Если вы не видите здесь изображений, то используйте VPN.

среда, 4 марта 2015 г.

BandarChor, Rakhni 2015

BandarChor Ransomware

Rakhni 2015 Ransomware

(шифровальщик-вымогатель)

Translation into English


  Этот крипто-вымогатель шифрует файлы с помощью AES-256. Известен с ноября 2014. Другое название: Rakhni (रखनी в переводе с хинди - "медведь"). Исследован F-Security в марте 2015 г. Последнее распространение в марте-апреле 2016 г. 

 © Генеалогия: Rakhni > Rakhni Family > BandarChor > Paycrypt 

  К зашифрованным файлам добавляется расширение, создаваемое по шаблону: 
.id-[ID]_[email_address]
Например, .id-4361716884_europay@india.com

Таким образом, зашифрованный файл будет выглядеть так: 
[original_file_name].id-[random-10-digit-number]_europay@india.com

  Вместо текстовой записки о выкупе используется графическое изображение fud.bmp (или bytor.bmp или др.), встающее обоями рабочего стола. Время от времени меняется только email вымогателей. 

Содержание текста на изображении: 
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!
To get the decoder and the original key, you need to write to us at the e-mail fud@india.com with the subject "encryption" stating your id.
Write on the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
fudx@lycos.com

Перевод на русский: 
Внимание! Ваш компьютер атакован вирусом-шифровальщиком.
Все ваши файлы были зашифрованы, без оригинального ключа вернуть невозможно!
Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на fud@india.com с темой "encryption" и указать ваш ID.
Пишите по делу, не тратьте свое и наше время на пустые угрозы.
Письма от неадекватных людей будут игнорироваться.
fudx@lycos.com

Адреса email в других вариантах записок: 
fud@lycos.com и fudx@lycos.com
fud@india.com
decode@india.com
decrypt@india.com
europay@india.com
info@cryptedfiles.biz и salutem@protonmail.com
bingo@opensourcemail.org
doctor@freelinuxmail.org
johndoe@weekendwarrior55.com
sos@encryption.guru
av666@weekendwarrior55.com
email_info@cryptedfiles.biz
email1_info@cryptedfiles.biz
milarepa.lotos@aol.com
и другие...


Технические детали

Список файловых расширение, подвергающихся шифрованию в версии с fud.bmp
.001, .113, .1cd, .3gp, .73b, .a3d, .abf, .abk, .accdb, .ace, .arj, .as4, .asm, .asvx, .ate, .avi, .bac, .bak, .bck, .bkf , .bup, .bvd, .cdr, .cer, .cng, .cpt, .cryptra, .csv, .db3, .dbf, .dco, .doc, .docx, .dwg, .enx, .erf, .fbf, .fbk, .fbw, .fbx, .fdb, .fdp, .gbk, .gho, .gzip, .iv2i, .jac, .jbc, .jpeg, .jpg , .kbb, .key, .keystore, .ldf, .m2v, .m3d, .max, .mdb, .mkv, .mov, .mpeg , .nba, .nbd, .nrw, .nx1, .odb, .odc, .odp, .ods, .odt, .old, .orf, .p12, .pdf, .pef, .pkey, .ppsx, .ppt, .pptm, .pptx, .pst, .ptx, .pwm, .pz3, .qic, .r3d, .rar, .raw, .rtf, .rwl, .rx2, .rzx , .safe, .sbs , .sde, .sgz, .sldasm, .sldprt, .sle, .sme, .sn1, .sna, .spf, .sr2, .srf, .srw, .tbl, .tib, .tis, .txt, .vhd, .wab, .wallet, .wbb, .wbcat, .win, .wps, .x3f, .xls, .xlsb, .xlsk, .xlsm, .xlsx, .zip (124 расширения). 

Этот список от 2015 года уже дополнен расширениями, определёнными в новой версии вымогателя в начале марта 2016. 

Список файловых расширение, подвергающихся шифрованию в версии с bytor.bmp: 
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx  (67 расширений). По данным Symantec

➤ Запустившись в системе, BandarChor сканирует все папки, за исключением: 
Windows
Program Files
Program Files (x86)
ProgramData
System Volume Information
Temp

➤ BandarChor не трогает файлы, которые больше 30 мегабайт. Шифрует до 30000 байтов заголовка каждого файла и сохраняет количество шифрованных байт в первые 4 байта (добавляет перезаписываемые байты в конец файла). Когда все файлы заблокированы, устанавливает изображение fud.bmp в качестве обоев рабочего стола с вымогательским текстом. Затем вредонос удаляет себя.

➤ BandarChor (Rakhni) использует TurboPower LockBox 3 (криптографическая библиотека с открытым кодом, написанная на Delphi). 

➤ Распространяется с помощью email-спама и вредоносных вложений, а ссылки могут вести на зараженный сайт, содержащий эксплойты на веб-страницах или вредоносную рекламу. Письма приходят якобы от PayPal, Amazon, eBay и Facebook, а их содержание ссылается на изменения в политике конфиденциальности, возвраты и недавно сделанные покупки. Файлы во вложении имеют двойное расширение. Вложение упаковано UPX, после вскрытия содержит исполняемый файл написан в Delphi. Восстановление зашифрованных файлов невозможно без ключа, который хранится на сервере злоумышленников и не сохраняется на диск.

➤ Запустившись в системе добавляет себя в папку автозагрузки Windows. Затем он генерирует случайную последовательность из 10 цифр для  ID компьютера и формирует строку запроса из него, имени компьютера, фиксированного номера, и суффикса, содержащего ID и email-адрес автора вредоносной программы. 
Например: number=31&id=4361716884&pc=FOOBAR&tail=.id-4361716884_europay@india.com

Дальнейшее развитие — Paycrypt и другие.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe
<random>.dll
fud.bmp или bytor.bmp
edgE528.exe - утилита запроса сервера терминалов
Утилита запроса сервера терминалов
Утилита запроса сервера терминалов

Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "%UserProfile%\Application Data\bytor.bmp" 
...или "%UserProfile%\Application Data\fud.bmp"

Сетевые подключения и связи:
martyanovdrweb.com
www.fuck-isil.com
www.ahalaymahalay.com
kapustakapaet.com
www.decryptindia.com
www.enibeniraba.com
www.netupite.com
89025840.com
xsmailsos.com
sosxsmaillockedwriteonxsmailindia.com
baitforany.com
euvalues.com
intelligence1938.com
и другие...

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.BandarChor (до августа 2016: Trojan.Ransomcrypt.Q)

Степень распространённости: средняя. 
Подробные сведения собираются. 

Обновление от 15 марта 2016:
Email: info@cryptedfiles.biz
Составное расширение: original_name.jpg.id-1334533118_info@cryptedfiles 


Обновление от 15 декабря 2016:
 Статья >> + ID Shigo
Записка: HOW TO DECRYPT.txt
Расширение по шаблону: .id-[ID]_[email_address]
Email: help@decryptservice.info, Shigorin.Vitolid@gmail
Пример зашифр. файла: test.jpg.id-1235240425_help@decryptservice.info



Обновление от 4 сентября 2017: 
Email: kiaracript@email.cz и kiaracript@gmail
Расширение: .SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail
Шаблон расширения: .SN-<ID>-kiaracript@email.cz_kiaracript@gmail
Пример заш-файла: 
archive2015.rar.SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail


Обновление от 26 сентября 2017:
Email: kiaracript@gmail.com
Расширение: .SN-6633475505259148-kiaracript@gmail.com и другие
Шаблон расширения: .SN-<ID>-kiaracript@gmail.com
Примеры заш-файлов: 
archive2010.zip.SN-6633475505259148-kiaracript@gmail.com
archive2014.rar.SN-6633475505259148-kiaracript@gmail.com
document2.txt.SN-6862051502902366-kiaracript@gmail.com



 Внимание!
Некоторые зашифрованные файлы можно вернуть
За помощью обращайтесь в тему на форуме >>
*
*
 Read to links: 
 Topic on BC
 ID Ransomware (ID as BandarChor and Shigo)
 Write-up
 *
 Thanks: 
 Michael Gillespie
 F-Security
 Emmanuel_ADC-Soft
 *

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 1 марта 2015 г.

VaultCrypt, CrypVault

VaultCrypt Ransomware

CrypVault Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует посетить сайт в Tor-сети, чтобы заплатить выкуп (10000-30000 рублей) и вернуть файлы. Оригинальное название: Vault
---
Обнаружения: 
Для ранних вариантов обнаружения не сохранились. 
DrWeb -> Trojan.Encoder.10184
Avira (no cloud) -> HEUR/AGEN.1108497
BitDefender -> Adware.GenericKD.43296380
ESET-NOD32 -> Win32/Filecoder.FH
Kaspersky -> Trojan-Ransom.Win32.Scatter.lj
Microsoft -> Ransom:Win32/Genasom!rfn
Qihoo-360 -> Win32/Trojan.Ransom.688
Rising -> Ransom.Teerac!8.57A (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114b09f6
TrendMicro -> Ransom_CRYPVAULT.F116L6
---

© Генеалогия: VaultCrypt

К зашифрованным файлам добавляется расширение .vault

Активность этого крипто-вымогателя началась с февраля 2015 г. и продолжалась до конца 2016 года. Ориентирован, главным образом, на русскоязычных пользователей, что не помешало распространять его и в других странах.

Этот вымогатель сам не выводит сообщение с требованием выкупа. Вместо этого он регистрирует в реестре Windows новое расширение .vault, в результате чего у всех зашифрованных файлов появляется новая иконка с изображением замка. 


Если жертва попытается открыть такой файл двойным нажатием кнопки мыши, на экране появится сообщение: «Stored in Vault» («Убрано в сейф»). 



Сообщения от VaultCrypt 

В сообщении также же указано, что ключ можно приобрести, посетив onion-сайт, доступный через Tor-браузер.

Записки с требованием выкупа называются: VAULT.txt, VAULT.hta и 
VAULT-README.txt
Одна из них демонстрируется жертве при каждом входе в Windows. Сначала это текстовый файл, а после перезапуска HTA-файл. 


Содержание записки о выкупе:
Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.
   ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид
ДЕТАЛЬНО
   Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
   Шаг 2:
Используя Tor браузер посетите сайт: xxxx://restoredz4xpmuqr.onion
   Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
   STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас 
c) Стоимость полного восстановления на ресурсе не окончательная
Время блокировки: 02.03.2015 (10:31)


Сообщение VAULT.hta



Подробности работы VaultCrypt 

При первом запуске VaultCrypt с помощью GnuPG генерирует уникальную пару ключей RSA 1024, публичный и приватный. Публичным он зашифровывает найденные на машине файлы с расширениями XLS, DOC, PDF, RTF, PSD, DWG, CDR, CD, MDB, 1CD, DBF, SQLITE, JPG и ZIP. При этом шифровальщик игнорирует некоторые папки (список см. ниже), видимо, чтобы не нарушить нормальную загрузку ОС. Одновременно создаётся VBS-файл для удаления всех теневых копий на диске.

Приватный RSA-ключ, необходимый для расшифровки, VaultCrypt экспортирует и сохраняет в файле vaultkey.vlt. Сюда же он помещает информацию о конфигурации, кодовое имя заражённого ПК и общий счёт зашифрованных файлов по каждому расширению из своего списка. Эти данные нужны для персонализации страницы приёма платежей, а также для сбора статистики по типам шифруемых файлов.

VaultCrypt шифрует файл vaultkey.vlt с помощью публичного мастер-ключа, единого для всех жертв шифровальщика. Итог сохраняется на заражённой машине как %AppData%\VAULT.KEY. Этим же мастер-ключом зловред шифрует файл CONFIRMATION.KEY, содержащий общий список зашифрованных файлов. Приватный мастер-ключ хранится у злоумышленников.

Затем VaultCrypt загружает с другого onion-адреса Browser Password Dump, бесплатный инструмент командной строки для восстановления паролей, и сохраняет его как ssl.exe. С его помощью VaultCrypt попытается украсть идентификаторы при заходе жертвы на разные сайты. Список этих учётных данных он сохраняет в файле cookie.vlt, который впоследствии будет загружен на тот же сайт в Tor-сети.

Чтобы исключить возможность восстановления зашифрованных файлов с помощью программа восстановления данных, VaultCrypt запускает очистку с помощью утилиты SDelete и делает 16 проходов перезаписи. После этого восстановить прежнее содержимое файлов практически невозможно. Затем VaultCrypt создает ряд записей в системном реестре, чтобы сообщение с требованием выкупа отображалось пользователю с каждым заходом в Windows.

При первом переходе жертвы на Tor-сайт по указанной в сообщении ссылке ей предлагают зарегистрироваться путем загрузки файла VAULT.KEY. После этого авторизация производится автоматически, и для посетителя генерируются личный идентификатор и пароль, которые он должен использовать при последующих визитах. На следующей странице ему отображается бегущая строка с информацией о зашифрованных файлах, размере выкупа и т.п., а также с приглашением в чат, чтобы что-то спросить. На момент проведения анализа экспертами Bleeping Computer злоумышленники требовали $247 — около 1 BTC (эквивалент на март 2015 года).

VaultCrypt предлагает жертве бесплатно расшифровать любые четыре файла семи "разрешенных" форматов в качестве теста. 

Все страницы этого onion-сайта выполнены на русском языке, лишь некоторые поля на английском. Имеется также ссылка на англоязычные инструкции, выложенные на Pastebin.

Содержание инструкций на английском языке:
---------
PROBLEM:
[!] Our site is NOT AVAILABLE
SOLUTION:
[+] Try to visit it again after 12 hours
[+] If it is not accessible after 72 hours. Check mirrors:
xxxx://1.onion
xxxx://2.onion
xxxx://3.onion
xxxx://4.onion
[+] If all of the above fails, read explanation about Tor network and try again: xxxx://deepdotweb.com/how-to-access-onion-sites/
[+] .ONION sites CANNOT be accessed via standard browser (like Chrome, IE, Firefox or Safari). Therefore, you need to use Tor Browser: http://torproject.org
---------
PROBLEM:
[!] Cannot find VAULT.KEY or CONFIRMATION.KEY
SOLUTION:
Those authorization keys is stored on your computer in different folders.
1. Go to "My Computer"
2.1. In address line write %APPDATA% and press Enter. At the bottom of the list you can find those AUTH keys
2.2. In address line write %TEMP% and press Enter. Try to find VAULT.KEY a copy there.
2.3. Also it could be found on your User Desktop.
3. Therefore, VAULT.KEY is stored in 3 different places on your computer for preventing accidental deletion.
4. If your machine has multiple users, try to find VAULT.KEY on each user.
5. Warning. Do not modify VAULT.KEY or CONFIRMATION.KEY. In this case, you can not get access to your panel.
---------
PROBLEM:
[!] Everything else what is not listed above
SOLUTION:
[+] Still experiencing problems? Read about BitMessage and write us a letter with a description of your problem.
BitMessage address: BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
[+] To simplify the process of communication via BitMessage you can use xxxx://bitmsg.me
---------



Технические детали

Может распространяться с помощью email-спама и вредоносных вложений (DOC.JS), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует командные файлы Windows, а также программу GnuPG (GNU Privacy Guard, для шифрования данных и создания ЭЦП), утилиту SDelete (Secure Delete, удаляющую файлы, папки) и программу BPD (Browser Password Dump, для сбора паролей). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .cd, .cdr, .dbf, .doc, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .zip.    
Это документы 1С, документы MS Office, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Шифровальщик пропускает файлы, содержащие следующие строки в именах:
abbyy
adobe
amd64
appdata
application
autograph
avatar
avatars
cache
clipart
com_
common
csize
framework64
games
guide
intel
internet
library
manual
maps
msoffice
profiles
program
recycle
resource
resources
roaming
sample
setupcache
support
temp
template
temporary
texture
themes
thumbnails
uploads
windows

Примеры файлов email-вложений:
Счета для оплаты февраль 2015 года - согласовано Коммерческим директором согласовано Главным бухгалтером _ долг letter-attachment_scannеd-OK.dосх{.js}
Акт сверки за 2014 год (сверка проведена - февраль 2015 года) подписано и согласовано Главным бухгалтером _ для контрагента-letter-attachment_scannеd-OK.dосх{.js}
акт сверки (март) 2015 год по итогам первого квартала согласовано бухгалтерией — аttасhmеnt_Dr.Wеb_Sсаnnеd — OK.dосx{.js}

Файлы, связанные с этим Ransomware:
vault.txt
revault.js
svchost.exe
CONFIRMATION.KEY
VAULT.hta
VAULT.KEY
VAULT2.KEY
VAULT.txt
VAULT-README.txt
win.vbs
secring.gpg
trustdb.gpg
и другие

Расположения:
%Desktop%\vault.txt
%Temp%\revault.js
%Temp%\svchost.exe
%AppData%\CONFIRMATION.KEY
%AppData%\ddae25beb5b57d6e.hta
%AppData%\VAULT.hta
%AppData%\VAULT.KEY
%User Temp%\VAULT2.KEY
%User Temp%\VAULT.txt
%User Temp%\VAULT.hta
%User Temp%\a.qq
%User Temp%\gk.vlt
%User Temp%\pk.vlt
%User Temp%\vaultkey.vlt
%User Temp%\cryptlist.lst
%User Temp%\conf.list
%User Temp%\confclean.list
%User Temp%\cryptlist.cmd
%User Temp%\up.vbs
%User Temp%\ultra.js
%User Temp%\ch.vlt
%User Temp%\cookie.vlt
%User Temp%\random_seed
%User Temp%\secring.gpg
%User Temp%\trustdb.gpg
%User Temp%\win.vbs
%UserProfile%\Desktop\VAULT.KEY
%UserProfile%\Desktop\VAULT-README.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vlt notify = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vlt notify" = "mshta %UserProfile%\Application Data\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\VAULT Notification = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"tnotify" = "notepad %Temp%\VAULT.txt"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vltexec" = "wscript //B //Nologo %Temp%\revault.js"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-сайты: restoredz4xpmuqr.onion
tj2es2lrxelpknfp.onion.city
BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>


Степень распространённости: высокая.  
Подробные сведения собраны. Распространение VaultCrypt прекращено.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение 1 к статье:
Скрипт устанавливает свой обработчик открытия файлов с расширением «vault»: при открытии такого файла пользователю должно показываться окно со ссылкой на ключ, но если эти команды отказываются отрабатываться, то файлы с расширением .vault ведут себя как обычные файлы с неизвестным расширением.
Затем созданное ранее HTML-приложение (%AppData%\ddae25beb5b57d6e.hta) добавляется в автозапуск, чтобы его окно отображалось на экране при каждой загрузке системы:
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
После этого из автозапуска удаляются ранее созданные там ключи, открывающие текстовый документ с инструкциями по получению ключа (теперь при загрузке ОС пользователь увидит не текстовый файл, а окно HTML-приложения). 
Также из автозапуска удаляется вызов процедуры шифрования (т.к. к этому моменту все файлы уже зашифрованы).
После этого запускается HTML-приложение, отображающее радостное сообщение о том, что все файлы на ПК зашифрованы.
Предпоследний шаг — вызов для всех томов утилиты cipher с параметром, предписывающим перезаписать всю информацию на секторах жесткого диска, неотведённых ни под один файл. С помощью этой команды данные удалённых ранее файлов окончательно перезатираются на физическом уровне на всех доступных дисках от A до Z.

Дополнение 2 к статье:
Анализ одной из модификаций шифровальщика VaultCrypt
Ссылка: habrahabr.ru/post/266077/

---



Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.10184
Avira (no cloud) -> HEUR/AGEN.1108497
BitDefender -> Adware.GenericKD.43296380
ESET-NOD32 -> Win32/Filecoder.FH
Kaspersky -> Trojan-Ransom.Win32.Scatter.lj
Microsoft -> Ransom:Win32/Genasom!rfn
Qihoo-360 -> Win32/Trojan.Ransom.688
Rising -> Ransom.Teerac!8.57A (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114b09f6
TrendMicro -> Ransom_CRYPVAULT.F116L6




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VaultCrypt)
 Write-up, Topic of Support, Topic of Support, Write-up
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Maxim Zaitsev
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 27 февраля 2015 г.

TeslaCrypt 2.x

TeslaCrypt 2.x Ransomware

(шифровальщик-вымогатель)

Translation into English


Помощь нужна с разбивкой расширений по месяцам и версиями в рамках от 0.x до 2.x. Кто располагает достоверной информацией, напишите мне. Контактный адрес здесь

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-4096, а затем требует выкуп в 1.5 BTC (~$415 на данный день) или $1000 при оплате через PayPal, чтобы вернуть файлы. Были также требования в 2 BTC. Оригинальное название: TeslaCrypt. В записках о выкупе может представляться как другой, более ранний и более известный на момент своего "выхода в свет" шифровальщик. На файле может быть написано, что угодно. 

© Генеалогия: TeslaCrypt > TeslaCrypt 2.x > TeslaCrypt 3.x > TeslaCrypt 4.x > 

К зашифрованным файлам добавляется одно из расширений:
.vvv - в феврале 2015
.ecc - в феврале-марте 2015
.ezz - в апреле-мае 2015, как Alpha Crypt
.exx - в мае 2015, как новый Alpha Crypt (другой экран блокировки)
.abc - а июне 2015
.aaa - в июле-августе 2015
.zzz - в июле-августе и далее в 2015
.xyz - в январе-феврале 2016

Активность этого крипто-вымогателя пришлась на 2015-2016 г. Ориентирован на англоязычных пользователей, что помогло распространять его по всему миру. Больше всего от TeslaCrypt пострадали пользователи в США, Германии, Великобритании, Франции, Италии и Испании.

Записки с требованием выкупа называются:
Howto_Restore_FILES.TXT -  текстовая записка
Howto_Restore_FILES.HTM - веб-страница
Howto_Restore_FILES.BMP - изображение на обои рабочего стола. 

Запиской с требованием выкупа также выступает экран блокировки.
Графический интерфейс, включая заголовок окна заимствован у CryptoLocker Ransomware.

 
Примеры экрана блокировки TeslaCrypt 2.x

Содержание текста о выкупе:
Your personal files are encrypted!
Your files have been safely encrypted on this PC: photos, videos, documents, etc.
Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files...
In order to decrypt the files open your personal page on site
xxxxs://34r6hq26q2h4jkzj.tor2web.fi and follow the instruction.
Use your Bitcoin address to enter the site:
***
Click to copy Bitcoin address to clipboard if xxxxs://34r6hq26q2h4jkzj.tor2web.org is not opening, please follow the steps:
You must install this browser wvw.torproiect.org/proiects/torbrowser.html.en
After instalation,run the browser and enter address 34r6hq26q2h4jkzj.onion
Follow the instruction on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
Any attempt to remove or corrupt this software will result
in immediate elimination of the private key by the server.
---
[Show encrypted files]   [Check Payment]   [Enter Decrypt Key]
[Click to Free Decryption on site]
---
Your private key will be destroyed on:
2/29/2015

Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши файлы были надежно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Нажмите кнопку "Show encrypted files", чтобы увидеть весь список зашифрованных файлов, и вы можете убедиться в этом.
Шифрование создано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ после периода времени, указанного в этом окне.
Как только это будет сделано, никто никогда не сможет восстановить файлы...
Чтобы расшифровать файлы, откройте свою личную страницу на сайте
xxxxs://34r6hq26q2h4jkzj.tor2web.fi и следуйте инструкциям.
Используйте свой Bitcoin-адрес для входа на сайт:
***
Нажмите, чтобы скопировать Bitcoin-адрес в буфер обмена, если xxxxs://34r6hq26q2h4jkzj.tor2web.org не открывается, выполните следующие действия:
Вы должны установить этот браузер wvw.torproiect.org/proiects/torbrowser.html.en
После установки запустите браузер и введите адрес 34r6hq26q2h4jkzj.onion
Следуйте инструкциям на веб-сайте. Напоминаем, что чем скорее вы это сделаете, тем больше шансов восстановить файлы.
Любая попытка удалить или испортить это программное обеспечение приведет к немедленному удалению сервером закрытого ключа.
---
Показывать зашифрованные файлы [Проверить платеж] [Ввести ключ дешифрования]
[Нажмите, для бесплатной дешифровки на сайте]
---
Ваш закрытый ключ будет уничтожен:
2/29/2015



На Tor-сайте TeslaCrypt содержатся инструкции о том, как можно оплатить выкуп в биткоинах или с картой PayPal My Cash. Сайт также позволяет дешифровать один файл бесплатно, чтобы доказать, что они правда могут расшифровать файлы. Сайт имеет систему сообщений, которая позволяет жертве конфиденциально общаться с разработчиками шифровальщика.
Скриншоты сайта оплаты



Технические детали

С начала 2015 года новые варианты TeslaCrypt загружает Nemucod. Nemucod - это вредоносный JavaScript, который обычно появляется как .zip-приложение и пытается загрузить на ПК другой вредонос. Известно, что Nemucod загружает такие угрозы, как Fareit, CryptoWall и несколько других угроз. Распространяется через скомпрометированный веб-сайт, который загружает TeslaCrypt в систему посетивших сайт пользователей. Кроме того, браузер может быть перенаправлен на страницу, где будет применён набор эксплойтов Angler EK. 

В общем плане может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Разработчики TeslaCrypt создавали свой вредонос, чтобы требовать выкуп не только за документы или фотографии, но за файлы, которые относятся к компьютерным играм. Среди них следующие игры и серии:
 Assassin's Creed (файлы игры)
 Bethesda Softworks (файлы настроек игр)
 Bioshock 2
 Call of Duty
 Day Z (файлы профиля)
 Diablo
 Dragon Age: Origins (файлы игры)
 EA Sports
 Fallout 3
 F.E.A.R. 2 (файлы игры)
 Half-Life 2
 Leagues of Legends
 Metin2
 Metro 2033
 Minecraft (моды)
 Resident Evil 4
 RPG Maker VX (RGSS)
 S.T.A.L.K.E.R. (файлы игры)
 Saints Row 2
 Skyrim animation
 Star Craft 2 (сохранения)
 Star Wars: The Knights Of The Old Republic
 Steam NCF Valve Pak
 The Elder Scrolls
 Unity3D (сцены)
 Unreal 3
 Unreal Engine 3 (файлы игры)
 WarCraft 3
 World of Tanks (битвы)
 World of Warcraft

После первоначального выполнения TeslaCrypt копирует свои файлы в папку AppData: 
\AppData\Roaming\<random{7-11}>.exe - например, iylipul.exe
\AppData\Roaming\key.dat 
\AppData\Roaming\log.html 

TeslaCrypt завершает работу процессов:
taskmgr
procexp
regedit
msconfig
cmd.exe

TeslaCrypt удаляет теневые копии файлов командой:
 vssadmin.exe Delete Shadows / All / Quiet

TeslaCrypt изменяет в реестре параметр "EnableLinkedConnections" на значение 1, чтобы заставить Windows сделать доступ к сетевым дискам из программ, запущенных с админ-правами, как для административных, так и для стандартных учетных записей. Это позволит без проблем выполнять поиск и шифрование файлов на сетевых и съёмных дисках.
Для этого используется команда:
reg add «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System» /v «EnableLinkedConnections» /t REG_DWORD /d 0x00000001 /f  

ВНИМАНИЕ! Если вы храните файлы на внешнем жёстком диске, то не подключайте этот диск, когда выходите в Интернет, что-то скачиваете и устанавливаете. Будьте также осторожны с DropBox, OneDrive, Яндекс.Диск и другими облачными сервисами. Если у вас там есть папки, синхронизированные с онлайн-хранилищем, то вредоносное ПО также получит к ним доступ. С ними следует поступать также, как и с внешними дисками (см. выше) — отключать. Иначе шифровальщик, на примере TeslaCrypt, без труда получит доступ к хранимым там файлам и зашифрует их. 

Затем он вызывает API GetLogicalDriveStringsW и перечисляет все доступные диски в системе. Он ищет целевые файлы для шифрования на всех локальных, сетевых и съёмных дисках, но избегает следующих:
- файлов из директорий \Windows\, \ProgramFiles\, \AllUsers\ 
- файлов, содержащие строки и расширения, такие как "recove" и ".vvv", ".ecc", чтобы избежать шифрования файлов инструкции Howto_Restore_FILES.TXT и тех файлов, которые уже были зашифрованы.

TeslaCrypt также создает в реестра запись автозапуска, чтобы его копия выполнялась при каждой перезагрузке компьютера и продолжала шифровать новые и найденные файлы.
Например: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe

Наконец, он сохраняет записки о выкупе Howto_Restore_FILES.TXT и Howto_Restore_FILES.HTM на Рабочем столе и устанавливает одноимённое с ними BMP-изображение с белым текстом на чёрном фоне на обои Рабочего стола. 

После выполнения всех своих задач TeslaCrypt снова сохраняет свою копию в каталоге %AppData% и удаляет себя. Для обеспечения дальнейшей работы только одного экземпляра он создает мьютекс «2134-1234-1324-2134-1324-2134».

Вымогатели позволяют в качестве демонстрации работы своего дешифровщика восстановить один файл бесплатно. На Tor-сайте есть встроенный чат, в котором пользователь может получить техническую поддержку от вымогателей, например, если ему что-то непонятно в механизмах приобретения биткоинов.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arc, .arch00, .arw, .bar, .bay, .bc6, .bc7, .big, .bkf, .bkp, .blob, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lrf, .lvl, .m2, .m3u, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdb, .qdf, .qic, .r3d, .raf, .raw, .rb, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sb, .sid, .sidd, .sidn, .sie, .sis, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wmo, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (164 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Howto_Restore_FILES.TXT
Howto_Restore_FILES.HTM
Howto_Restore_FILES.BMP
<random{7-11}>.exe
key.dat
log.html

Расположения:
%Desktop%\CryptoLocker.lnk - ярлык на исполняемый файл
%Desktop%\<ransom_notes> - записки о выкупе на Рабочем столе
\AppData\Roaming\<random{7-11}>.exe - исполняемый файл, например, iylipul.exe
\AppData\Roaming\key.dat - специальный файл
\AppData\Roaming\log.html - список зашифрованных файлов

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://34r6hq26q2h4jkzj.2kjb8.net
xxxxs://34r6hq26q2h4jkzi.tor2web.fi
xxxx://atendercrumb.com/***
xxxx://aumentopenis.org/***
xxxx://apiercephoto.com/***
xxxx://austinberean.com/***
xxxx://attlecostumiers.com/***
xxxx://athomegirl.com/***
и другие, см. ниже результаты анализов.

BTC: 15Y2TmHrxjmRFxfNUttwb9aU4DifvDpWKM
1BCH7nezhy3mN4Ksp5L53erpUdmb5NTopa

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ: VT(17-2-15)>  VT(3-4-15)>  VT(15-6-15)>
Другой анализ >>

Степень распространённости: была очень высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Decryptor
 ID Ransomware (ID as TeslaCrypt 2.x)
 Write-up, Topic of Support, Guide + FAQ
 Topic of Support (.VVV, .CCC, .EXX, .EZZ, .ECC, etc) 
 Thanks: 
 Lawrence Abrams (BleepingComputer)
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *