четверг, 23 мая 2019 г.

ShkolotaCrypt

ShkolotaCrypt Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0.1 Dash, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: updater.exe

Обнаружения: 
DrWeb -> Trojan.MulDrop9.11435
BitDefender -> Trojan.GenericKD.31998870
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SS
Symantec -> Ransom.CryptXXX, Trojan.Gen.MBT

© Генеалогия: выясняется, явное родство с кем-то не доказано.



К зашифрованным файлам добавляется расширение: .crypted

Этимология названия:
Оригинального названия не было указано. Исходя из направленности на документы учебных заведений и "грамотность" русскоязычного текста, я дал ему название ShkolotaCrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ПРОЧТИ МЕНЯ!!!.TXT
Содержание записки о выкупе (грамота оригинала):
Что случилось с моими файлами?
Все Ваши важные файлы были зашифрованы при помощи стойких алгоритмов RSA-4096 и AES-256.
Расшифровка файлов возможна только с помощью ключа шифрования, хранящегося у нас.
Что делать для получения ключа шифрования?
Для получения ключа Вы должны заплатить выкуп в размере около тысячи рублей (РОВНО 0.10004672 в криптовалюте Dash на Dash адрес XvW7aLVhJbvqvjnt7zkngBowWRhUi1Xwin).
После оплаты Вы должны отправить на один из наших почтовых ящиков Ваш уникальный идентификатор.
Если мы увидим, что оплата была произведена, мы вышлем Вам дешифратор и ключ шифрования.
Где взять идентификатор?
Ваш уникальный идентификатор:
㖖㗌㕲㔅㖉㕭㕫㗅㖛㔦㕂㗅㖦㖘㗯㖟㗋㔑㔮㗰㕽㕏㗙㔩㗶㔌㕒㖤㔽㔓㖕㗫㕎㕿㗔㗫㗕㖋㕆㕩***
Также он был записан в Ваш буфер обмена
Где гарантии, что после оплаты выкупа я смогу восстановить свои файлы?
Вы можете прислать нам на email вместе с идентификатором один зашифрованный файл размером до 5 мегабайт.
Мы расшифруем его и Вышлем Вам в качестве доказательства того, что мы можем расшифровать Ваши файлы.
Как отправить Dash?
Dash можно оправить с помощью следующего сервиса мониторинга обменников:
https://www.bestchange.ru/yandex-money-to-dash.html
Либо зарегистрироваться на сайте Payeer и обменять деньги на Dash на бирже внутри сайта:
https://payeer.com
Либо Вы можете возпользоваться другими криптовалютными биржами
Что будет, если я не заплачу выкуп?
Восстановить файлы можно только расшифровав их. Никакая антивирусная контора Вам не поможет.
Если оплата не будет произведена в течение трёх суток, 20% из зашифрованных файлов будет безвозвратно уничтожена.
Если оплата не будет произведена в течение семи суток, все зашифрованные файлы будут уничтожены!
Наши email адреса для связи и вопросов:
9ea6e85bd12b@tutanota.com
t310ea89b4347@protonmail.com
Об алгоритмах RSA и AES Вы можете почитать в Википедии.
Данный файл находится на Вашем рабочем столе, Вы можете открыть его снова, чтобы прочитать этот текст.

Перевод записки на английский язык:
Имеется также англоязычный вариант. 




Технические детали



Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов. Выдает себя за Adobe Updater и использует похожую иконку на исполняемом файле. 

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .arc, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bcp, .bkp, .bmp, .brd, .bz2, .c, .cdr, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .dat, .db, .dbf, .dch, .der, .dif, .dip, .divx, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .eps, .fb2, .fla, .flv, .frm, .gif, .gpg, .gz, .gzip, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mdv, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pcx, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .pub, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar-gz, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .webm, .wk1, .wks, .wma, .wmv, .wps, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip, .zipx (195 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
задание.rar
ПРОЧТИ МЕНЯ!!!.TXT
updater.exe
<random>.exe - случайное название вредоносного файла
sharp.pdb
Открытие стиллера.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\updater.exe

Оригинальный путь на ПК вымогателя: 
C:\Users\user\Desktop\Мои проекты\Псевдошифровальщик\Вспомогательные проги\Открытие стиллера из уязвимости WinRar\Release\Открытие стиллера.pdb
В просмотрщике под Net читается:  AssemblyTitle("Псевдошифровальщик C sharp")]
Внутреннее название: AdobeHelp - Декриптор вирусов

➤ Вероятно использует нашумевшую в январе-феврале 2019 года уязвимость WinRar, которая была в программе 2 десятка лет и угрожала 500 миллионам пользователей. Проблема связана с библиотекой UNACEV2.DLL, которая не обновлялась с 2005 года и отвечает за распаковку архивов формата ACE. Воспользовавшись ею, злоумышленники могут сами назначить место для распаковки архивного файла. Если файл будет отправлен в директорию Startup, то он будет запускаться при каждом включении и перезагрузке системы.
 Связанные с этой уязвимостью проблемы (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253 ) устранены разработчиками с выпуском версии WinRAR 5.70 Beta 1, в январе 2019, а формат ACE удален из программы. Если у вас старая версия WinRAR, обновите программу с официального сайта

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 9ea6e85bd12b@tutanota.com
t310ea89b4347@protonmail.com
Dash: XvW7aLVhJbvqvjnt7zkngBowWRhUi1Xwin
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Добавочные образцы и комментарии от Alex Svirid:
Дроппер (HA)
Начинка (HA + VT)
Шифратор (HA)
Cтилер  (HA + VT)
В начинке имена запускаемых дальше процессов не такие, как на самом деле. Начинка раскодировает файлы шифратора и стилера. 
Для работы со стилером из первоначального дроппера извлекаются еще две библиотеки System.Data.SQLite.dll и SQLite.Interop.dll

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать.
Дешифратор высылается разработчиком. 
***
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ShkolotaCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 honkone, Bart, Michael Gillespie
 Andrew Ivanov (author), Alex Svirid
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton