четверг, 16 мая 2019 г.

Buran

Buran Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BURAN (Buran). На файле написано: ctfmon.exe

Обнаружения: 
DrWeb -> Trojan.Encoder.28441
BitDefender -> Trojan.GenericKD.41353773
Symantec -> ML.Attribute.HighConfidence
Malwarebytes -> Ransom.Jamper.brn

© Генеалогия: Vega (VegaLocker) > Jamper (Jumper) > BURAN (Buran)

Изображение многоразового космического корабля "Буран" (СССР)

К зашифрованным файлам добавляется расширение по шаблону "8-4-4-4-12": .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Примеры расширений:
.62E93854-821C-3F0E-7556-D0F4F2E6E1C2
.3674AD9F-5958-4F2A-5CB7-F0F56A8885EA
.9F9CF853-ED0D-F661-54F1-3761A306C6D1

Примеры зашифрованных файлов: 
Document.doc.62E93854-821C-3F0E-7556-D0F4F2E6E1C2
CO.pdf.3674AD9F-5958-4F2A-5CB7-F0F56A8885EA
peaceable.jpg.9F9CF853-ED0D-F661-54F1-3761A306C6D1

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!! YOUR FILES ARE ENCRYPTED !!!.TXT

Содержание записки о выкупе:
Hello. Your files are encrypted. Do not worry, we can help you. You can contact us by email. 
recovery_server@protonmail.com 
recovery1server@cock.li 
Send us 3-5 any encrypted files no larger than 10 MB. And also send us your personal ID: 
62E93854-821C-3F0E-7556-D0F4F2E6E1C2
>>> Attention !!! 
Send a message to both mailboxes, since the letter cannot get into one of the mailboxes.

Перевод записки на русский язык:
Привет. Ваши файлы зашифрованы. Не волнуйтесь, мы можем вам помочь. Вы можете написать нам на email.
recovery_server@protonmail.com
recovery1server@cock.li
Отправьте нам 3-5 любых зашифрованных файлов размером не более 10 МБ. А также отправьте нам свой личный ID:
62E93854-821C-3F0E-7556-D0F4F2E6E1C2
>>> Внимание !!!
Отправьте сообщение на оба почтовых ящика, т.к. письмо не может попасть в один из почтовых ящиков.



Технические детали

Распространяется как Ransomware для продажи на подпольных форумах.
Текст на форумах распространитель пишет на русском языке. 

Сайты-распространители: 
xxxxs://ifud.ws/ - с 12 мая 2019
xxxxs://verified.sc/ - в тоже время
xxxxs://exploitinqx4sjro.onion/ - в тоже время
xxxxs://forum.zloy.bz/ - с 14 мая 2019
xxxx://darkmarket.la/ - с 14 мая 2019
 
 

Мы не смогли зайти на два сайта. Один из них хочет 50$ за регистрацию, а другой или настроен неправильно, или не хочет, чтобы я на него зашел. Разработчик сделал защиту от запуска на компьютерах пользователей из стран СНГ. Похвально, что ещё кто-то помнит про это СНГ, хотя оно давно лишь фикция. 

Текст на ifud.ws:
Buran Ransomware - гарантированная стабильная работа,гибкий функционал и постоянная онлайн-поддержка
Тема в разделе "Покупка/Продажа | Обмен", создана пользователем buransupport, 14 май 2019.
Buran - стабильный оффлайн-криптолокер, с гибким функционалом и саппортом 24/7.
Функционал:
Надежный криптоалгоритм с использованием глобального и сессионного ключей + случайные файловые ключи;
Сканирование всех локальных дисков и всех доступных сетевых путей;
Высокая скорость: для каждого диска и сетевого пути работает отдельный поток;
Пропуск системных каталогов Windows и каталогов браузеров;
Генерация дешифровщика на основе зашифрованного файла;
Корректная работа на всех ОС от Windows XP, Server 2003 до самых новых;
Локер не имеет зависимостей, не использует сторонние библиотеки, только математика и винапи; Завершение некоторых процессов для освобождения открытых файлов (опционально, обговаривается);
Возможность шифрования файлов без смены расширений (опционально);
Удаление точек восстановления + чистка логов на выделенном сервере (опционально);
Стандартные опции: отстук, автозагрузка, самоудаление (опционально);
Установлена защита от запуска в СНГ сегменте.
Условия:
Обговариваются индивидуально для каждого адверта в зависимости от объёмов и материала.
Начните зарабатывать с нами!
Набор в партнерскую программу продолжается.
Индивидуальные условия и стабильный доход.
Контакты для связи:
buransupport@exploit.im
buransupport@xmpp.jp

Текст на darkmarket.la:
Buran - стабильный оффлайн-криптолокер, с гибким функционалом и саппортом 24/7.
Функционал:
Надежный криптоалгоритм с использованием глобального и сессионного ключей + случайные файловые ключи;
Сканирование всех локальных дисков и всех доступных сетевых путей;
Высокая скорость: для каждого диска и сетевого пути работает отдельный поток;
Пропуск системных каталогов Windows и каталогов браузеров;
Генерация дешифровщика на основе зашифрованного файла;
Корректная работа на всех ОС от Windows XP, Server 2003 до самых новых;
Локер не имеет зависимостей, не использует сторонние библиотеки, только математика и винапи;
Завершение некоторых процессов для освобождения открытых файлов (опционально, обговаривается);
Возможность шифрования файлов без смены расширений (опционально);
Удаление точек восстановления + чистка логов на выделенном сервере (опционально);
Стандартные опции: отстук, автозагрузка, самоудаление (опционально);
Установлена защита от запуска в СНГ сегменте.
Условия: 
25% за дешифратор с каждой выплаты. Жесткого регламента нет, условия обговариваются индивидуально для каждого адверта в зависимости от объёмов и материала.
Начните зарабатывать с нами!
Контакты:
jabber:
buransupport@exploit.im
buransupport@xmpp.jp
Мы на других бордах:
https://verified.sc/showthread.php?p=1040666
https://exploitinqx4sjro.onion/topic/157000
https://forum.zloy.bz/showthread.php?t=155866
Последнее редактирование: 18.05.19

После покупки или иным способом Buran Ransomware уже может находиться на сайтах, распространяющих взломанные программы. Одним из таких сайтов является crackzsoft.com, одно посещение страниц которого для незащищенного компьютера может иметь плачевные последствия (XXS-атаки с применением JS, Flash Player и что-то ещё). По данным BleepingComputer, на таких сайтах стоит наготове набор эксплойтов RIG. 

Специально для тех, кто пользуется Free антивирусами! Они не остановят атаку с использованием уязвимости нулевого дня из набора эксплойтов! Вы и не замените, как они сработают и инфицируют ПК. Прочтите статью об эксплойтах от Лаборатории Касперского. 

После покупки и переделки покупателем может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, других наборов эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Особенности:
Используется файловый маркет BURAN, добавляемый в начало кода файла. 
Так это выглядит, если открыть зашифрованные файлы в инструментах анализа или в обычном Блокноте. 

Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, кроме тех, что находятся в белых списках. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений:
.buran, .cmd, .com, .cpl, .dll, .exe, .log, .msp, .msc, .pif, .scr, .sys

Белый список директорий: 
\Windows media player\
\Apple computer\safari\
\Windows photo viewer\
\Windows portable devices\
\Windows security\
\Embedded lockdown manager\
\Reference assemblies\
:\Windows.old\
:\Inetpub\logs\
:\$Recycle.bin\
:\$Windows.~bt\
\Application data\
\Google\chrome\
\Mozilla firefox\
\Opera software\
\Tor browser\
\Common files\
\Internet explorer\
\Windows defender\
\Windows mail\
\Windows nt\
\Windowspowershell\
\Windows journal\
\Windows sidebar\
\Package cache\
\Microsoft help\
:\Recycler
:\Windows\
C:\Windows\
:\Intel\
:\Nvidia\
\All users\
\Appdata\
\Boot\
\Google\
\Mozilla\
\Opera\
\Msbuild\
\Microsoft\

Белый список файлов:
!!! YOUR FILES ARE ENCRYPTED !!!.TXT
boot.ini
bootfont.bin
bootsect.bak
defender.exe
desktop.ini
iconcache.db
ntdetect.com
ntuser.dat.log
unlocker.exe
master.exe
master.dat
ntldr
ntuser.dat
ntuser.ini
temp.txt
thumbs.db
unlock.exe

Файлы, связанные с этим Ransomware:
!!! YOUR FILES ARE ENCRYPTED !!!.TXT
2.exe
2.1.exe
ctfmon.exe
1068A408.buran
68552A69.buran
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Roaming\Microsoft\Windows\ctfmon.exe
%APPDATA%\Microsoft\Windows\ctfmon.exe
%TEMP%\1068A408.buran
%TEMP%\68552A69.buran

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Buran
HKEY_CURRENT_USER\Software\Buran\Service

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recovery_server@protonmail.com, recovery1server@cock.li
Email продающего: buransupport@exploit.im, buransupport@xmpp.jp
BTC: ---
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis 2.exe >>
Hybrid analysis 2.1.exe >>
𝚺  VirusTotal analysis 2.exe >>
𝚺  VirusTotal analysis 2.1.exe >>
🐞 Intezer analysis 2.exe >>
🐞 Intezer analysis 2.1.exe >>
ᕒ  ANY.RUN analysis 2.exe >>
ᕒ  ANY.RUN analysis 2.1.exe >>
ⴵ  VMRay analysis 2.exe >>
ⴵ  VMRay analysis 2.1.exe >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Vega OSR
VegaLocker Ransomware
Jamper Ransomware
Buran Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3-4 июня 2019:
Расширение (шаблон "8-4-4-4-12"): .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Пример расширения: .1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Пример зашифрованного файла: pacific_2.jpg.1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: jacksteam2018@protonmail.com, notesteam2018@tutanota.com
➤ Содержание записки:
!!! YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email jacksteam2018@protonmail.com  and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email jacksteam2018@protonmail.com OR notesteam2018@tutanota.com
Your personal ID: 1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Attention!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may
   cause increased price (they add their fee to our) or you can
   become a victim of a scam.

Обновление от 5-6 июня 2019:
Пост в Твиттере >>
Статья на сайте BleepingComputer >>
Расширение (шаблон "8-4-4-4-12"): .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Пример расширения: .1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Пример зашифрованного файла: pacific_2.jpg.1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: polssh1@protonmail.com, polssh@protonmail.com 
Файлы EXE: ctfmon.exe, SpybtIndentify.exe
Результаты анализов: VT + AR + AR


➤ Содержание записки:
!!! YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email polssh1@protonmail.com  and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email polssh1@protonmail.com
               polssh@protonmail.com 
Your personal ID: 26F2E296-91BD-2D7F-DA91-14A202CD0XXX
Attention!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may
   cause increased price (they add their fee to our) or you can
   become a victim of a scam.






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Jamper / Buran)
 Write-up, Topic of Support, Topic of Support
 * 
 - видеобзор образца 2.exe
- видеобзор образца 2.1.exe
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать email / Follow by Email

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton