Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 6 октября 2019 г.

OnyxLocker

OnyxLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: OnyxLocker. На файле написано: OnyxLocker.exe. Разработчик: David.

Обнаружения:
DrWeb -> Exploit.Rtf.CVE2012-0158 + Trojan.Encoder.29682, Trojan.Encoder.30404
BitDefender -> Trojan.GenericKD.32536925, Gen:Variant.Razy.567225
Symantec -> ML.Attribute.HighConfidence

© Генеалогия: OnyxLocker > Clay, Clay 2.0
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .onx


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа (10 штук) называются: 
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt

 

Содержание записки о выкупе:
Моя почта для связи: crypt@ctemplar.com
|||
Меня зовут David. Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, текстовые файлы и многое другое!  Короче говоря, вы облажались ... но вам повезло. Почему это?? 
|||
Я вымогатель, который оставляет вам только 12 часов, чтобы собрать деньги и заплатить мне, затем ваши файлы будет невозможно расшифровать!) 
|||
Любые вопросы относительно разблокировки файлов, вы можете задавать написав на почту: crypt@ctemplar.com
|||
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
|||
1. Могу ли я вернуть свои драгоценные файлы?
|||
Ответ: Конечно, вы можете. Есть только незначительная деталь. Вы должны заплатить, чтобы вернуть их.
|||
2. Нет другого способа вернуть мои файлы?
|||
Ответ: Нет
|||
3. Хорошо, что мне тогда делать?
Ответ: Просто вам придется заплатить 100 $ на этот биткойн-адрес: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq 
|||
4. Что за хрень биткойн?
|||
Ответ: Биткойн - это криптовалюта и цифровая платежная система. Вы можете увидеть больше информации здесь: https://en.wikipedia.org/wiki/Bitcoin.
|||
5. Здесь вы можете оплатить, выбрав самый выгодный курс.
|||
Вставьте эту ссылку в адресную строку вашего браузера: https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html

Перевод записки на русский язык:
уже сделан

Английского варианта нет. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .7zip, .acc, .accdb, .ai, .arw, .asp, .aspx, .avi, .backup, .bay, .c, .cdr, .cer, .cpp, .cr2, .crt, .crt, .crw, .cs, .csproj, .css, .css, .csv, .db, .db3, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .flv, .gif, .h, .html, .img, .indd, .ink, .jpe, .jpeg, .jpg, .js, .js, .json, .kdc, .litesql, .lnk, .log, .lua, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpeg, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .ptx, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rtf, .rtf, .rw2, .rwl, .sg, .sh, .sln, .sql, .sqlite, .sqlite3, .sr2, .srf, .srw, .tif, .tiff, .tmp, .txt, .vbs, .vlf, .wav, .wb2, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (137 расширений) и файлы без расширений

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt
goload_1008_1569853988.doc
Orinal.exe (OnyxLocker.exe)
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crypt@ctemplar.com
BTC: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis (dropper) >>
Hybrid analysis (encoder) >>
𝚺  VirusTotal analysis (dropper) >>
𝚺  VirusTotal analysis (encoder) >>
🐞 Intezer analysis (encoder) >>
ᕒ  ANY.RUN analysis (encoder) >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 декабря 2019:
Пост в Тивттере >>
Расширение: .onx
Записки: RECOVERY INSTRUCTIONS 0 .txt
RECOVERY INSTRUCTIONS 1 .txt
RECOVERY INSTRUCTIONS 2 .txt
RECOVERY INSTRUCTIONS 3 .txt
RECOVERY INSTRUCTIONS 4 .txt
RECOVERY INSTRUCTIONS 5 .txt
RECOVERY INSTRUCTIONS 6 .txt
RECOVERY INSTRUCTIONS 7 .txt
RECOVERY INSTRUCTIONS 8 .txt
RECOVERY INSTRUCTIONS 9 .txt
Файл: OnyxLocker.exe
Результаты анализов: VT + AR
➤ Новые обнаружения: 
DrWeb -> Trojan.Encoder.30404
BitDefender -> Gen:Variant.Razy.567225
Malwarebytes -> Ransom.OnyxLocker

Обновление от 23 января 2020:
Пост в Твиттере >>
Расширение (на русском): .кристина
Записки: Read-me!!! 0 .txt, Read-me!!! 1 .txt и далее под другими номерами
Email: crypt@ctemplar.com
Файлы: LTE.exe
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30272
BitDefender -> Gen:Variant.MSILPerseus.203758
ESET-NOD32 -> A Variant Of MSIL/Filecoder.VE
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WAH20


*** неизвестные пропущенные варианты ***


Обновление от 17 ноября 2020:
Пост в Твиттере >>
Записки: RECOVERY INSTRUCTIONS 0 .txt
RECOVERY INSTRUCTIONS 1 .txt
RECOVERY INSTRUCTIONS 2 .txt
RECOVERY INSTRUCTIONS 3 .txt
RECOVERY INSTRUCTIONS 4 .txt
RECOVERY INSTRUCTIONS 5 .txt
RECOVERY INSTRUCTIONS 6 .txt
RECOVERY INSTRUCTIONS 7 .txt
RECOVERY INSTRUCTIONS 8 .txt
Файл проекта: C:\Users\aguim\Desktop\OnyxLocker-master\OnyxLocker\obj\Debug\OnyxLocker.pdb
Примечательно, что это тот же разработчик, что и в CryptoJoker2020
➤ Список расширений целевых файлов:
 .3fr, .7z, .7zip, .acc, .accdb, .ai, .arw, .asp, .aspx, .avi, .backup, .bay, .c, .cdr, .cer, .cpp, .cr2, .crt, .crt, .crw, .cs, .csproj, .css, .css, .csv, .db, .db3, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .flv, .gif, .h, .html, .img, .indd, .ink, .jpe, .jpeg, .jpg, .js, .js, .json, .kdc, .litesql, .lnk, .log, .lua, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpeg, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .ptx, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rtf, .rtf, .rw2, .rwl, .sg, .sh, .sln, .sql, .sqlite, .sqlite3, .sr2, .srf, .srw, .tif, .tiff, .tmp, .txt, .vbs, .vlf, .wav, .wb2, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (137 расширений). 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as OnyxLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Alex Svirid, CyberSecurity GrujaRS
 Andrew Ivanov (author)
 S!Ri
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *