. приведет к необратимому уничтожению ваших данных.
Чтобы подтвердить наши честные намерения.
Отправьте нам 2-3 разных случайных файла, и вы получите их расшифрованными.
Это может быть с разных компьютеров в вашей сети, чтобы быть уверенным, что наш декодер расшифрует все.
Образцы файлов, которые мы разблокируем бесплатно (файлы не должны быть связаны с какими-либо резервными копиями).
У нас есть эксклюзивное программное обеспечение для вашей ситуации
НЕ ПЕРЕЗАГРУЖАЙТЕ ИЛИ НЕ ВЫКЛЮЧАЙТЕ - файлы могут быть повреждены.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ зашифрованные файлы.
НЕ ПЕРЕМЕЩАЙТЕ зашифрованные файлы.
Это может привести к невозможности восстановления определенных файлов.
Для получения информации о цене декодера свяжитесь с нами по:
CottleAkela@protonmail.com; QyavauZehyco1994@o2.pl
Оплата должна быть произведена в биткоинах.
Окончательная цена зависит от того, как быстро вы обратитесь к нам.
Как только мы получим платеж, вы получите инструмент для расшифровки и
инструкции о том, как улучшить безопасность ваших систем



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


 Текст записки о выкупе заимствован из Bitpaymer Ransomware. По сообщению Майкла Джиллеспи, на этом сходство с Bitpaymer заканчивается. Программный и криптографический код совсем другой. 

➤ UAC не обходит. Требуется разрешение на запуск. 

 Вредоносный файл был подписан действительным сертификатом на MIKL Limited (консалтинговая фирма, зарегистрированная в Великобритании 17 декабря 2014 года). Сертификат, выданный центром сертификации Comodo (приобретенный Francisco Partners и известный под новым брендом Sectigo) для подписи кода, уже аннулирован. Другие подписаны с использованием сертификатов, выданных на KITTY'S LTD и ALISA LTD Sectigo.
По сообщениям исследователей код шифровальщика плохо отлажен и не имеет защиты от обнаружения. Так в тесте BleepingComputer образец вымогателя запускался сам с аргументом -w, а также порождал новый процесс для каждого зашифрованного файла. Это вызвало очень медленный процесс шифрования.

➤ Сгенерированные ключи шифрования AES зашифрованы встроенным открытым ключом RSA и прикреплены в конце каждого зашифрованного файла. В последующих примерах используется маркер "GOGAXXXX" (здесь X - это жестко закодированное значение в двоичных файлах Ransomware, т.е. 1510, 1440, 1320) для хранения этой и другой дополнительной информации, такой как размер исходного файла.

➤ Если шифровальщик запускается с аргументом командной строки -w, то он нацелен на все типы файлов, чтобы причинить максимальный ущерб. 

 LockerGoga переименовывает файлы прежде, чем шифровать. Такое поведение также наблюдалось в MegaCortex Ransomware, что также говорит в пользу их связи. Другие шифровальщики сначала шифруют файлы. Возможно, это нужно для того, чтобы предотвратить расход ресурсов и повторное шифрование одних и тех же файлов. 

Список файловых расширений, прописанных в коде, которые наверняка будут зашифрованы:
.cs, .db, .doc, .docb, .docx, .dot, .dotb, .dotx, .js, .pdf, .posx, .pot, .potx, .pps, .ppsx, .ppt, .pptx, .py, .sldx, .sql, .ts, .wkb, .wbk, .xlm, .xls, .xlsb, .xlsx, .xlt, .xltx, .xlw, .xml (31 расширение документов).
Это документы MS Office и PDF, но при максимальном ущербе пострадают все текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы приложений и системы, и многое другое.

Файлы, связанные с этим Ransomware:
README-NOW.txt
worker32.exe
svch0st.6287.exe 
svch0st.11077.exe
svch0st.30099.exe
<random>.exe - случайное название, например, tgytutrc8.exe
rijndael_simd.cpp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp

Названия проектов в разных версиях:
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp
E:\crypto-locker\cryptopp\src\rijndael_simd.cpp
E:\goga\cryptopp\src\rijndael_simd.cpp

Мьютекс:
MX-tgytutrc
Добавление мьютекса позволяет гарантировать, что одновременно работает только одна из копий шифровальщика.

Пострадавшие компании:
Altran Technologies (сообщение) - 30 января 2019
Norsk Hydro ASA (webtv, webtv) - 19-20 марта 2019
U.K.'s Police Federation (сообщение) - 21 марта 2019
Hexion and Momentive (сообщениесообщение) - 22-23 марта 2019

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: AbbsChevis@protonmail.com, IjuqodiSunovib98@o2.pl
Email-2: CottleAkela@protonmail.com, QyavauZehyco1994@o2.pl
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>  JOE>> JOE>>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ДОПОЛНЕНИЕ ПО НОВЫМ ВАРИАНТАМ ===

Для шифрования LockerGoga использует не Windows Crypto API CryptEncrypt, а собственную реализацию (CryptoPP + Boost).

LockerGoga создает новый процесс из текущего исполняемого файла с аргументом "-m" (как "главный процесс"), используется библиотека Boost.Process для управления процессами. Шифрование файлов выполняется в нескольких процессах. Главный процесс собирает все файлы и распределяет задачи шифрования своим дочерним (подчиненным) процессам. 

Дочерний процесс декодирует путь к файлу из разделяемой памяти, генерирует пару ключ / IV с использованием RNG, шифрует файл с использованием AES / Rijndael, шифрует ключ / пару с помощью открытого ключа и добавляет зашифрованный ключ / IV к зашифрованному файлу.

Преимущество этой архитектуры в том, что шифрование выполняется намного быстрее, т.к. используются все ядра процессора ПК. 

Обычно шифрование всех файлов может занимать часы. Если вымогатель обнаружен достаточно быстро, некоторые документы могут быть спасены. Но в случае с LockerGoga это не поможет, поскольку шифрование выполняется очень эффективно. Ранее мы не видели других вымогателей, использующих распределенную архитектуру шифрования. 

Пока файлы шифруются, инициируется выход пользователя из системы.

Теперь пользователи не смогут войти в систему, т.к. пароль пользователя и администратора перезаписывает следующим паролем HuHuHUHoHo283283@dJD:

LockerGoga отличается от обычных Ransomware следующими пунктами:
- Подписывается чужим, но действующим на момент атаки сертификатом
- Использует многопроцессную архитектуру для более быстрого шифрования файлов
- Блокирует учетную запись пользователя и администратора в дополнение к шифрованию файла
- Постоянно улучшается (существует несколько версий одного и того же варианта этого Ransomware).




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 февраля 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: READ-ME-NOW.txt 
Результаты анализов: VT + HA + VMR /  VT + HA + VMR

Обновление от 2 марта 2019:
Топик на форуме >>
Расширение: .locked
Email: JinMaglaya@protonmail.com, YpilokOmoadae1994@o2.pl
Записка: README_LOCKED.txt
➤ Содержание записки:
Greetings!
There was a significant flaw in the security system of your company.
You should be thankful that the flaw was exploited by serious people and not some rookies.
They would have damaged all of your data by mistake or for fun.
Your files are encrypted with the strongest military algorithms RSA4096 and AES-256.
Without our special decoder it is impossible to restore the data. 
Attempts to restore your data with third party software as Photorec, RannohDecryptor etc.
will lead to irreversible destruction of your data.
To confirm our honest intentions.
Send us 2-3 different random files and you will get them decrypted.
It can be from different computers on your network to be sure that our decoder decrypts everything.
Sample files we unlock for free (files should not be related to any kind of backups).
We exclusively have decryption software for your situation
DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME the encrypted files.
DO NOT MOVE the encrypted files.
This may lead to the impossibility of recovery of the certain files.
The payment has to be made in Bitcoins.
The final price depends on how fast you contact us.
As soon as we receive the payment you will get the decryption tool and
instructions on how to improve your systems security
To get information on the price of the decoder contact us at:
JinMaglaya@protonmail.com
YpilokOmoadae1994@o2.pl

Обновление от 8 марта 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: README_LOCKED.txt
Email: SuzuMcpherson@protonmail.com, Asuxid0ruraep1999@o2.pl
Результаты анализов: VT

Обновление от 19 марта 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .locked
Записка: README_LOCKED.txt
Email-1: DharmaParrack@protonmail.com, wyattpettigrew8922555@mail.com
Email-2: MayarChenot@protonmail.com, QicifomuEjijika@o2.pl
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.27551
BitDefender -> Gen:Variant.Ransom.LockerGoga.4
Результаты анализов: VT + AR + JSB + VT + HA


Обновление от 22 марта 2019:
Пост в Твиттере >>
Сертификат ALISA LTD отозван. 
Email: MayarChenot@protonmail.com
QicifomuEjijika@o2.pl
Результаты анализов: VT + HA + VMR


Обновление от 23 марта 2019:
➤ Известные email-адреса: 
AbbsChevis@protonmail.com
AperywsQaroci@o2.pl
AsuxidOruraep1999@o2.pl
CottleAkela@protonmail.com
CouwetIzotofo@o2.pl
DharmaParrack@protonmail.com
DutyuEnugev89@o2.pl
IjuqodiSunovib98@o2.pl
MayarChenot@protonmail.com
PhanthavongsaNeveyah@protonmail.com
QicifomuEjijika@o2.pl
QyavauZehyco1994@o2.pl
RezawyreEdipi1998@o2.pl
RomanchukEyla@protonmail.com
SayanWalsworth96@protonmail.com
SchreiberEleonora@protonmail.com
SuzuMcpherson@protonmail.com
wyattpettigrew8922555@mail.com

Обновление от 22-23 марта:
Результаты анализов: VT + HA / VT + HA + VMR / VT + HA

Обновление от 22 апреля 2019:
Записка: leer.txt
Файлы exe: 7z.exe, a la papa.exe
➤ Содержание записки (на испанском языке):
Saludos!
Hubo una falla importante en el sistema de seguridad de su empresa.
Usted debe estar agradecido de que la falla fue explotado por gente seria y no algunos novatos.
Se habrнan daсado todos sus datos por error o por diversiуn.
Sus archivos se cifraron con los mбs fuertes algoritmos militares AES-256 en la capteta de %appdata%.
Sin nuestro decodificador especial que es imposible recuperar los datos.
Los intentos de restaurar los datos con el software de terceros como Photorec, RannohDecryptor etc..
darб lugar a la destrucciуn irreversible de sus datos.
NO RESET o APAGADO – archivos pueden estar daсados.
No cambie el nombre de los archivos cifrados.
NO mover los archivos cifrados.
Esto puede conducir a la imposibilidad de recuperaciуn de los archivos de ciertos.
Para obtener informaciуn sobre el precio del decodificador en contacto con nosotros en:
*****
El pago tiene que ser hecho en bitcoins.
El precio final depende de la rapidez con que se ponga en contacto con nosotros.
Tan pronto como recibamos el pago obtendrб la herramienta de descifrado y
instrucciones sobre cуmo mejorar la seguridad de los sistemas
---
Результаты анализов: VT + AR




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet + Tweet
 ID Ransomware (ID as LockerGoga)
 Write-up, Topic of Support
 * 
Added later:
Write-up by BC (added January 30, 2019)
Write-up by ForcePoint (added March 23, 2019)
Report abuse.io (added March 23, 2019)
Joe Security's Blog (added March 23, 2019)
F-Secure Blog (added March 27, 2019)
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author), Thyrex
 Ionut Ilascu, Robert Neumann, Joe Security, Lasha Khasaia
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

1 комментарий:

  1. Nice Info. It is evident from the post that Lockergoga Ransomware is harmful as it encrypts important data & makes it inaccessible for users. Preventing its infection in the first place is the best thing to do.

    ОтветитьУдалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton