Если вы не видите здесь изображений, то используйте VPN.

вторник, 10 мая 2016 г.

Brazilian

Brazilian (Able) Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 2000 реалов (543.88 USD), чтобы вернуть файлы обратно. Зашифрованные файлы получают расширение .lock

  © Генеалогия: EDA2 >> Brazilian (Able) — cоздан на основе EDA2. 

Записки с требованием выкупа и вспомогательные файлы для информирования жертвы называются: 
MENSAGEM.txt 
text.txt
win.txt
ran.jpg

файл ran.jpg
файл MENSAGEM.txt 
 
файл text.txt
 
файл win.txt

По ссылкам в файле MENSAGEM.txt открываются веб-страницы со следующим содержанием:
Olá Sr(a),
TODOS os seu arquivos foram BLOQUEADOS e esse bloqueio somente serão DESBLOQUEADOS caso pague um valor em R$ 2000,00 (dois mil reais) em BitCoin.
Após o pagamento desse valor, basta me enviar um print para o email contato@vkcode.ru 
que estarei lhe enviado o programa com a senha para descriptografar/desbloquear o seus arquivos.
Caso o pagamento não seja efetuado, todos os seus dados serão bloqueados permanentemente e o seu computador será totalmente formatado(perdendo assim, todas as informações contidas nele, incluindo senhas de email, bancárias...)
O pagamento deverá ser efetuado nesse endereço de bitcoin: 1CF6M1---обрезано---
Para converter seu saldo em bitcoin acesse o site: xxxxs://www.mercadobitcoin.com.br/conta/register/
Após cadastrar basta seguir o processo na aba de depósito, após depositar o seu dinheiro aparecerá a opção para converter em bitcoin e então basta enviar o dinheiro para minha carteira: 1CF6M1---обрезано---
Qualquer dúvida acesse: xxxxs://www.mercadobitcoin.com.br/faq/
Ou assista um vídeo explicativo: xxxxs://www.youtube.com/watch?v=GYMQuAKz_No

Перевод на русский: 
Привет Сеньор(а)
Все ваши файлы зашифрованы и будут разблокированы только в случае уплаты R$ 2000,00 (2000 реалов) в Bitcoin.
После оплаты этой суммы, просто пришлите мне распечатку на email contato@vkcode.ru 
Я пришлю программу с паролем для расшифровки/разблокировки файлов.
Если оплата не поступит, все ваши данные будут заблокированы навсегда, а диски отформатированы...
Оплата должна быть произведена на Bitcoin-адрес: 
---адрес---скрыт---
Для преобразования баланса в Bitcoin посетите: xxxxs://www.mercadobitcoin.com.br/conta/register/
После регистрации следите за процессом оплаты, вскоре появится возможность конвертировать деньги в Bitcoin, а затем просто отправить деньги в Bitcoin-кошелек:
---адрес---скрыт----
По любым вопросам, пожалуйста, посетите: xxxxs://www.mercadobitcoin.com.br/faq/
Или просмотрите видео-помощь: xxxxs://www.youtube.com/watch?v=GYMQuAKz_No


Технические детали

  Распространяется с помощью поддельного обновления Adobe Flash Player и фишинг-писем со ссылкой на зараженный сайт, где ПК атакуется с помощью этого поддельного обновления. 


  Вымогатель начинает работу в скрытом режиме (его процесс не отображается в диспетчере задач), создает копию себя able.exe в директории пользователя, генерируется имя и пароль для шифрования файлов, длина ключа составляет 15 буквенно-цифровых символов, которые хранится в файлах text.txt (имя_компьютера + имя_пользователя + пароль) и win.txt (пароль) соответственно.

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 


Файлы связанные с Brazilian Ransomware:
файл text.txt - создается в той же папке, откуда был запущен исполняемый файл вымогателя; 
C:\Users\User_Name\win.txt - файл для хранения пароля шифрования;
C:\Users\User_Name\able.exe - копия исполняемого файла вымогателя;
C:\Users\User_Name\ran.jpg - замена обоев на Рабочем столе; 

C:\Users\User_Name\Desktop\MENSAGEM.txt - краткое текстовое сообщение с извещением о том, что файлы зашифрованы и требованием посетить одну из трёх веб-страниц для получения подробной информации, например, эту http://pastebin.com/raw/j9zCCu8n. 

Сетевые подключения и связи:
Email: contato@vkcode.ru

Степень распространенности: средняя по Бразилии.
Подробные сведения собираются. 


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Brazilian Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 9 мая 2016 г.

AutoLocky

AutoLocky Ransomware


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128 и требует 0.75 биткойнов за расшифровку. Кроме того, он пытается выдавать себя за известный вымогатель Locky и даже добавляет расширение .Locky к зашифрованным файлам, но при ближайшем рассмотрении оказывается не тем, за кого себя выдает. 

  Во-первых, записка с требованием выкупа совсем иная. Во-вторых, Tor для C&C-серверов не используется. В-третьих, вымогатель был создан в AutoIt, а не в Visual C ++. И, наконец, этот криптовымогатель не пытается удалять тома теневых копий на зараженном ПК.

 В отличие от реального криптовымогателя Locky, AutoLocky не изменяет базовое имя файла. Если файл с именем picture.jpg зашифрован, AutoLocky переименует его в picture.jpg.locky, а реальный Locky переименовал бы его случайным именем. Кроме того, записки с требованием выкупа - файлы info.txt или info.html - помещаются на Рабочем столе.



  Метод шифрования AutoLocky 
Пока неизвестно, как крипто-вымогатель AutoLocky распространяется. Значок подражает значку Adobe PDF, поэтому вероятно, он распространяется через email-вложения. 
После установки AutoLocky сканирует все диски ПК с поисках файлов определённых расширений, чтобы зашифровать их с помощью алгоритмов AES-128 и RSA-2048. Когда файл зашифрован, вымогатель добавляет расширение .locky к его имени.

Когда крипто-вымогатель закончит шифрование файлов, он создаст вымогательские записки Info.html и info.txt на рабочем столе. После чего загружает ключ шифрования на C&C-сервер, расположенного по адресу crazyloading.cc

Список файловых расширений, подвергающихся шифрованию AutoLocky:
.3ds, .3fr, .3pr, .7z, .accdb, .accde, .accdr, .accdt, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .awg, .backup, .backupdb, .bdb, .bik, .blend, .bmp, .c, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cgm, .cib, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddoc, .ddrw, .der, .design, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .fff, .fh, .fhd, .fpx, .fxg, .gray, .grey, .gry, .h, .hpp, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mos, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxw, .txt, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip (217 расширений).

 Файлы, связанные с AutoLocky Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk
%UserProfile%\Desktop\info.html
%UserProfile%\Desktop\info.txt

Сетевые подключения и связи:
C&C-сервер: crazyloading.cc

Степень распространённости: высокая
Подробные сведения собираются.

ВНИМАНИЕ!
Для зашифрованных файлов есть декриптер

пятница, 6 мая 2016 г.

Bucbi

Bucbi Ransomware 

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью ГОСТ-28147-89, а затем требует выкуп в 0,5 биткоинов или меньше (например, 0.00896 биткоинов), чтобы вернуть файлы. Сумма выкупа может быть и 5 биткоинов, если был скомпрометирован сервер компании. На уплату выкупа даётся 72 часа. Название оригинальное. 

© Генеалогия: Bucbi 2014 > Bucbi 2016.

К зашифрованным файлам никакое расширение не добавляется. Оригинальные название и расширение у зашифрованных файлов не меняются. 

Более ранние варианты распространялись в конце 2013 - в 2014 году. Активность этого варианта крипто-вымогателя Bucbi пришлась на апрель-май 2016 г., но новые образцы были замечены в октябре и ноябре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Распространение шло из Украины, но кем бы не был создан и/или модифицирован данный вымогатель, это только лишний раз подтверждает, что у киберпреступников нет ни национальности, ни родины. 

Записки с требованием выкупа называются: README.txt

Содержание записки о выкупе:
We are members of Ukrainian Right Sector.
You are taking money wolrdwide until we are fighting with world's evil into the East of our Motherland.
To decrypt files you need to obtain a private key.
You have to transfer 5 btc into the our account 1Mfvklut*** for us.
Also you have to send message for us to e-mali: dopomoga.rs@gmail.com.
After it you'll get the cryptokey for decrypt your files.
Regards.
Your defenders.

Перевод записки на русский язык:
Мы являемся членами украинского правого сектора.
Вы имеете деньги со всего мира, пока мы боремся ***.
Для расшифровки файлов вам необходимо получить закрытый ключ.
Вы должны передать 5 в BTC на наш кошелек 1Mfvklut ***.
Кроме того, вы должны отправить письмо на e-mali: dopomoga.rs@gmail.com
После этого вы получите крипто-ключ для расшифровки файлов.
С уважением.
Ваши защитники.

Текст о выкупе также дублируется в блокировщике экрана.
 

Методы распространения версии 2016 года: брутфорс-атака по RDP (протокол удаленного рабочего стола) с помощью утилиты RDP Brute и уже в меньшей степени с помощью эксплойтов или фишинг-писем (ранее зараженные email-вложения и эксплойты на взломанных сайтах использовались в большей степени). Наблюдается ориентированность на корпоративные серверы и банковский сектор.

Список файловых расширений, подвергающихся шифрованию:
.3fr , .accdb, .arw, .bay, .bmp, .cdr, .cer, .chm, .cpp, .cr2, .crt, .crw, .csv, .cxx, .dbf, .dcr, .der, .djvu, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .fb2, .gif, .img, .indd, .jpe, .jpeg, .jpg, .kdc, .mdb, .mdf, .mef, .mht, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .pht, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .rar, .raw, .rtf, .rw2, .rwl, .sr2, .srf , .srw , .sxw , .tif , .txt , .wb2 , .wpd , .wps , .x3f , .xlam , .xlk , .xls , .xlsb , .xlsm , .xlsx , .xltm , .xltx , .zip (90 расширений). 

Файлы шифруются на локальных и сетевых дисках, если они подключены. 

Файлы, связанные с Bucbi Ransomware:
ukraine.exe
README.txt
C:\ProgramData\<random_letter_name>
C:\Documents and Settings\<USER>\Local Settings\Application Data\<random_letter_name>
C:\Documents and Settings\<USER>\Local Settings\Application Data\<random_name>.exe
C:\Documents and Settings\All Users\<random_letter&numeral_name>.log 

Записи реестра, связанные с Bucbi Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run       value: "@"

Сетевые подключения и C&C-серверы:
bbb.bth.in.ua
shalunishka12.org
ceckiforeftukreksyxomoa.org
87.249.215.196
chultolsylrytseewooketh.biz

Результаты анализов:
VirusTotal анализ 4 апреля 2016 >>
VirusTotal анализ 25 апреля 2016 >>
Гибридный анализ 26 октября >>
VirusTotal анализ 26 октября >>
VirusTotal анализ 7 ноября >>


Степень распространённости: средняя.
Подробные сведения собираются.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Старый вариант:
Штамп времени: 30 декабря 2013
URL Malware: xxxx://bbb.bth.in.ua/
Файл: FileCrypt.exe

Результаты анализов: VT


Обновление от 6 июля 2016:
Новая записка о выкупе: readme.txt
Тема на BC >>
Скриншот записки: 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Palo Alto Networks
 Microsoft Threat Encyclopedia
 *
 *
 Thanks: 
 Palo Alto Networks
 Andrew Ivanov, Gruja
 *
 *
 
© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 3 мая 2016 г.

CryptoFortress

CryptoFortress Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 1 Bitcoin, чтобы вернуть файлы обратно. Шифрование производится 256-битным ключом AES в ECB-режиме. Криптовымогатель генерирует этот уникальный ключ для каждой сессии, используя криптографический API-интерфейс Windows, добавляет некоторые данные о зараженной системе, а затем шифрует публичным RSA 1024, взятым из конфигурационного файла (вшитого как ресурс RCDATA). К имени каждого зашифрованного файла добавляется расширение .frtrss

Известен с марта 2015 года, как модифицированный TorrentLocker. 

  CryptoFortress распространяется с помощью набора эксплойтов Nuclear. После запуска CryptoFortress сканирует ПК в поисках целевых расширений и начинает шифрование файлов на локальных, съемных и сетевых дисках. Список целевых расширений довольно обширен. В отличие от TorrentLocker, с корорым он схож, CryptoFortress не пытается установить соединение с С&С-сервером во время процесса шифрования. В общем, различия между CryptoFortress и TorrentLocker есть лишь в мелких деталях. 

  В папках с зашифрованными файлами создается файл READ IF YOU WANT YOUR FILES BACK.html (Прочтите, чтобы свои файлы вернуть). 



  Он содержит инструкцию по разблокировке, а также шифрованный ключ, который будет в качестве «кода» передан на Tor-сайт злоумышленников, если жертва согласится платить. Завершив шифрование, CryptoFortress отображает пользователю страницу с требованием выкупа и инструкциями. Веб-страница для оплаты размещена в сети Tor. 

 По завершении шифрования CryptoFortress уничтожает все тома теневых копий файлов, чтобы восстановление копий файлов из них стало невозможным, командой:
vssadmin delete shadows /all /quiet

Степень распространённости: низкая.
Подробные сведения собираются. 

воскресенье, 1 мая 2016 г.

Alpha

Alpha Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует $400 в подарочных картах iTunes, чтобы вернуть файлы обратно. К счастью, криптовымогатель имеет дефект, потому специалистам не составило особого труда создать дешифратор AlphaDecrypter.


 Требование выкупа в подарочных картах, как и в случае с криптовымогателем TrueCrypter, кажется совершенно глупой затеей. Если основная задача вымогателей — это получение выкупа, то такого выкупа они могут вообще не дождаться. 


 Когда Alpha запускается в первый раз, то основной файл помещается в %APPDATA%\Windows\svchost.exe и прописывается в автозапуск Windows, чтобы запускаться вместе с системой, как только пользователь входит в свою учетку. Далее он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES-256. К зашифрованным файлам добавляется расширение .encrypt. Если шифрование будет успешно завершено, то исполняемый файл шифровальщика самоудаляется. 


 Особенностью данного шифровальщика является то, что на системном диске, которым, как правило, является диск C: , он шифрует только определенные типы файлов на Рабочем столе, в папке "Мои рисунки" и папке "Cookies". Все остальные папки на системном диске не будут зашифрованы.


 Список файловых расширений на системном диске, подвергающихся шифрованию Alpha Ransomware:

.3ds, .3fr, .3pr, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .aspx, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gif, .gray, .grey, .gry, .h, .h, .hbk, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jar, .java, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .vb .vbs, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra

 На всех остальных жёстких дисках, не сетевых и съемных дисках, он будет шифровать любой файл, который там найдет, в том числе исполняемые файлы. 


 Вымогатель создаёт записку с требованием выкупа Read Me (How Decrypt) !!!!.txt в каждой папке, где были зашифрованы файлы.

Перевод записки о выкупе:
Приветствую,
Мы хотели бы извиниться за неудобства, однако, ваш компьютер был заблокирован. Для того, чтобы разблокировать его, вы должны выполнить следующие шаги:
1. Купить iTunes Gift Cards на общую сумму $ 400,00
2. Отправить gift-коды на указанный email адрес.
3. Получить код и файл для разблокировки компьютера.
Заметьте:
- Номинальная стоимость одной подарочной карты не имеет значения, но общая сумма должна быть как указано выше.
- Можете купить iTunes Gift Card в Интернете или в любом магазине. Напишите коды правильно, иначе ничего не получите.
- После получения кода и файла для разблокировки, ваш компьютер будет разблокирован и уже больше не заблокируется.
Извините за неудобства.

 Из-за ошибки в программе, адреса email, на которые нужно отправить платеж, в вымогательский комплект не вошли.

В завершение криптовымогатель изменяет обои Рабочего стола на собственное изображение (см. скриншот ниже).


Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read Me (How Decrypt) !!!!.txt
svchost.exe

Расположения:
%APPDATA%\Windows\svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
criptote@hmamail.com
referas@hmamail.com
terder@hmamail.com
utera@hmamail.com

criptotak@hmamail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as Alpha)
 Write-up, Topic
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 26 апреля 2016 г.

TrueCrypter

TrueCrypter Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью двойного шифрования AES-256 и RSA-2048, а затем требует выкуп в 0.2 BTC или $115 в подарочной карте Amazon, чтобы вернуть файлы. Оригинальное название: TrueCrypter. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на конец апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Вероятно, что эта программа была сделана любителем, а не опытным разработчиком вредоносных программ, т.к. получателя оплаты можно отследить с помощью Amazon. 

Запиской с требованием выкупа выступает экран блокировки. 


Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола. 

Скринлок на обоях рабочего стола

Содержание текста о выкупе с обоев:
If you see this text, probably your computer got encrypted by TrueCrypter. This means all your important files (documents, images, etc.) are now unaccessible and you will lose them forever unless you pay a sum of money to get your decryption key.
The decryption key uses the RSA-2048 algorythm, impossible to crack. Your files will be lost forever without paying.
If you don't care about your files, just uninstall this software.
If you lost the application because your antivirus deleted it, or you need help, you can contact us on our email:
trueransom@mail2tor.com
(You only have 72 hours before your private key will be destroyed, hurry up if you want to save your files!)

Перевод текста на русский язык:
Если вы видите этот текст, видимо, ваш компьютер зашифрован TrueCrypter. Это значит, что все ваши важные файлы (документы, изображения и т.д.) теперь недоступны, и вы потеряете их навсегда, если не заплатите денежную сумму, чтобы получить ключ дешифрования.
Ключ дешифрования использует алгоритм RSA-2048, который невозможно взломать. Ваши файлы будут потеряны навсегда без оплаты.
Если вам не нужны ваши файлы, просто удалите эту программу.
Если вы потеряли приложение, т.к. ваш антивирус удалил его или вам нужна помощь, вы можете связаться с нами по enail:
trueransom@mail2tor.com
(У вас есть только 72 часа, прежде чем ваш секретный ключ будет уничтожен, торопитесь, если хотите сохранить свои файлы!)


Технические детали

После запуска в системе TrueCrypter может проверить работу своего процесса в виртуальной системе или песочнице (VMWare, VirtualBox, Sandboxie). Если это так, то процесс будет прекращён. Если это обычная система, то он проверяет наличие процессов, относящихся к программам безопасности. Обнаружив один из таких процессов, он завершает его. 
К ним относятся: antilogger, wireshark, charles, fiddler, netmon, reflector, sbiectrl, taskmgr.
Как оказалось позже, функционал проверки работы в виртуальной системе пока не используется.

Затем TrueCrypter подключается к странице *ask.fm/innocentask001*, содержащей закодированную строку. При декодировании она откроет информацию о конфигурации: адрес C&C-TOR-сервера, сумму оплаты выкупа и Bitcoin-адрес для использования.

Например, зашифрованная строка:
XjwajwZwq=myyu://r2htkyphj5l4ldef.tsnts.lv GnyhtnsFiiwjxx=1337XkOg91bRK7Z7yUDXJf2KGyUw7uEcon GnyhtnsFrtzsy=0.2 FrfetsFrtzsy=115
декодируется в:
ServerUrl=Onion2web BitcoinAddress=1337SfJb91wMF7U7tPYSEa2FBtPr7pZxji BitcoinAmount=0.2 AmazonAmount=115

Далее крипто-вымогатель начинает шифрование файлов на жестких дисках с использованием алгоритма AES-256. 
Каждый файл шифруется с уникальным AES-ключом, а затем этот ключ с шифруется с использованием RSA. 
Зашифрованный таким образом ключ дешифрования сохраняется в конце зашифрованного файла. 
Затем к зашифрованному файлу добавляется расширение .enc, а имя файла сохраняется в файл encrypted.dat 

Во время процесса шифрования вымогатель устанавливает в качестве обоев рабочего стола Windows файл background.jpg
Затем удаляются точки восстановления системы и теневые копии файлов командой:
vssadmin delete shadows /all /quiet

TrueCrypter сохраняет информацию о своей конфигурации в файл TrueCrypter.xml

Информация о проделанном шифровании файлов отправляется на C&C-сервер.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.7z, .7zip, .arw, .as, .asm, .asp, .aspx, .au3, .avi, .bash, .bat, .bmp, .bookmarks, .bsh, .c, .cbr, .cc, .cer, .cfm, .class, .cmd, .config, .cpp, .cr2, .crw, .cs, .csh, .csproj, .csr, .css, .csv, .cxx, .d, .db, .dcr, .dds, .deb, .dib, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dtd, .eps, .fla, .fpx, .gif, .gif, .gz, .gzip, .h, .hpp, .hta, .htm, .html, .hxx, .ico, .inc, .inc, .index, .ini, .jad, .java, .jfif, .jpe, .jpeg, .jpg, .js, .jsm, .json, .jsp, .jss, .jsx, .kix, .lex, .litcofee, .lpr, .lua, .m, .mov, .mp3, .mp4, .mrw, .msg, .mx, .nef, .ods, .odt, .org, .p, .pages, .pas, .pcd, .pdf, .pdn, .php, .php3, .php4, .php5, .phps, .phpt, .phtml, .pkg, .pl, .pm, .pmx, .png, .pot, .potm, .potx, .pp, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prproj, .ps, .ps1, .psd, .psm1, .ptx, .pwi, .py, .pyc, .pyw, .r, .raf, .rar, .raw, .rb, .rbw, .rc, .reg, .resx, .rpm, .rss, .rtf, .rw2, .s, .scpt, .sh, .sh, .shtml, .sitx, .sldm, .sldx, .sln, .splus, .sql, .sqlite, .sqlite3, .src, .swift, .sxc, .tar, .tar.gz, .tga, .thmx, .tif, .tiff, .ts, .tsv, .tsx, .txt, .vb, .vbs, .vcxproj, .veg, .wmw, .wpd, .wps, .xcodeproj, .xht, .xhtm, .xhtml, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xltx, .xml, .zip, .zipx (191 расширение без дублей). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
\TrueCrypter\ - папка
background.jpg
Encrypted.dat
TrueCrypter.exe
TrueCrypter.xml

Расположения:
%AppData%\Microsoft\TrueCrypter\
%AppData%\Microsoft\TrueCrypter\background.jpg
%AppData%\Microsoft\TrueCrypter\Encrypted.dat
%AppData%\Microsoft\TrueCrypter\TrueCrypter.exe
%AppData%\Microsoft\TrueCrypter\TrueCrypter.xml

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrueCrypter    %AppData%\Microsoft\TrueCrypter\TrueCrypter.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
art.apis.google.com/chart?***
forumforastral.com/innocentuser001***
https://bitcoin.org/en/getting-started***
mazon.com/gp/product/B004LLIKVU***
oftkce5g4gyza.onion.gq***
trueransom@mail2tor.com***
xxxx://4ggxntohlejkutst.onion.gq/
xxxx://chart.apis.google.com/chart?***
xxxx://forumforastral.com/innocentuser001***
xxxx://m2coftkce5g4gyza.onion.gq (94.102.53.178:80 Нидерланды)
xxxx://m2coftkce5g4gyza.onion.gq/
xxxx://onion.gq/
xxxx://qtrudrukmurps7tc.onion.gq/
xxxx://tzsvejrzduo52siy.onion.gq/
xxxxs://ask.fm/innocentask001***
Email: trueransom@mail2tor.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



Дешифрование

 Попавший к исследователям образец крипто-вымогателя, начинал дешифровку файлов после нажатия на кнопки ">" и "Pay". Пробуйте. 



Внимание! 
Файлы можно дешифровать!
Читайте инструкцию по дешифровке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as TrueCrypter)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 20 апреля 2016 г.

Mobef, Yakes

Mobef (Yakes) Ransomware

Malasypt Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные, а затем требует 4 Bitcoins (на момент изучения образца ~2000 USD), чтобы вернуть файлы обратно. Большая сумма выкупа говорит о том, что в первую очередь целями вымогателей были организации и предприятия, в том числе и лечебные учреждения. 

© Генеалогия: Booyah (Salam!) CryptoBit ⟺ Mobef  (см. Генеалогия)
© Генеалогия: Mobef >> Mobef-Parisher
© Генеалогия: Mobef >> Mobef-CryptoFag
© Генеалогия: Mobef >> Mobef-Kriptoki
© Генеалогия: Mobef >> Mobef-Salam 
© Генеалогия: Mobef >> Mobef-JustFun 


Этимология названия:
Mobef от "momsbestfriend" из логина почты вымогателей: "mo" от moms, "be" от best, "f" от friend. 

По окончании шифрования на Рабочем столе вместо обоев устанавливается чёрный экран, в котором красными буквами написано о том, то случилось с файлами и как связаться с вымогателями. К зашифрованным файлам добавляется расширения .keyh0les или .keyz

  Посредством этих контактов вымогатели предлагают связаться с ними, чтобы предоставить идентификационный номер компьютера жертвы, указанный в записке о выкупе и в изображение, вставшем в качестве обоев рабочего стола. Если система не позволяет устанавливать обои на Рабочий стол, то информацию дублирует записка с требованием выкупа. 


Информация о выкупе в изображении на Рабочем столе

TXT-вариант записки о выкупе

Содержание записок о выкупе:
YourID: 2886098
PC: HOME
USER: user
*********
Hey
Your files are now encrypted. I have the key to decrypt them back. I will give you a decrypter if you pay me. Email me at: momsbestfriend@protonmail.com or torrenttracker@india.com
If you dont get a reply or if both emails die, then contact me using a guaranteed, foolproof Bitmessage: download it form here xxxxs://github.com/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Run it, click New Identity and then send me a message at BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2
Cheers

Перевод на русский язык:
YourID: 2886098
PC: HOME
USER: user
*********
Привет
Теперь ваши файлы зашифрованы. У меня есть ключ к их расшифровке. Если вы заплатите мне, я дам вам декриптер. Напишите мне на email: momsbestfriend@protonmail.com или torrenttracker@india.com
Если вы не получите ответ или если оба письма пропадут, свяжитесь со мной, используя гарантированный, надежный Bitmessage: скачать его здесь
xxxxs://github.com/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Запустите его, нажмите "New Identity", а затем отправьте мне сообщение на BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2
Ура



Технические детали

Распространяется с помощью эксплойтов, перепакованных и заражённых инсталляторов, главным образом выявляются уязвимые серверы и при помощи утилиты для работы по протоколу RDP атакуется 3389 порт. 


Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

  Mobef создает TXT-файлы записок о выкупе, начинающиеся с даты и заканчивающиеся словом -INFECTION.TXT, например, файл типа 4-15-2016-INFECTION.TXT говорит о том, то он был создан 15 апреля. Такие файлы находятся в каждой папке, где были зашифрованы файлы. 

  Список создаваемых файлов:
4-15-2016-INFECTION.TXT - записка о выкупе, описание см. выше;
4152016000.KEY - файла ключа, нужный вымогателю для шифрования/дешифрования данных, в начале названия легко узнается дата;
2886098.txt - содержит сведения о файлах, которые были зашифрованы.


Шифро-код в файле 4152016000.KEY

  Mobef использует следующие ключи реестра, которые могут указывать на использование алгоритмов DES, RSA и AES для шифрования информации: 
HKEY_CLASSES_ROOT\interface\{587e8c22-9802-11d1-a0a4-00805fc147d3}
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider 

  Mobef работает в системе как процесс tmp.exe, иногда в этом название процесса может быть еще несколько случайных чисел. К сожалению, завершение этот исполняемого файла и удаление всех компонентов вымогателей не решает проблему зашифрованных файлов. 

 Список файловых расширений, подвергающихся шифрованию:
.3ds, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .arj, .axx, .bak, .bpw, .cdr, .cer, .crp, .crt, .csv, .db, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .hid, .idx, .ifx, .iso, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp, .ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rpt, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sqllite, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip 

Другой список: 
.3ds, .4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .alk, .arj, .axx, .bak, .bpw, .cdr, .cer, .crp, .crt, .csv, .db, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .drc, .dwfx, .dwg, .dwk, .dxf, .eml, .enz, .fdb, .flk, .flka, .flkb, .flkw, .flwa, .gdb, .gho, .gpg, .gxk, .hid, .hid2, .idx, .ifx, .iso, .k2p, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp, .ods, .odt, .ofx, .ost, .p12, .pdb, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .pst, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rfp, .rpt, .rsa, .rtf, .saj, .sdc, .sdf, .sef, .sko, .sql, .sqlite, .sxc, .tar, .tax, .tbl, .tc, .tib, .wdb, .xbrl, .xls, .xlsm, .xlsx, .xml 

Файлы, связанные с Mobef Ransomware:
<random>.tmp.exe
<random>.exe
<4_hex_chars>.tmp.exe
Cancel Autoplay 2.exe
4-15-2016-INFECTION.TXT или другие [date]-INFECTION.TXT

Ещё файлы (для Mobef и CryptoBit):
[date]-INFECTIONE.txt или date-INFECTIONE.txt
[date]000.KEY или date000.KEY
1NFORMAT1ONFOR.YOU
ENCRYPT1ON.KEY+[1-2-3-digit_number]
[10-digits].KEY 
HELLOREADME+[random_number_1-31].TXT
HELLOWREADME+[random_number_1-31].TXT
helloreadmenow+[random_number_1-31].TXTZ
HITLERSLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERSNASTYLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERHASYOURFILES.KEY+[1-2-3-digit_number]

Сетевые подключения:
URL: kentamplin.net... (192.185.16.132:80, США)
pgndeltapsi.com
Email: momsbestfriend@protonmail.com
torrenttracker@india.com
BitMessage: BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 2 августа 2016
Пост в Твиттере >>
Записка: PLEASEREAD.ME
Файлы: THISISA.KEY000, 443826.log
Email: the.dodger@protonmail.com
logical.disk@yandex.com
windows.update@moscowmail.com
<< Скриншот записки




 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Mobef)
 Write-up, Topic of Support
 * 
 Thanks: 
 victims in the topics of support
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *