понедельник, 13 мая 2019 г.

ChaCha, Maze

ChaCha Ransomware

Maze Ransomware

66116166 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA + ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Смотрите видеообзор >>

Этимология названия:
В ранних вариантах не было никакого  названия, потому мы использовали характерное слово ChaCha для названия и статьи. Не было никакого изображения, заменяющее обои Рабочего стола, а в html-записке вместо названия было нечто, сообщающее о системной ошибке: 0010 SYSTEM FAILURE 0010.  Название на изображении, заменяющем обои, появилось в конце мая 2019, в более новых вариантах. 

Обнаружения:
DrWeb -> Trojan.Siggen8.29003
Bitdefender -> Gen:Heur.Ransom.Imps.1
Malwarebytes -> Ransom.Maze
Symantec -> Trojan.Gen.MBT
VBA32 -> BScope.Trojan.Wacatac

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .<random4-7>

Пример расширений:
.rC0syGH
.DL1fZE
.LKc07P
.FBrRDWC
.t6brFnQ
.0HOgD
.MJNW

При этом, на одном ПК могут добавляться разные расширения к разным файлам. Принцип такой зависимости пока неясен. 

Кроме того, в конец зашифрованных файлов добавляется маркер файлов: 0x66116166
Это видно на скриншотах ниже, где этот маркер присутствует в разных файлах из разных ПК. Возможно, что это изменится позже, но на момент написания статьи и публикации это факт. 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие были из США. 

Записка с требованием выкупа называется: DECRYPT-FILES.html



Содержание записки о выкупе:
0010 SYSTEM FAILURE 0010
***************************
Attention! Your documents, photos, databases, and other important files have been encrypted!
***************************
The only way to decrypt your files, is to buy the private key from us.
You can decrypt one of your files for free, as a proof that we have the method to decrypt the rest of your data.
In order to receive the private key contact us via email: 
getmyfilesback@airmail.cc 
Remember to hurry up, as your email address may not be avaliable for very long.
Buying the key immediatly will guarantee that 100% of your files will be restored.
Below you will see a big base64 blob, you will need to email us and copy this blob to us.
you can click on it, and it will be copied into the clipboard.
If you have troubles copying it, just send us the file you are currently reading, as an attachment.
Base64: 
M1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***

---
Красным выделены слова с ошибками. 

Перевод записки на русский язык:
0010 SYSTEM FAILURE 0010
***************************
Внимание! Ваши документы, фото, базы данных и другие важные файлы зашифрованы!
***************************
Единственный способ расшифровать ваши файлы - это купить у нас закрытый ключ.
Вы можете бесплатно расшифровать один из ваших файлов в доказательство, что у нас есть метод для расшифровки остальных ваших данных.
Чтобы получить закрытый ключ, контактс с нами по email:
getmyfilesback@airmail.cc
Не забудьте поторопиться, т.к. ваш email-адрес может не будет доступен долго.
Покупка ключа немедленно гарантирует, что 100% ваших файлов будут восстановлены.
Ниже вы увидите большой блоб base64, вам нужно будет написать нам на email и скопировать этот блок в письмо.
Вы можете нажать на него, и он будет скопирована в буфер обмена.
Если у вас возникли проблемы с копированием, просто отправьте нам файл, который вы сейчас читаете, в виде вложения.
Base64:
M1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***


Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 





Технические детали

Распространяется с помощью набора эксплойтов Fallout через фальшивый сайт Abra, выдавая себя за приложение для обмена криптовалюты. Этот сайт создан для того, чтобы выдавать себя за рекламодателя и покупать трафик в рекламных сетях. Посетители этого сайта будут перенаправлены на специальную страницу, начиненную наборов эксплойтов, которые срабатывают при определенных условиях.

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, других эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

 Этот Ransomware определяет тип ПК (домашний компьютер, рабочая станция, контроллер домен, сервером и пр.), а затем показывает соответствующую сумму выкупа, в тексте которого будет использована одна из следующих строк: 
standalone server
server in corporate network
workstation in corporate network
home computer
primary domain controller
backup server

very valuable for you

➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Шифровальщик пытается подключиться к 15 сайтам (случайные URL-адреса) по IP-адресу, который начинается с 92. Сайты могут относиться к разным странам. См. список ниже. 
 

➤ Другие деструктивные действия:
Создает файлы и изменяет сертификаты в каталоге Windows.
Записывает файлы в папку автозагрузки Word и меню Пуск.
Изменяет файлы в папке расширения Chrome и читает куки, видимо с целью кражи личных данных.

Подключается к серверу без имени хоста.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT-FILES.html
foo.dat
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%ProgramData%\foo.dat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getmyfilesback@airmail.cc
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>  VMR>>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14-15 мая 2019:
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.html
Также использует изображение, заменяющее обои Рабочего стола. 
В текст записки добавляется имя пользователя. 
 Результаты анализов: VT + VMR

Обновление от 29 мая 2019:
Пост в  Твиттере >>
Самоназвание: Maze Ransomware
Расширение: .<random{4-7}>
Email: koreadec@tutanota.com
vourrealdecrypt@airmail.cc

Обновление от 31 мая 2019:
Самоназвание: Maze Ransomware
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.html
Email: filedecryptor@nuke.africa
Результаты анализов: VT + VMR + IA + HA / VT + VMR
 
В статье Лоуренса Абрамса сообщается, что им обнаружен адрес bleepingcomputer.com в программной памяти Maze Ransomware. Точная задача неясна. 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ChaCha)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от Cyber Security GrujaRS
Added later:
Write-up by BleepingComputer (on May 31. 2019)
*
*
 Thanks: 
 Michael Gillespie, Cyber Security GrujaRS
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton