Если вы не видите здесь изображений, то используйте VPN.

пятница, 5 февраля 2016 г.

JobCrypter

JobCrypter Ransomware

JobCrypter NextGen: Die Hard 4

(шифровальщик-вымогатель) 


   Этот крипто-вымогатель шифрует данные пользователей с помощью 3DES, (TripleDES), а затем требует выкуп, чтобы вернуть файлы обратно. 

Судя по тексту требования о выкупе, JobCrypter ориентирован только на французских пользователей. Для снятия блокировки файлов, пострадавшей стороне нужно заплатить выкуп в размере 300 евро с карты PaySafeCard. В последующих версиях сумма выкупа стала больше. 

Этимология названия: Название "JobCrypter" (работа + шифровальщик) призвано оправдать действия безработного шифровальщика-вымогателя, которому больше нечем заняться и негде заработать. 

К зашифрованным файлам добавляется расширение .locked или .css

© Генеалогия: Hidden Tear + 3DES >> JobCrypter > JobCrypter NextGen

Пик распространения этого вымогателя пришелся на февраль-март-апрель 2016 года. Примечательно, что немало инфицированных JobCrypter ПК оказалось на первых порах в Литве. Распространение продолжилось в 2017-2020 гг.

Записки с требованием выкупа называются: 
Comment débloquer mes fichiers.txt (Как разблокировать мои файлы)
Readme.txt (Прочти меня)
Записка на французском языке

Во французском тексте довольно много орфографических и грамматических ошибок, а это говорит о том, что этот язык не является родным для вымогателей. 

Перевод записки на русский язык:
Здравствуйте, мы люди без работы, не ищем проблем, просто хотим прокормить свои семьи, мы просим вас не глупить, 
Потому что это нехорошо для вас,
Мы зашифровали файлы с помощью персонального алгоритма и просим заплатить выкуп в 300 EURO, чтобы разблокировать файлы.
Мы гарантируем полное возвращение вашего файла и никогда больше не услышать о нас, итак, 
Об оплате: Оплата может быть выполнена с помощью доступной на всей территории Франции карты Paysafecard,
вот ссылка, чтобы быстро найти ближайшие точки продажи к вам:
hxxps: //wm.paysafecard.com/fr-fr/acheter/trouver-des-points-de-vente/
Любой запрос на снятие блокировки файлов без оплаты будет автоматически отклонен,
Мы принимаем только карты EURO 50 и 100 евро,
Пожалуйста, отправьте коды карты на один из следующих email-адресов:
geniesanstravaillee@outlook.fr
geniesanstravaillee@yahoo.fr
geniesanstravaillee@gmail.com
Не забудьте указать имя пользователя ПК в теме письма, Ваше имя пользователя: 0E66C256
В подтверждение доброй воли и доказательства вам, что это не афера,
Мы можем расшифровать 1 файл для вас бесплатно,
Пожалуйста, пришлите нам один из ваших зашифрованных файлов в качестве вложения к email, указанные выше и не забудьте указать идентификатор вашего ПК, чтобы мы могли взять ключ дешифрования от наших клиентов. 
Вы получите результат с кодом разблокировки в тот же день оплаты.
Мы приносим свои извинения за причиненные неудобства.

Позже, записка о выкупе стала внедряться в зашифрованные файлы. Примеры смотрите в обновлениях ниже. 



Технические детали

Распространяется с помощью email-спама и вредоносных вложений, которые могут содержать вредоносный JS-файл.  
Может распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Отключает настройки безопасности в браузере Internet Explorer.
 Изменяет файлы в папке расширений Chrome.
 Действия выглядят как кража личных данных.

 Добавляется в Автозагрузку и меню Пуск.
➤ При шифровании выполняется Base64 (TripleDES(Base64(filebytes))

Файлы, связанные с этим Ransomware:
Comment débloquer mes fichiers.txt - отдельный файл записки был только в ранних версиях. 
L o c k e r.exe
Screen.jpg - делается снимок экрана
<random>.exe - случайное название
C:\Users\User\AppData\Local\Temp\{name_malware}.exe
{name_malware}.js

Расположения:
%TEMP%\Screen.jpg
%APPDATA%\L o c k e r.exe

Сетевые подключения и связи: 
auth.smtp.1and1.fr

Степень распространенности: средняя.
Подробные сведения собираются. 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Первые версии использовали записку о выкупе Comment débloquer mes fichiers.txt.
Последующие версии стали внедрять её содержимое в зашифрованные файлы, меняя только контакты и адреса. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 февраля 2017:
Пост в Твиттере >>
Файлы: L o c k e r.exe, FL.exe, Screen.jpg
Самоназвание:  J o b C r y p t e r
Email: frthnfdsgalknbvfkj@outlook.fr
frthnfdsgalknbvfkj@yahoo.com
frthnfdsgalknbvfkj@gmail.com 
Результаты анализов: HAVT

Обновление от 6 марта 2017:
Расширение: .css
Записка находится в зашифрованном файле.
Email: такие же, как раньше.
Видеообзор >>

Обновление от 2 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле. 
Email: такие же, как раньше.



Не видно других различий. 

Результаты анализов: VT


Обновление от 13 августа 2018:
Расширение: .css
Email: hotline@adpresence.net, booba.karis2542@gmail.com
URL: auth.smtp.1and1.fr (212.227.15.168)
Фальш-имя: Opera Internet Browser
Результаты анализов:  VT


Обновление от 13 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле. 
Сумма выкупа: 1000€
Email: heniesanstravaille@out1ook.fr
heniesanstravaille@yahoo.com
heniesanstravaille@gmai1.com
URL: auth.smtp.1and1.fr (212.227.15.184)
URL: xxxx://poislgam.fr/


Скриншот текста о выкупе

Скриншот сайта вымогателей

url-адреса
Результаты анализов: VT + HA 


JobCrypter NextGen

Промежуточное обновление: 
Самоназвание: Die Hard 4
Текст на английском языке.
Tor-URL: http://diehard4uty2z5cs.onion



Обновление от 5 мая 2020:
Пост в Твиттере >>
Расширение: .css
Самоназвание: Die Hard 4
Все тексты написаны на французском языке.
Tor-URL: http://diehard4uty2z5cs.onion
Email: WarlockdeDieHard4@protonmail.com
По-прежнему текст вымогателей внедрён в зашифрованные файлы.

 

Я сделал один файл анимационным, чтобы показать, как просмотреть содержимое в hex-редакторе (см. красную стрелку). 

 



Обновление от 12 мая 2020:
Пост в Твиттере >>
Расширение: .css
Email: patrick4452@protonmail.com
Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний). 
Файлы: hytrre.js, 745787747877.exe
Результаты анализов: VT + AR + IA + TG


➤ Содержание записки: 

Bonjour, 
Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles, 
Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous
Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer, 
Et nous vous demandons de nous payer une rançon de 500 Euros pour décrypter et récupérer vos fichiers, 
Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous, 
Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement 
Pour vous prouver que nous pouvons décryptées et récupérer vous fichier,
Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement, 
N'oubliez pas de citer sur l'e-mail identifiants suivants: C4BA3647
Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients,
patrick4452@protonmail.com
patrick4452@protonmail.com
patrick4452@protonmail.com
Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard
Sinon vous serez obligé d'attendre 24 heures
Vous avez 15 jours pour payer à partir de cette date: 5/12/2020 1:36:26 PM
Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus 
Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir, 
Le texte que vous voyez en dessous si votre fichier crypté.
Merci.
***

Обновление от 8 июля 2020:
Пост в Твиттере >>
Расширение: .txt
Записка: в файле
Email: Olivier92747@protonmail.com
Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний). 


Файлы: officiel.exe, bntyhxd.js

Название проекта: officiel.pdb
Файл в Автозагрузке: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\bntyhxd.js
Результаты анализов: VT + HA + IA + AR + TG


➤ Содержание записки: 

Bonjour, 
Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles, 
Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous
Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer, 
Et nous vous demandons de nous payer une rançon de 1000 Euros pour décrypter et récupérer vos fichiers, 
Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous, 
Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement 
Pour vous prouver que nous pouvons décryptées et récupérer vous fichier,
Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement, 
N'oubliez pas de citer sur l'e-mail identifiants suivants: C4B*****
Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients,
Olivier92747@protonmail.com
Olivier92747@protonmail.com
Olivier92747@protonmail.com
Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard
Sinon vous serez obligé d'attendre 24 heures
Vous avez 7 jours pour payer à partir de cette date: 7/8/2020 11:17:07 AM
Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus 
Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir, 
Le texte que vous voyez en dessous si votre fichier crypté.
Merci.
*****

Обновление от 11 августа 2020:
Пост в Твиттере >>
Расширение: .txt
Записка: в файле
Пример: ac3b9aed7fa9674757159e6d7d575672f9d98100941e9bdeffeca1313b75782d.sth.txt
Результаты анализов: VT + AR + IA + TG


➤ Содержание записки: 

*******you can't open files???****
Do not be afraid, you can recover all your files please follow the following steps
*** Step 1 Download Tor Browser ***
Here is the link to download Tor Browser: https: //www.torproject.org/en/download/languages/
Here is the link How to install TOR Browser on Windows: https://www.youtube.com/watch?v=ehQcx_6DsTw
                                                            *******Step 2 accessing our site*****
Open this site In the Tor browser : http://diehard4uty2z5cs.onion/
(Important)
This site only works with the Tor browser
***** What guarantees you have?****
You can send one of your encrypted file from your PC and we decrypt it for 5 dollar
But we can decrypt only 1 file for 5 dollar File must not contain valuable information.
Your personal ID: 7CD9E***
You have 7 days To buy your key from this date:
If you exceed the deadline will increase by 100 dollar per day, we therefore advise you to respect the deadlines mentioned above.
Thank you.
cordially Die Hard 4
;+GR1j5cwBH2Ww9eaHtLJjed/g+DYnZVbRrsyVeRLZ3*** [всего 877 знаков]


== 2021 ===

Вариант от 23 марта 2021:
Расширение: .txt
Записка: в файле
Email: olaggoune235@protonmail.ch, ouardia11@tutanota.com
Результаты анализов: VT + TG
---
➤ Содержание записки:
We are human beings without a job, we are not looking for problems, we just want to feed our families,
We encrypted all your files using a powerful algorithm.
We ask you to pay a ransom of 500 euros to decrypt and restore your files.
We guarantee your files will be fully opened
Contact us by email to communicate the payment method : 
olaggoune235@protonmail.ch
ouardia11@tutanota.com
***** What guarantee you? ****
You can send one of your encrypted files on your computer and we decrypt it for free
But we can only decrypt one file for free. The file must not contain valuable information.
Write this ID 80120786 in the title of your message 
You have 7 days to purchase your key from this date:
If you exceed the deadline it will increase by $ 100 per day, so we advise you to respect the above mentioned deadlines;ASHUEBt9gFiirc45+2h720SH/Ag***





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as JobCrypter)
 Topic of Support, later Write-up (March 19, 2018)

 🎥 Video review >>
 - Видеообзор от João Pena Gil (отдельный файл записки показан на 2 минуте видео)
 - Видеообзор от CyberSecurity GrujaRS (записка в зашифрованном файле)
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Emmanuel_ADC-Soft
 Tomas Meskauskas (first screenshot from pcrisk.com)
 Andrew Ivanov
 GrujaRS, Erez Yalon, João Pena Gil
 
© Amigo-A (Andrew Ivanov): All blog articles.

среда, 3 февраля 2016 г.

HydraCrypt

HydraCrypt Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (режим CBC, ключ RSA-2048), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Срок уплаты выкупа - 72 часа. Если пользователь не платит в течение этого времени, сумма выкупа возрастает. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. HydraCrypt относится к семейству криптовымогателей CrypBoss. Очень похож на UmbreCrypt

  Зашифрованные файлы получают расширение .hydracrypt_ID_[8 случайных знаков ID]

 Для каждой папки, в которой были зашифрованы файлы, HydraCrypt также создаёт текстовую записку с требованием выкупа под названием 
README_DECRYPT_HYRDA_ID_ [victim_id].txt. По окончании шифрования данных будет отображён экран блокировки с требованием выкупа, который сообщает о том, что произошло с файлами жертвы. 

Записки о выкупе называются:
README_DECRYPT_HYRDA_ID_[victim_id].txt
README_DECRYPT_HYRDA_ID_[victim_id].jpg

Для связи с вымогателями предлагаются email-адреса:
xhelper@dr.com
ahelper@dr.com

  При установке HydraCrypt сканирует диски C, D, E, F, G и Н на компьютере для поиска файлов, которые соответствуют нужным ему расширением. При обнаружении целевого расширения шифрует файлы с помощью AES и добавляет окончание hydracrypt_ID_ [victim_id] к зашифрованному файлу. Таким образом, файл Chrysanthemum.jpg после шифрования станет Chrysanthemum.jpg.hydracrypt_ID_d2vak123 .

Список файловых расширений, подвергающихся шифрованию:
 .$db, .__a, .__b, .~cw .001, .002, .003, .113, .3fr, .73b, .7z, .ab, .aba, .abbu, .abf, .abk, .accdb, .acp, .acr, .adi, .aea,.afi, .ai, .apk, .arc, .arch00, .arw, .as4, .asd, .ashbak, .asset, .asv, .asvx, .ate, .ati, .avi, .bac, .backup, .backupdb, .bak~, .bak2, .bak3, .bakx, .bar, .bay, .bbb, .bbz, .bc6, .bc7, .bck, .bckp, .bcm, .bd, .bdb, .bff, .bif, .bifx, .big, .bik, .bk1, .bkc, .bkf, .bkp, .bkup, .bkz, .blend1, .blend2, .blob, .bm3, .bmk, .bmp, .bpa, .bpb, .bpm, .bpn, .bps, .bsa, .bup, .caa, .cas, .cbk, .cbs, .cbu, .cdr, .cer, .cfr, .ck9, .cmf, .cr2, .crds, .crt, .crw, .csd, .csm, .css, .csv, .d3dbsp, .da0, .das, .dash, .dat, .dazip, .db0, .dba, .dbf, .dbk, .dcr, .der, .desc, .dim, .diy, .dmp, .dna, .dng, .doc, .dot, .dov, .dpb, .dsb, .dwg, .dx, .dxg, .epk, .eps, .erf, .esm, .fbc, .fbf, .fbk, .fbu, .fbw, .ff, .fh, .fhf, .flka, .flkb, .flv, .forge, .fos, .fpk, .fpsx, .fsh, .ftmb, .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .gdb, .gho, .ghs, .hkdb, .hkx, .hplg, .hvpl, .ibk, .icbu, .icf, .icxs, .indd, .ini.$$$, .inprogress, .ipd, .itdb, .itl, .itm, .iv2i, .iwd, .iwi, .jbk, .jdc, .jpe, .jpg, .js, .kb2, .kdb, .kdc, .kf, .layout, .lbf, .lcb, .litemod, .llx, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mbf, .mbk, .mbw, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mef, .mem, .menu, .mig, .mkv, .mlx, .mov, .mp4, .mpb, .mpqge, .mrw, .mrwref, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .ncf, .nco, .nda, .nef, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nrw, .ntl, .nwbak, .obk, .odb, .odc, .odm, .odp, .ods, .odt, .oeb, .old, .onepkg, .orf, .ori, .orig, .oyx, .p12, .p7b, .p7c, .pak, .paq, .pba, .pbb, .pbd, .pbf, .pbj, .pbx5script, .pbxscript, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .pps, .ppt, .pqb, .pqb-backup, .prv, .psa, .psd, .psk, .pst, .ptb, .ptx, .pvc, .pvhd, .qba, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbw, .qbx, .qdf, .qic, .qic, .qsf, .qualsoftcode, .quicken2015backup, .quickenbackup, .qv~, .r3d, .raf, .rar, .raw, .rb, .rbc, .rbf, .rbk, .rbs, .rdb, .re4, .rgmb, .rgss3a, .rim, .rmbak, .rofl, .rrr, .rtf, .rw2, .rwl, .sav, .sav, .sb, .sbb, .sbs, .sbu, .scan, .sdc, .sid, .sidd, .sidn, .sie, .sim, .sis, .skb, .slm, .sme, .sn1, .sn2, .sna, .sns, .snx, .spf, .spg, .spi, .sps, .sqb,.sql, .sr2, .srf, .srr, .srw, .stg, .sum, .sv$, .sv2i, .svg, .syncdb, .t12, .t13, .tar.gz, .tax, .tbk, .tdb, .tibkp, .tiff, .tig, .tis, .tlg, .tmp, .tmr, .tor, .trn, .ttbk, .txt, .uci, .unrec, .upk, .v2i, .vbk, .vbm, .vbox-prev, .vcf, .vdf, .vfs0, .vpcbackup, .vpk, .vpp_pc, .vrb, .vtf, .w3x, .wallet, .wb2, .wbb, .wbcat, .wbk, .win, .wjf, .wma, .wmo, .wmv, .wotreplay, .wpb, .wpd, .wps, .wspak, .x3f, .xbk, .xf, .xlk, .xlk, .xls, .xml, .xxx, .yrcbck, .zip, .ztmp (415 расширений). 

Как известно HydraCrypt распространяется с помощью набора экспллойтов Angler EK, но может, как и UmbreCrupt, быть установлен вручную при взломе терминальных служб или удаленного рабочего стола. Если ПК был инфицирован этим вымогателем, то нужно проверить журналы событий Windows на предмет неудачных попыток входа, и тем самым определить учётную запись, которая была скомпрометирована.

HydraCrypt пропускает шифрование файлов, находящихся в директориях:
Windows, WINDOWS, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), ProgramData

Степень распространенности: средняя.
Подробные сведения собираются. 

вторник, 2 февраля 2016 г.

DMA Locker 1-2-3

DMA Locker 1-2 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим ECB), а затем требует выкуп в 4 BTC, чтобы вернуть файлы. Самые ранние, польский и английский варианты вымогателя просили от 1 до 2 BTC в качестве выкупа. Оригинальное название: DMA Locker.

© Генеалогия: DMA Locker 1.0, 2.0,
 3.0 DMA Locker 4.0 DMALocker NextGen  

К зашифрованным файлам добавляется не расширение, а специальный идентификатор. 

Активность этого крипто-вымогателя пришлась на декабрь 2015 и январь-февраль-март 2016 г. Ориентирован на англоязычных и иноязычных пользователей, что не мешает распространять его по всему миру. 

Текстовая информация содержится в файле cryptinfo.txt

Основной запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
All your personal files are LOCKED!
WHAT’S HAPPENED?
* All your important files(including hard disks, network disks, flash, USB) are encrypted.
* All of files are locked with asymetric algorithm using AES-256 and then RSA-2048 cipher.
* You are not possible to unlock your files because all your backups are removed.
* Only way to unlock your files is to pay us 1072 GBP in Bitcoin currency ( 4.0 BTC ).
After payment we will send you decryption key automatically, which allow you to unlock files .
---
HOW TO PAY US AND UNLOCK YOUR FILES?
1. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites:
* https://www.coinfloor.co.uk
* https://www.coinbase.com/
* https://www.bitstamp.net/
2. If you already have Bitcoins, pay us 4.0 BTC (1072 GBP) on following Bitcoin address:
1BA48s9Eeh77vwWiEgh5Vt29G3YJN1PRoR
3. After payment, necessarily contact with us to get your decryption key:
january0060@gmx.com . In mail title write your unigue ID:
DMALOCK 41:55:16:13:51:76:67:99
4. We will automatically send you decryption key after bitcoin transfer .
When you receive your decryption key, copy and paste it to "DECRYPTION KEY" field
Then, press the DECRYPT button to UNLOCK ALL YOUR FILES.
---
IF FILES UNLOCKING PROCEDURE IS ALREADY WORKING, YOU CAN EASILY TURN OFF YOUR
COMPUTER AND CONTINUE FILES UNLOCKING AFTER NEXT STARTUP. TO CONTINUE HEALING
YOUR FILES, COPY AND PASTE THE SAME DECRYPTION KEY TO THE "DECRYPTION KEY" FIELD
AND PRESS "DECRYPT" BUTTON. THE FILES RECOVERING WILL BE CONTINUED!
---
"DECRYPTION KEY" [...] [DECRYPT]
---
* You have 96 hours to pay us!
* After this time all your files will be lost!
* Your decryption key will destroy on:
10/2/2016 18:31

Перевод записки на русский язык:
Все ваши личные файлы БЛОКИРОВАНЫ!
ЧТО СЛУЧИЛОСЬ?
* Все ваши важные файлы (включая жёсткие диски, сетевые диски, флеш, USB) зашифрованы.
* Все файлы блокированы с асимметричным алгоритмом AES-256, а затем зашифрованы RSA-2048.
* Вы не можете разблокировать свои файлы, потому что все ваши резервные копии удалены.
* Только один способ разблокировать ваши файлы - заплатить нам 1072 фунтов стерлингов в валюте биткойнов (4.0 BTC).
После оплаты мы автоматически вышлем вам ключ дешифрования, что позволит вам разблокировать файлы.
---
КАК ПЛАТИТЬ В США И РАЗБЛОКИРОВАТЬ ВАШИ ФАЙЛЫ?
1. Чтобы заплатить нам, вам нужно использовать биткоин-валюту. Вы можете легко купить биткоины на следующих сайтах:
* https://www.coinfloor.co.uk
* https://www.coinbase.com/
* https://www.bitstamp.net/
2. Если у вас уже есть биткоины, заплатите нам 4.0 BTC (1072 GBP) на следующий биткоин-адрес:
1BA48s9Eeh77vwWiEgh5Vt29G3YJN1PRoR
3. После оплаты обязательно свяжитесь с нами, чтобы получить ключ дешифрования:
january0060@gmx.com. В заголовке письма напишите свой уникальный идентификатор:
DMALOCK 41:55:16:13:51:76:67:99
4. Мы автоматически отправим вам ключ дешифрования после передачи биткоина.
Когда вы получите ключ дешифрования, скопируйте и вставьте его в поле «DECRYPTION KEY»
Затем нажмите кнопку DECRYPT, чтобы РАЗБЛОКИРОВАТЬ ВСЕ ВАШИ ФАЙЛЫ.
---
Если процедура разблокировки файлов уже работает, вы можете легко отключить компьютер и продолжить разблокировку файлов после следующего запуска. Чтобы продолжить исцеление ваших файлов, скопируйте и вставьте тот же ключ дешифрования в поле "DECRYPTION KEY" и нажмите кнопку [DECRYPT]. Восстановление файлов будет продолжено!
---
"DECRYPTION KEY" [...] [DECRYPT]
---
* У вас есть 96 часов, чтобы заплатить нам!
* По истечении этого времени все ваши файлы будут потеряны!
* Ваш ключ дешифрования уничтожится:
10.2.2016 18:31


DMA Locker имеет встроенный дешифровщик. Он доступен из самого экрана блокировки. Если пользователь вводит ключ (длиной 32 символа) в текстовое поле и нажимает кнопку "DECRYPT", то программа переключается в режим дешифрования, используя поставляемый ключ. 

На момент публикации статьи выкуп на BTC-адрес 1BA48s9Eeh77vwWiEgh5Vt29G3YJN1PRoR был уплачен пятью жертвами данного вымогателя-шифровальщика. Позже их стало 12 (в январе, феврале, марте 2016 г.). 
Таким образом вымогатели на этот BTC-адрес получили 27.1346 BTC, которые позже перевели на свой другой счет. 



Технические детали

Атаки происходят со взломанной учетной записи администратора домена, через уязвимый RDP с неизвестного внешнего IP-адреса. DMALocker шифруются все данные на сервере, а затем удаляются все локальные резервных копий, а которые хранятся на внутреннем NAS. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

DMA Locker имеет некоторые интересные функции, включая шифрование данных на удаленных несвязанных общих сетевых ресурсах (Unmapped Network Share) и направленность на любой файл, который не находится в определённой папке или не имеет конкретных расширений.

Возможно, что шифрование несвязанных общих сетевых ресурсов (Unmapped Network Share) вскоре могут взять на вооружение другие вымогатели, потому уже сейчас системные администраторы должны убедиться в том, что все сетевые ресурсы работают под ограниченными правами доступа к файлам, находящимся в их окружении.

DMA Locker шифруя данные, не выполняет поиск целевых расширений для шифрования, как большинство вымогателей, а использует белый список папок и расширений, которые он не будет шифровать. Таким образом, этот вымогатель будет шифровать почти все несистемные и неисполняемые связанные файлы, которые находится в системе.

Белый список папок и файлов, которые DMA Locker пропускает:
Windows, Program Files, Program Files (x86), Games, Temp, Sample Pictures, Sample Music, cache
.bat, .cmd,  .com, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys (14 расширений). 

DMA Locker не добавляет расширения к зашифрованным файлам. Вместо этого, DMA Locker добавляет специальный идентификатор в заголовок каждого зашифрованного файла, чтобы потом самому идентифицировать его как зашифрованный файл (например, ID 41:55:16:13:51:76:67:99 или 41:42:43:58:59:5A:31:31). Каждый зашифрованный файл имеет префикс ABCXYZ11 - магическое значение, используемое Ransomware для распознавания зашифрованных файлов (было введено в обновлённой версии). 


Пример зашифрованного файла (идентификатор и префикс выделены)


По окончании шифрования DMA Locker показывает экран блокировки, где содержатся инструкции по оплате выкупа и дешифровке файлов. Они также сохраняются в C:\ProgramData\cryptinfo.txt и показываются пострадавшей стороне каждый раз при включении ПК.

Более ранние версии имели дефект в программе, позволивший Фабиану Восару создать дешифровщик Decrypt_DMA_Locker, но в обновлённой версии этот баг исправили. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ntserver.exe или <random>.exe
fakturax.exe или <random>.exe
cryptinfo.txt - содержит текст о выкупе
date_1.txt - содержит дату шифрования
decrypting.txt
start.txt

Расположения:
C:\ProgramData\ntserver.exe или <random>.exe
C:\ProgramData\fakturax.exe или <random>.exe
C:\ProgramData\cryptinfo.txt
C:\ProgramData\date_1.txt
C:\ProgramData\decrypting.txt
C:\ProgramData\start.txt
C:\Documents and Settings\All Users\decrypting.txt
C:\Documents and Settings\All Users\start.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cryptedinfo notepad c:\ProgramData\cryptinfo.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cssys    C:\ProgramData\ntserver.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: january0060@gmx.com (в английской версии)

styczen0020@interia.pl (в польской версии)
BTC: 1BA48s9Eeh77vwWiEgh5Vt29G3YJN1PRoR
и другие см. ниже в "Предыстории"
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ (January 2016, Polish) >>
VirusTotal (January 2016, Polish) >>
VirusTotal анализ (January 2016, English) >> 
VT + HA
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Предыстория:
Самые ранние, польский и английский варианты вымогателя просили от 1 до 2 BTC в качестве выкупа. 
На скриншотах это 2 BTC (536 GBR) и 1.3 BTC (2000 PLN) в польской версии (справа). 
BTC английского варианта: 1KXw7aJR4THWAxtnxZYzmysdLXVhLfa97n
BTC польского варианта: 18mfoGHSfe9h145e8djHK5rChDTnGfPDU9
Email: january0060@gmx.com (в английской версии)
styczen0020@interia.pl (в польской версии)

---


В некоторых случаях файлы можно расшифрвоать: 


 Read to links: 
 ID Ransomware (ID as DMA Locker, DMA Locker 3.0, DMA Locker 4.0)
 Write-up-1, Write-up-2, Topic of Support
 Thanks: 
 Hasherezade, Lawrence Abrams
 Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *