Если вы не видите здесь изображений, то используйте VPN.

вторник, 5 января 2016 г.

TorrentLocker

TorrentLocker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES (CBC режим), а с помощью 2048-битного ключа RSA шифрует ключ AES, а затем требует 4.081 биткоинов за расшифровку. Есть более "дешевые" версии, которые, видимо, ориентированы на рядовых пользователей ПК, поэтому требуют выкуп от 0.8 до 1 BTC. 

Получил отдельное развитие вариант TorrentLocker под названием Crypt0L0ckerЭто наследование записывается так:

© Генеалогия: TorrentLocker > Crypt0L0cker 

Этимология названия:
Название TorrentLocker взято из имени раздела реестра HKEY_CURRENT_USER\Software\Bit Torrent Application\Configuration, который ранее использовался вредоносом для хранения своей конфигурации. Поздние модификации больше не использовали этот раздел реестра. 

  Создатели же назвали свой проект Racketeer (буквально "Рекетир"). Некоторые названия функций в коде вредоносной программы начинаются с префикса «rack», например, rack_init, rack_encrypt_pc. Имена файлов скриптов на C&C-сервере также начинаются с этого префикса, например, rack_cfg.php, rack_admin.php. Racketeer оправдывает свое название, т.к. заставляет покупать у злоумышленников дешифровщик. Первые версии TorrentLocker были зафиксированы в начале 2014 года, но к концу года уже было 5 известных модификаций. 

  Версии 1-3 содержали уязвимость, которая позволила специалистам ЛК создать RannohDecryptor. Но начиная с 4-й версии создатели вредоноса исправили уязвимость и дешифрование стало невозможным. Текущие версии этой вредоносной программы требуют выкупа в Bitcoin и размещают веб-страницы для уплаты выкупа в сети Tor.

  О более ранних версиях можно прочитать в статьях на Хабре (1-я часть + 2-я часть). 


Технические детали

  Распространяется TorrentLocker с помощью email-спама и вредоносных вложений, фишинг-рассылок со ссылками на архивы с вредоносным содержимым, или на зараженные эксплойтами сайты. Исполняемый файл из вложения обычно замаскирован под документ MS Office (счет, штраф, извещение, уведомление и пр.) и представляет собой дроппер вредоносной программы. Фишинговые сообщения распространяли TorrentLocker с августа 2014 г. Если вредоносное вложение не использовалось, то письмо содержало URL-ссылку на загрузку вредоносного архива, для получения которого нужно было пройти специальную капчу. 

  При использовании фишинговых рассылок с URL-ссылками специальные веб-страницы откроются только для пользователей из определенной страны (проверка по IP-адресу). Если на такую веб-страницу попадает пользователь из другой страны, то он перенаправляется на страницу Google-поиска. Пользователям мобильных устройств предлагается открыть страницу с ПК. Во вложениях также используются doc-файлы со сценариями на VBA, которые нужны для загрузки и запуска дроппера TorrentLocker. 

  Во всех случаях, текст сообщений написан на языке страны получателя. В их числе были: Австралия, Австрия, Великобритания, Германия, Голландия, Ирландия, Испания, Италия, Канада, Новая Зеландия, Турция, Франция, Чехия. Кроме этого, злоумышленники покупали и использовали в фишинг-рассылках специальные поддельные домены, очень похожие на легитимные аналоги, принадлежащие некой частной или государственной организации. Игнорируются страны: Россия, Украина, США и Китай.

  Когда TorrentLocker запускается на зараженном ПК, то он запрашивает у C&C-сервера веб-страницу с требованием выкупа, которая сообщает пользователю о том, что файлы зашифрованы и нужно заплатить выкуп за дешифровку. Если эта операция успешна, то TorrentLocker генерирует специальный 256-битный AES-ключ, который шифруется с помощью публичного 2048-битного ключа RSA, жестко зашитого в теле вредоноса. 


Ключ отправляется на удаленный C&C-сервер. Далее вредоносная программа инициирует процесс шифрования файлов определённого типа с использованием этого AES-ключа. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr, .3pr, .7z, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .awg, .backup, .backupdb, .bak, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip (236 расширений).

Пропускаются системные файлы:
.dat, .dll, .exe, inf, .ini, .msi, .sys

Сейчас уже известно, что TorrentLocker шифрует только первые 2Мб файла, чтобы сделать файл полностью неработоспособным или непригодным для использования. В конец каждого зашифрованного файла вредоносная программа добавляет три специальных поля определенного формата. Позже размер шифруемой части сократился до 1 Мб.

  По окончании шифрования TorrentLocker уничтожает в памяти ключ вызовом memset(aes_key, 0, aes_key_size), чтобы сделать невозможным получение ключа из памяти при его отладке. Этот memset выполняется для каждой копии ключа. После этого TorrentLocker отображает пользователю полученную ранее веб-страницу. Веб-страница с требованием выкупа содержит ссылку на страницу оплаты, размещенную на домене .onion. Этот домен также фигурирует в качестве одного из C&C-серверов, к которому обращается код TorrentLocker. На скриншоте ниже упоминается другой шифровальщик – CryptoLocker. Этот ход используется для того, чтобы ввести жертву в заблуждение.


  Из-за того, что разработчики TorrentLocker стали использовать режим CBC симметричного алгоритма шифрования AES, вместо ранее используемого CTR, расшифровка возможна только в случае получения закрытого ключа RSA от злоумышленников, с помощью которого можно расшифровать AES ключ. Этот зашифрованный публичным RSA ключом AES ключ хранится в конце зашифрованного файла и используется для непосредственной расшифровки файла (или его первых двух мегабайт). Публичный RSA ключ находится в теле вредоносной программы.



 TorrentLocker для Швеции

  В мае 2016 обнаружена новая кампания, в которой TorrentLocker ориентирован на Швецию. Как и более ранние кампании, этот криптовымогатель доставляется с помощью email-спама и ссылок на заражённый эксплойтами сайт. Предлагается загрузить фальшивый счет от фирмы международной связи Telia со штаб-квартирой в Стокгольме (Швеция), имеющий миллионы клиентов по всему миру. Если потенциальная жертва переходит по ссылке на веб-сайт, выглядящий как реальный сайт Telia, то натыкается на вредоносный код Captcha, который загружает вымогателя TorrentLocker, но при условии, что IP-адрес жертвы находится в Швеции. Если IP-адрес не находится в Швеции, пользователь будет перенаправлен на Google. 
  TorrentLocker пытается украсть данные жертвы, прежде чем начнёт шифрование. Он внедряется в память explorer.exe перед удалением основного компонента с произвольным именем, а затем собирает на ПК все имеющиеся сертификаты и контакты пользователей. Они отправляются на C&C-сервер и хранятся там для использования в будущих вредоносных кампаниях.
  При запуске шифрования, эта шведоориентированная версия TorrentLocker пытается зашифровать все доступные файлы данных на локальном и подключенных дисках. По завершении шифрования записка о выкупе предлагает потерпевшему купить дешифровщик за 1,153 Bitcoins (около 4099 крон, 441 евро или $ 500). Если выкуп не выплачивается в течение нескольких дней, стоимость дешифровки удваивается. Новая версия оснащена специальной функцией "сна" (временного бездействия), когда вымогатель не проявляет никакой активности, чтобы избежать обнаружения и противодействовать песочным (sandbox) и поведенческим (HIPS) технологиям защиты. 
  "Лучший уровень защиты против криптовымогателей, внедряющихся в систему в виде полезных нагрузок, это поведенческая технология защиты (так называемый HIPS). Статические проверки VirusTotal не могут контролировать поведение, поэтому не дают полноценного анализа на основе детекта или недетекта конкретного AV для проверяемых вредоносов. Поэтому криптовымогатель всегда будет делать то, что он делает", — сказал Шон Салливан, советник по безопасности F-Secure.
  "Функция сна" у нового TorrentLocker предназначена для противодействия такому поведенческому анализу и песочным технологиям. Злоумышленники предприняли контрмеры, чтобы сохранить своего вредоноса бездействующим на период поведенческого анализа.

  В перспективе злоумышленники могут легко менять вектор атаки, ориентируя атакующий вымогатель на потенциальные жертвы из любой другой страны.

Степень распространённости: перспективно высокая
Подробные сведения собираются.

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Файлы, зашифрованные некоторыми вариантами TorrentLocker, могут быть дешифрованы! 
Компания Dr.Web делает платную дешифровку после атаки шифровальщиков TorrentLocker, Crypt0L0cker и некоторых других.
Что нужно сделать, чтобы дешифровать файлы? 
- Составить запрос на тест-дешифровку (бесплатно) - на русском или на английском языках.
- Приложить записку о выкупе и несколько зашифрованных файлов (doc, docx, jpg, png, pdf);
- Подождать несколько дней, пока вам не сообщат о результате в вашем тикете. 
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as TorrentLocker, Crypt0L0cker)
 Topic of Support, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 3 января 2016 г.

Ransom32

Ransom32 Ransomware 

(шифровальщик-вымогатель, RaaS)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (блочный CTR-режим), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Если жертва не заплатит требуемую сумму за 7 дней, то все ключи дешифрования будут уничтожены. 

К зашифрованным файлам никакое расширение не добавляется. Активность этого криптовымогателя пришлась на январь-март 2016 г.  

ВАЖНО!!! Ransom32 шифрует файлы, воспользовавшись легитимными возможностями технологий JavaScript, WinRAR SFX и Bitcoin.

Для каждого файла генерируется новый ключ шифрования. Он шифруется с использованием алгоритма RSA и публичного ключа, загружаемого с C&C-сервера при первом подключении. Зашифрованный публичным ключом ключ AES сохраняется вместе с данными зашифрованного файла.

ВАЖНО!!! Использование JavaScript делает данный вымогатель кроссплатформенным, т.е. он может использоваться для Windows, Linux и Apple OS X. 

Ключевой особенностью Ransom32 является модель распространения SaaS (Software as a service), а для получения доступа к админ-панели управления вредоносом и его генерации нужно всего лишь указать адрес своего кошелька Bitcoin. 

Распространяется с помощью email-спама и вредоносных вложений. Вредоносный файл размещается внутри письма, замаскированного под неоплаченный счёт, уведомление о доставке, и т.п. Когда жертва скачает и запустит такой файл, то он связывается с сервером управления и получает команду на загрузку вредоноса Ransom32. Загруженный файл представляет собой самораспаковывающийся SFX-архив, при автоматической распаковке извлекающий набор инструментов для шифрования.

Злоумышленники выбрали высокий уровень анонимности для работы с Ransom32, для связи со своим управляющим C&C-сервером вымогатель использует анонимную сеть Tor, а оплата выкупа осуществляется в биткоинах.
Рис.1. Окно браузера Tor, в котором предлагается ввести BTC-адрес
Рис.2. Окно для генерации и отправки вымогателям архива с файлами вредоноса 

Здесь мы видим адрес электронного кошелька оператора (владельца), статистику зараженных компьютеров, сумму уже полученных средств от пострадавших, и настраиваемые параметры вредоноса. На данном скриншоте всё по нулям, т.к. образец окна получен специалистами Emsisoft.

После нажатия на кнопку "Download client.scr" для оператора будет сгенерирован архив с файлами вредоноса с указанными им в панели управления параметрами. Этот архив будет иметь размер порядка 22Мб, что существенно отличает его от других вредоносов-вымогателей с архивом весом около 1Мб.

Вредонос использует скриптовый язык WinRAR для автоматической распаковки содержимого архива во временную директорию, затем запускает на исполнение файл chrome.exe.

Описание содержимого архива
Файлы из архива имеют следующее предназначение:
- файл "chrome" содержит копию лицензионного соглашения GPL;
- файл "chrome.exe" это приложение NW.js и код вредоноса, а также среда framework для его успешной работы;
- файлы "ffmpegsumo.dll", "nw.pak", "icudtl.dat" и "locales" содержат данные, нужные NW.js для работы;
- файл "rundll32.exe" это переименованная копия файла клиента Tor;
- файл "s.exe" это переименованная копия файла набора Optimum X Shortcut, для создания и управления ярлыками на Рабочем столе и в меню Пуск;
- файл "g" это конфигурационный файл управления вредоносом;
- файл "msgbox.vbs" это небольшой скрипт для настройки popup-окна.
- файл "u.vbs" это небольшой скрипт для зачистки всех файлов в рабочей директории вредоноса.

Необходимо заметить, что NW.js (Node-WebKit) — это легитимный кроссплатформенный фреймворк, позволяющий создавать приложения с использованием популярных веб-технологий, как HTML, CSS и JavaScript. Платформа основана на Chromium и Node.js и работает в обход обычной песочницы JavaScript.
Рис.3. Файлы внутри SFX-архива

Требование выкупа
После исполнения файла вымогателя в системе, он извлечет все вышеперечисленные файлы в директорию с временными файлами. Потом скопирует себя в директорию %AppData%\Chrome Browser. Использует файл s.exe для создания ярлыка в директории автозапуска пользователя с названием «ChromeService». Далее вредонос запустит файл клиента Tor для подключения к C&C-серверу. После его уже отобразит пользователю сообщение с требованием выкупа.
Рис.4. Окно с требованием выкупа

Вымогатель предлагает жертве расшифровать один файл для демонстрации того, что эта процедура возможна. При этом отправит на C&C-сервер зашифрованный с AES ключ указанного файла и получит расшифрованную версию ключа. 

 Список файловых расширений, подвергающихся шифрованию: 
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .game, .gif, .grle, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg,  .jpg, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mlx, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .ra, .raw, .rb, .rtf, .sav, .sdf, .ses, .sldm, .sldx, .slot, .spv, .sql, .sv5, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx (127 расширений). 

Не шифруются файлы в директориях с названиями:
windows\ 
winnt\ 
programdata\ 
boot\
temp\
tmp\
$recycle.bin\

Файлы, связанные с Ransomware: 
Download client.scr
chrome.exe и другие
<random>.exe
<random>.cmd
<random>.vbs
<random>.js
<random>.tmp

Расположения:
%Temp%\nw3932_17475
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ChromeService.lnk
%AppData%\Chrome Browser\
%AppData%\Chrome Browser\.chrome\
%AppData%\Chrome Browser\.chrome\cached-certs
%AppData%\Chrome Browser\.chrome\cached-microdesc-consensus
%AppData%\Chrome Browser\.chrome\cached-microdescs
%AppData%\Chrome Browser\.chrome\cached-microdescs.new
%AppData%\Chrome Browser\.chrome\lock
%AppData%\Chrome Browser\.chrome\state
%AppData%\Chrome Browser\chrome
%AppData%\Chrome Browser\chrome.exe
%AppData%\Chrome Browser\ffmpegsumo.dll
%AppData%\Chrome Browser\g
%AppData%\Chrome Browser\icudtl.dat
%AppData%\Chrome Browser\locales\
%AppData%\Chrome Browser\msgbox.vbs
%AppData%\Chrome Browser\n.l
%AppData%\Chrome Browser\n.q
%AppData%\Chrome Browser\nw.pak
%AppData%\Chrome Browser\rundll32.exe
%AppData%\Chrome Browser\s.exe
%AppData%\Chrome Browser\u.vbs

Записи реестра, связанные с Ransomware: 
См. ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя
Подробные сведения собираются.

Статья для чтения >>
Статья для чтения >>


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as ***)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Fabian Wosar, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.


четверг, 24 декабря 2015 г.

Bitmessage

Bitmessage Ransomware

Ungluk Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2,5 BTC, чтобы вернуть файлы обратно. Зашифрованные файлы получают расширения: .bleep, .1999, .0x0, .H3LL, .fuck, .him0m и другие.

Активность этого крипто-вымогателя пришлась на декабрь 2015 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Содержание записки FILESAREGONE.TXT: 
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get 
your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with 
us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your 
personal address, you need to do this just once). Then click Send tab. 
TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.
Click Send button.
You are done.
To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки FILESAREGONE.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. Если вы хотите вернуть файлы, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем. Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.
Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет генерирован ваш личный адрес, это делается только один раз). Затем клик на Send.
TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.
Нажмите кнопку Send .
Вы это сделали.
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Содержание записки READTHISNOW !!!.TXT:
Hello. 
All your files have been encrypted using our private key. There is no way to recover them without our assistance. 
If you want to get your files back you must be ready to pay for them. If you are ready to pay then follow the instructions: 
1) Create an archive (rar or zip) with 3 files inside: Secret.key + Secret.key2 (should be on your desktop) + Any encrypted file of a small size. It can be a .doc or .pdf or .xls or whatever you have. 5 mb max. Note that this file should have this extention: .0x0; please don’t put more than one file in the archive, one file is enough. If you can’t find Secret.key2, that’s OK. It will take just a little bit more time to restore your files, so you shouldn’t worry. 
2) Upload this archive to any file sharing site. Dropbox, Google Drive, sendspace.com etc. 
3) Go to http://bitmessage.org/ and download Bitmessage. 
4) Run Bitmessage. Select ‘Your Identities’ tab. Then click New. Then click OK. Then select ‘Send’ tab. 
TO: BM-%redacted% (this is our address)
SUBJECT: your PC name (Start -> Control Panel -> System) 
MESSAGE: Link to the archive with three files in it. Then click ‘Send’. 
You are done! 
To get the fastest reply from us with all further instructions, please keep Bitmessage running on your computer all the time, if possible. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки READTHISNOW !!!.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. 
Если хотите вернуть файлы, то должны заплатить за них.  Если вы готовы платить, следуйте инструкциям:
1) Создайте архив (RAR или ZIP) с 3-мя файлами внутри: Secret.key + Secret.key2 (должны быть на вашем рабочем столе) + любой зашифрованный файл небольшого размера. Это может быть .doc, .pdf, .xls или что у вас есть. 5 Мб макс. 
Обратите внимание, что этот файл должен иметь расширение .0x0; пожалуйста, не помещайте более одного файла в архиве... 
Если не можете найти Secret.key2, это ОК. Понадобится больше времени, чтобы восстановить ваши файлы, так что вы не должны беспокоиться.
2) Вы можете отправить этот архив на любой сайт для обмена файлами. Dropbox, Google Drive, sendspace.com и т.д.
3) Перейти к http://bitmessage.org/ и скачать Bitmessage.
4) Установить Bitmessage. Выбрать Your Identities > New  кнопку OK > Send.
TO: BM-адрес
SUBJECT: имя вашего ПК (Пуск > Панель управления > Система)
MESSAGE: Ссылка на архив с тремя файлами в нем. Затем нажмите кнопку "Отправить". 
Вы это сделали! 
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.



Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По завершении шифрования крипто-вымогатель удаляет теневые копии файлов. 

Цели шифрования: базы данных, документы, PDF, музыка, видео, общие сетевые папки и пр. 

Список файловых расширений, подвергающихся шифрованию:
.113, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .73b, .7z, .a3d, .ab4, .abf, .abk, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .aep, .agd1, .ach, .ai, .ait, .al, .apj, .apk, .ark, .arw, .as4, .asf, .asm, .asp, .asset, .asvx, .asx, .ate, .ati, .avi, .awg, .azw, .azw4, .b1, .bac, .back, .backup, .backupdb, .bak, .bakx, .bar, .bay, .bb, .bc6, .bc7, .bck, .bcm, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bpw, .bsa, .c, .cab, .cas, .cb7, .cbr, .cbt, .ccd, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cf, .cfp, .cfr, .cgm, .cib, .cls, .cmt, .con, .cpi, .cpp, .cpt, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .ctb, .d3dbsp, .dac, .das, .dat, .data, .db, .db0, .db3, .dba, .dbf, .dc2, .dc3, .dcr, .dcs, .ddrw, .dds, .der, .des, .desc, .design, .dgb, .dgc, .dicom, .divx, .djvu, .dmg, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dt, .dta, .dtaus, .dtd, .dwfx, .dwg, .dxb, .dxf, .dxg, .edi, .eml, .emlx, .epk, .eps, .epub, .erbsql, .erf, .esm, .exf, .fb2, .fbf, .fbk, .fbw, .fbx, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gbk, .gdb, .gho, .gif, .gpx, .gray, .grey, .gros, .gry, .h, .hbk, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .hxi, .hxq, .hxr, .hxs, .hxw, .chi, .chm, .chq, .chw, .ibank, .ibd, .ibz, .icxs, .idx, .iff, .img, .inc, .incpas, .iso, .itdb, .itl, .itm, .iv2i, .iwd, .iwi, .jar, .java, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .keystore, .keystore, .kf, .kpdx, .layout, .lbf, .ldf, .lic, .lit, .litemod, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2v, .m3d, .m3u, .m4a, .m4v, .map, .max, .mcmeta, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mds, .mef, .menu, .mfw, .mkv, .mlx, .mmw, .mobi, .model, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg-1, .mpeg-2, .mpeg-4, .mpg, .mpg, .mpq, .mpqge, .mrw, .mrwref, .msg, .myd, .nbd, .ncf, .nd, .ndd, .nef, .netcdf, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nwb, .nx1, .nx2, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pub, .pwm, .py, .pz3, .qba, .qbb, .qbm, .qbo, .qbr, .qbw, .qbx, .qby, .qdf, .qfx, .qic, .qif, .qt, .qvw, .s3db, .sav, .sb, .sbs, .sd0, .sd1, .sda, .sdf, .sdxf, .shtm, .shtml, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldm, .sldprt, .sldx, .slm, .sln, .sn1, .sna, .snx, .spf, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sub, .sum, .suo, .svg, .swf, .swm, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .t12, .t13, .tar, .tax, .tbl, .tex, .tga, .tib, .tis, .tlg, .trn, .txt, .upk, .vcf, .vdf, .vfs0, .vob, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wallet, .wav, .wbb, .wbcat, .wdb, .wif, .wim, .win, .wma, .wmo, .wmv, .wpd, .wps, .x3f, .xar, .xf, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsk, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmi, .xml, .ycbcra, .yuv, .z, .zip, .ztmp (501 расширение). 

Файлы, связанные с этим Ransomware:
FILESAREGONE.TXT - записка с требованием выкупа "Файлы исчезли";
READTHISNOW !!!. TXT  - записка с требованием выкупа "Прочти сейчас";
IHAVEYOURSECRET.KEY  - специальный файл с ключом;
Secret.key, Secret.key2 - специальные файлы;
<random>.exe - случайное название

Степень распространенности: средняя.
Подробные сведения собираются. 


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bitmessage (Ungluk) Ransomware - декабрь 2015
WonderCrypter (YouGotHacked) Ransomware - июнь 2016
Moth Ransomware - июнь 2016



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний образец от 15 декабря 2015 года:
Сообщение >>
Расширение: .him0m или без расширения
Файл: SECRETKEYISHIDINGHERE.KEY
Записка: READTHISSHITNOWORELSE.TXT 
Bitmessage: BM-NByDti9xJ9NcFShLaBfE1fkAW8uk51WQ
 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Ungluk)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

среда, 16 декабря 2015 г.

XRTN

XRTN Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот криптовымогатель шифрует данные с помощью RSA-1024 с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). К зашифрованным файлам добавляется расширение .xrtn

Вымогатель XRTN относится к семейству VaultCrypt. Распространялся с декабря 2015 г. Затем ему на смену пришли Trun и Xort с теми же записками, но с другими ящиками на Яндексе. 

© Генеалогия: VaultCrypt > XRTN 

  После шифрования жертве показывается HTA-документ с названием <random_name>.hta, в котором предписывается связаться по адресу xrtnhelp@yandex.ru с "экспертами". 

Содержание текста о выкупе:
ATTENTION!
All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm
Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
contact an expert on email: xrtnhelp@yandex.ru

Перевод на русский:
ВНИМАНИЕ!
Все важные файлы и информацию на этом comuter (документы, базы данных и т.д.) можно расшифровать используя криптографический алгоритм RSA
Без спец. программы декодирование одного файла с помощью самых мощных компьютеров займет около 20 лет.
контакт с экспертом по email: xrtnhelp@yandex.ru

Ошибки в тексте:
comuter - правильно: computer (компьютер)

Email-адрес вымогателей: xrtnhelp@yandex.ru

После шифрования удаляются теневые копии файлов, если UAC отключена, или выводится при активной UAC запрос на внесение изменений. Разумеется, нужно отказаться, чтобы копии файлов сохранились и можно было восстановить хотя бы часть утраченной информации после удаления вредоносных файлов. 

  Распространяется с помощью email-спама с вредоносным вложением в виде некоего Word-файла. Состоит из множества инструментов и пакетных файлов, которые выполняют шифрование файлов. Устанавливается с помощью файла JavaScript, который загружает на компьютер жертвы файлы из gusang.vpscoke.com. Эти загруженные файлы файлы включают GnuPG.exe, документ Word, и пакетный файл, который выполняет процедуру шифрования. После запуска установщик JavaScript сначала загрузит файлы, запустит документ Word, а затем командный файл. Когда пакетный файл выполняется, он генерирует ключ RSA-1024 и сканирует по-буквенно все диски для поиска файлов которые нужно зашифровать согласно заложенной в него конфигурации, и добавлять к ним расширение .XRTN. Затем удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .xlsx, .zip и многие другие. 

См. более полный список в описании вымогателей Xort и Trun

  В процессе шифрования пакетный файл экспортирует закрытый ключ, который был использован для шифрования данных, в файл с именем XRTN.key. В нем также содержатся: имя пользователя, имя компьютера, дата, количество зашифрованных файлов, подсчет всех типов зашифрованных расширений и другие параметры. XRTN.key файл необходим для дешифровки файлов жертвы.

Файлы, связанные с XRTN Ransomware:
%Temp%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
%AppData%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
C:\Users\User_name\AppData\Roaming\<random_name>.hta - полный путь
%Temp%\4077430c_xrtn.KEY
%Temp%\CONFIRMATION.KEY
%Temp%\Do_88u.docx
%Temp%\gPG.EXE
%Temp%\<random>.js
%Temp%\dsfsdghd.bat, шаблон <random>.bat
%Temp%\ez3x7je8.cmd, шаблон <random>.cmd
%Temp%\xrtn.KEY
%Temp%\xrtn.txt
%AppData%\xrtn.KEY

Записи реестра, связанные с XRTN Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\onuntsss
mshta %AppData%\3cnq8256w5rxxavz.hta

Степень распространенности: средняя.
Подробные сведения собираются. 



Read to links: 
Write-up on BC + other
ID Ransomware

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 al1963

 

среда, 25 ноября 2015 г.

Fakben Team

Fakben Team Ransomware


  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп 1,505 биткоина, чтобы вернуть файлы. 

К зашифрованным файлам добавляется расширение .locked

© Генеалогия: Hidden Tear >> Fakben Team

  Основан на Hidden Tear, но очень плохо написан, по мнению исследователей "как будто детишки баловались". Но тем не менее поставляется как Ransomware-as-a-Service (RaaS). 

Очень похож на Hi Buddi! Ransomware, но есть отличия. Активность пришлась на конец 2015 года. 


Remove Fakben Team Decrypt Fakben Decode Restore files Recovery data Удалить Fakben Team Дешифровать Расшифровать Восстановить файлы


Записка о выкупе называется READ ME FOR DECRYPT.txt и дублируется скринлоком с QR-кодом. 

  Вредонос прописывается в Автозагрузку, чтобы выполняться при каждом запуске системы для текущего пользователя и системы. Также завершает процесс и отключает диспетчер задач, установив на DisableTaskMgr значение "1". 

  Fakben регистрируется на своем C&C-сервере, используя информацию о системе пострадавшего ПК и GeoIP-местонахождение, определяемое с помощью сайта www.hostip.info. Затем поддерживает связь с C&C-сервером через определенные промежутки времени. 

Шифрованию подвержены директории Desktop, Personal, MyPictures, MyMusic и файлы со следующими расширениями:
doc, docx, xls, xslx, ppt, pptx, odt, txt, jpg, png, csv, js, sql, mdb, sln, php, asp, aspx, html, xml, psd, pdf

Подробности по функциональному коду в блоге Fortinet

Степень распространенности: низкая.
Подробные сведения собираются. 

пятница, 20 ноября 2015 г.

CryptInfinite

CryptInfinite Ransomware 

DecryptorMax Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует уплатить выкуп $500, используя ваучер PayPal MyCash, чтобы вернуть файлы обратно. Если платеж не придет за 12 часов, то плата за ключ дешифрования возрастет до $1000.

  Название различается в зависимости от сайта, с которого загрузилась инфекция. 

 К зашифрованным файлам добавляется расширение .crinf или .CRINF
Активность этого криптовымогателя пришлась на ноябрь-декабрь 2015 г. 

  Записка с требованием выкупа ReadDecryptFilesHere.txt создается в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
Your personal files have been encrypted!
Your documents, photos, databases and other important files have been encrypted using a military grade encryption algorithm.
The only way to decrypt your files is with a unique decryption key stored remotely in our servers. All your files are now
unusable until you decrypt them. You have 24h to pay for the release of your decryption key. After 24h have passed, your
decryption key will be erased and you will never be able to restore your files.
To obtain your unique decryption key you will need to pay $500 using a PayPal MyCash voucher.
If the payment is not sent within 12h the amount to obtain your decryption key will be $1000.
PayPal MyCash vouchers can be purchased at CVS, 7-Eleven, Dollar General, fred`s Super Dollar,
Family Dollar and many other stores.
---
After obtaining your PayPal MyCash voucher code you need to send an email to
silasw9pa@yahoo.co.uk with the following information.
1. Your $500 PayPal MyCash PIN
2. Your encryption ID = <your id>
Shortly after the voucher is received and verified, all your files will be restored to their previous state.
All payments are processed and verified manually, do not try to send invalid PIN numbers.

Перевод записки на русский язык: 
Ваши личные файлы зашифрованы!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с использованием алгоритма шифрования военного класса.
Единственный способ дешифровки файлов - это уникальный ключ дешифрования, хранимый на наших серверах. Все ваши файлы теперь непригодны для использования, пока вы их не дешифруете. У вас есть 24 часа, чтобы заплатить за ключ дешифрования. После 24 часов ключ дешифрования будет стерт и вы не сможете восстановить файлы.
Чтобы получить уникальный ключ дешифрования вам нужно заплатить $500, используя ваучер PayPal MyCash.
Если платеж не придет за 12 часов, то плата за ключ дешифрования возрастет до $1000.
PayPal MyCash ваучеры можно приобрести в CVS, 7-Eleven, Dollar General, fred`s Super Dollar, Family Dollar и во мн. др. магазинах.
---
После получения вашего PayPal MyCash код ваучера нужно отправить по email
silasw9pa@yahoo.co.uk следующую информацию.
1. Ваш $ 500 PayPal MyCash PIN
2. Ваш ID шифрования = <ваш ID>
Вскоре после получения и проверки ваучера все ваши файлы будут восстановлены.
Все платежи обрабатываются и проверяются вручную, не отправляйте неверные номера PIN.

Адреса вымогателей могут быть следующими: 
silasw9pa@yahoo.co.uk
decryptor171@mail2tor.com
decryptor171@scramble.io

  Распространяется с помощью email-спама и вредоносных вложений, в качестве которых выступает документ Word с вредоносными макросами. При открытии выводится сообщение с требованием включит макросы для отображения документа. 

Список файловых расширений, подвергающихся шифрованию: 
.accdb, .bay, .dbf, .der, .dng, .docx, .dxf, .erf, .indd, .mef, .mrw, .odb, .odp, .pdd, .pef, .pptm, .psd, .ptx, .raw, .srf, .xlk, .xls, .ach, .aiff, .arw, .asf, .asx, .avi, .back, .backup, .bak, .bin, .blend, .cdr, .cer, .cpp, .crt, .crw, .dat, .dcr, .dds, .des, .dit, .doc, .docm, .dtd, .dwg, .dxg, .edb, .eml, .eps, .fla, .flac, .flvv, .gif, .groups, .hdd, .hpp, .iif, .java, .kdc, .key, .kwm, .log, .lua, .m2ts, .max, .mdb, .mdf, .mkv, .mov, .mpeg, .mpg, .msg, .ndf, .nef, .nrw, .nvram, .oab, .obj, .odc, .odm, .ods, .odt, .ogg, .orf, .ost, .pab, .pas, .pct, .pdb, .pdf, .pem, .pfx, .pif, .png, .pps, .ppt, .pptx, .prf, .pst, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rtf, .rvt, .rwl, .safe, .sav, .sql, .srt, .srw, .stm, .svg, .swf, .tex, .tga, .thm, .tlg, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xlr, .xlsb, .xlsm, .xlsx, .yuv,.jpeg,.jpe, .jpg (150 расширений)

Для каждого зашифрованного файла добавляется в реестр ключ HKCU\Software\CryptInfinite\Files\номер. Подробнее >>

Из процесса шифрования исключаются любые файлы, которые содержат следующие строки: Windows, Program Files, KEY, .crinf

При установке вредонос создает уникальный идентификатор жертвы, переименовывает и создать новый исполняемый файл, по имени идентификатора. Исполняемый сохраняется в папке %USERPROFILE%. Пример такого файла test-ADBFFA-G131.exe. 

Расположение: 
C:\Users\<user_name>\<victim-id>.exe

Затем вредонос выполняет следующие команды (удаляет тома теневых копий файлов, отключает восстановление системы и средство восстановления при загрузке, переводя его в статус игнорирования всех ошибок загрузки Windows):
cmd.exe /k vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /k bcdedit.exe /set {default} recoveryenabled No
cmd.exe /k bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

На выполнение этих команд требуются права администратора, и если UAK не отключен, то выйдет уведомление на выполнение Vssadmin.exe. В таком случае нужно отказать в выполнении каждого запрошенного процесса. 

Вредонос будет также завершать выполнение общих приложений, используемых при анализе вредоносного ПО:
TASKKILL /F /IM msconfig.exe
TASKKILL /F /IM rstrui.exe
TASKKILL /F /IM tcpview.exe
TASKKILL /F /IM procexp.exe
TASKKILL /F /IM procmon.exe
TASKKILL /F /IM regmon.exe
TASKKILL /F /IM wireshark.exe
TASKKILL /F /IM LordPE.exe
TASKKILL /F /IM regedit.exe
TASKKILL /F /IM cmd.exe
TASKKILL /F /IM filemon.exe
TASKKILL /F /IM procexp64.exe

По окончании шифрования вредонос вывод перед жертвой экран блокировки, который состоит из нескольких диалогов. Первый содержит основную информацию о том, что случилось с файлами, а второй позволяет проверять и увидеть статус проведенного платежа. 

Если жертва сделала платёж, и это подтвердилось, то появится третий диалог, в котором будет ссылка откуда скачать Decrypter.

DecryptorMax прописывает себя в Автозагрузку системы, меняет обои рабочего стола на свой графический файл z2.bmp с требованиями выкупа. 
Его местонахождение: C:\Users\z2.bmp.

Файлы, добавленные CryptInfinite:
%AppData%\XBMGERoOjZX.exe
%UserProfile%\<id>.exe
C:\Users\<login_name>\z2.bmp

Ключи реестра, добавленные CryptInfinite:
HKCU\Software\CryptInfinite
HKCU\Software\CryptInfinite\Files
HKCU\Software\CryptInfinite\Info
HKCU\Software\CryptInfinite\Info\KEY 000000
HKCU\Software\CryptInfinite\Info\1 000000
HKCU\Software\CryptInfinite\Info\c 23
HKCU\Software\CryptInfinite\Info\m 57
HKCU\Software\CryptInfinite\Info\s 21
HKCU\Software\CryptInfinite\Info\Finish True
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft corporation C:\Users\<login_name>\<id>.exe
HKCU\Control Panel\Desktop\WallpaperStyle "0"
HKCU\Control Panel\Desktop\Wallpaper "C:\Users\<login_name>\z2.bmp" 

Степень распространённости: средняя
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *