Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 10 ноября 2019 г.

MainBat, TestRansom

MainBat Ransomware

TestRansom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей, а затем сообщает, что файлы пока не зашифрованы. Оригинальное название: в записке не указано. На файла написано: main.bat, TestRansom.exe.

Обнаружения:
DrWeb -> DrWeb -> BAT.Encoder.85
BitDefender -> 
ESET-NOD32 -> BAT/Filecoder.DE
Symantec -> Downloader
Kaspersky -> Trojan-Ransom.Win32.Encoder.gch
McAfee -> RDN/Ransom
TrendMicro -> Trojan.Win32.WACATAC.USXVPKB19

© Генеалогия: другие BAT-вымогатели >> MainBat


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypt
На данный момент сообщается о тестовом варианте, который не должен шифровать файлы, но ситуация может измениться, когда он попадет в другие руки.  

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале ноября 2019 г. Дата компиляции исполняемого файла: 27 апреля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: message.txt

Содержание записки о выкупе:
Ops! Your files are encrypted.
Your files,documents,photos,etc have been encrypted and
are not currently accessable without the key! The key is
currently stored in memory and on reboot will be deleated!
This is a test malware and will not actually destroy your
files in this simulation. Your keys will be shown below;
 CryptKey: 29109-9***
 UserKey: admin-105759***

Перевод записки на русский язык:
Упс! Ваши файлы зашифрованы.
Ваши файлы, документы, фотографии и т.д. зашифрованы и
в настоящее время недоступны без ключа! Ключ
в данный момент хранится в памяти и при перезагрузке будет удален!
Это тестовый вредонос, который на самом деле не уничтожит ваши
файлы в этой симуляции. Ваши ключи будут показаны ниже;
 CryptKey: 29109-9***
 UserKey: admin-105759***




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Использует BAT-файл для начала атаки:
C:\Windows\system32\cmd.exe /K "C:\Users\admin\crypt.bat"

➤ Другие деструктивные функции: 
Прописывает файлы message.bat / message.txt в меню Пуск
Запускает CMD.EXE для выполнения команд
Запускает CMD.EXE для самостоятельного удаления
Запускается самостоятельно
Создает файлы в пользовательских каталогах

 Используют легитимную технологию самоизвлекающихся архивов (WinRar, WinZip, 7-Zip).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
main.bat
message.txt
message.bat
crypt.zip
crypt.zip.tmp
crypt.zip.tmp8
crypt.zip.tmp7
crypt.zip.tmp6
crypt.zip.tmp5
crypt.zip.tmp4
crypt.zip.tmp3
crypt.zip.tmp2
crypt.zip.tmp1
FileList.txt
7za.exe
<random>.exe - случайное название вредоносного файла
sfxrar.pdb - первоначальное название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\message.txt

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\message.bat
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>> VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *