Если вы не видите здесь изображений, то используйте VPN.

вторник, 27 июня 2017 г.

Petya NSA EE

Petya Ransomware: NSA Exploit Edition (NSA EE)

Petna Ransomware

Aliases: NotPetya, NonPetya, Nyetya, Petya.A, ExPetya

(шифровальщик-вымогатель, деструктор)


   Этот крипто-вымогатель шифрует данные пользователей с помощью ключа AES-128 (для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования). Затем этот 128-битный ключ шифруется с открытым 2048-битным ключом RSA, встроенным в исполняемый файл вымогателя. Зашифрованный ключ сохраняется в файле README. За дешифрование файлов требуется выкуп в $300 в BTC. 

Этимология названия: 
Оригинальное название не указано, из-за этого разные исследователи называют этот вредонос то Petya, то неПетя (NotPetya, NonPetya, Petna и пр.). В реальности правильное название, отражающее суть, это Petya Ransomware: NSA Exploit Edition, а сокращенно Petya NSA EE. А с учётом того, что вредонос использует эксплойты EternalBlue и EternalRomance, названия которых тоже начинаются с английской буквы "E", то моё сокращение только подтверждает правильность названия.

© Генеалогия: Petya (modified) > GoldenEye >> ☠ Petya NSA EE
© Генеалогия: Petya NSA EE (NotPetya, Petna) > WowSmithAgain 

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не помешало распространить его по всему миру.


Сведения о пострадавших

Волна заражений, по данным антивирусных компаний, началась с обновлений программного обеспечения M.E.Doc (владелец - компания «Интеллект-сервис», Украина). Так же было в случае с XData Ransomware. Злоумышленники получили доступ к серверам обновлений и инфицировали это ПО так, чтобы оно было доставлено клиентам под видом очередного обновления. В Украине ПО M.E.Doc пользуются 80% предприятий. 

В первые дни среди пострадавших стран оказались: Украина, Дания, Норвегия, Нидерланды, Швейцария, Италия, Франция, Испания, Израиль, Сербия, Венгрия, Румыния, Чехия, Россия, Беларусь, Польша, Германия, Эстония, Турция, Великобритания, Франция, Китай, Индия, Иран, Бразилия, Аргентина, США, Мексика и другие.

Обратите внимание, что Россия в этом списке находится только на 14-м месте. Порядок менялся на протяжении всех дней. В первые дни количество пострадавших в России было вдвое меньше, чем в Украине. 

Среди пострадавших организаций, предприятий и учреждений называются: 
- в Украине: 
-- компания «Интеллект-сервис», разработчик ПО «M.E.Doc»;
-- Кабинет министров Украины, Министерство культуры, Министерство финансов, Министерство внутренних дел, Национальная полиция и региональные сайты, Администрация Киева (КГГА);
-- Министерство энергетики (Минэнерго), энергетические операторы «Укрэнерго», «Киевэнерго», «Запорожьеоблэнерго», «Днепроэнерго», Днепровская электроэнергетическая система (ДНЭС), Донбасская топливно-энергетическая компания (ДТЭК), «Нафтогаз Украины»;
-- банки Центробанк (Нацбанк), Ощадбанк, ПриватБанк, филиал австрийского банка Райффайзен, другие финансовые компании; 
-- СМИ: Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», «Корреспондент.нет», новостные сайты и другие;
-- почты: «Укрпочта», «Новая почта», подразделения Deutsche Post; 
-- Киевский аэропорт, Киевский метрополитен, ​​Международный аэропорт Борисполь; 
-- операторы связи («Киевстар», LifeCell, «УкрТелеКом»); 
-- система радиационного мониторинга Чернобыльская АЭС; 
-- сеть АЗС «Кло» и другие;
-- коммерческие компании Mondelez International, ArcelorMittal, TESA, офисы французской BNP Real Estate, офисы датской AP Moller-Maersk;
-- офисы и магазины Mars, Nivea, супермаркеты и магазины «Ашан», «Metro», «Эпицентр» во многих городах, «Новус» в Киеве, «Рост» в Харькове и другие...  
Petya NSA Exploit Edition, Petya NSA EE, Petna, NotPetya, NonPetya Ransomware
Фото из супермаркета "Рост" в Харькове

- в России: российские нефтяные компании «Роснефть» и «Башнефть», многие автозаправки, все офисы "Хоум Кредит Банка" (другие банки предпочли промолчать), металлургическая и горнодобывающая компания «Евраз», сайты туристических операторов Anex Tour и Mouzenidis Travel, и другие, более мелкие в разных регионах России, телекоммуникационные компании «МегаФон», «ВымпелКом» (Билайн), по официальным данным в меньшей степени атакой были затронуты персональные компьютеры работников некоторых подразделений МВД и Следственного комитета
- в Китае: компания COFCO и более мелкие;
- в Индии: система управления грузопотоком крупнейшего в Индии контейнерного порта имени Джавахарлала Неру, оператором которого является A.P. Moller-Maersk;
- в Великобритании: британский рекламно-коммуникационный холдинг WPP Group, международная юридическая фирма DLA Piper;
- во Франции: крупнейший банк Франции BNP Paribas и его дочерняя компания BNP Real Estate, строительная компания Saint-Gobain;  
- в Испании: телекоммуникационная компания Telefónica, банк Santander, ряд крупных корпораций;
- в Германии: сервисы компании Deutsche Bahn, основного железнодорожного оператора страны; 
- в Дании: нефтяная и судоходная компания AP Moller-Maersk Group (в её числе Maersk Line, APM Terminals, Damco) понесла убытки на сумму $200-$300 млн);
- в Нидерландах: логистическая компания APM Terminals, транспортная компания TNT Express;
- в Румынии: Румынская информационная служба (Serviciul Roman de Informaţii);
- в Эстонии: сеть строительных магазинов Ehituse ABC, принадлежащая французскому концерну Saint-Gobain;
- в Австралии: шоколадная фабрика Cadbury, офисы DLA Piper Ltd;
- в США: TNT Express (подразделение FedEx Corp.), фармацевтический гигант Merck (MSD, Merck Sharp & Dohme), пищевой гигант Mondelez International, система здравоохранения Valley Valley в Питтсбурге, международная юридическая фирма DLA Piper, международные службы курьерской доставки TNT Express BV и FedEx. 
Petya NSA Exploit Edition, Petya NSA EE, Petna, NotPetya, NonPetya Ransomware



Исходя из всего изложенного наивно или даже глупо думать, что атаки были ориентированы на Украину. Видимо на украинский бизнес-сектор их было проще осуществить, найдя уязвимую точку отправления в "лице" сервера компании «Интеллект-сервис» с её ПО M.E.Doc, слабозащищенную и ранее уже скомпрометированную. Если бы владельцы компании усвоили полученные уроки с XDATA, то не повторили бы аналогичных ошибок. 

Неожиданный ракурс!
10 августа 2017
Как оказалось в последствии, в результате сделанных налоговых проверок, в Украине некоторые украинские фирмы, воспользовавшись поднявшейся шумихой, намеренно подставили по удар вируса NotPetya (Petya NSA EE) свои компьютеры. Некоторые даже просто загрузили видео с демонстрацией процесса атаки и крутили его на своем ПК, чтобы показать, что они заражены и терпят убытки. Эти хитрости были сделаны для того, чтобы не предоставлять налоговые отчёты и не платить огромных штрафов за несвоевременную оплату. 
Эти украинские хитрости оказались настолько массовыми в Украине, что впору говорить о завышенном ущербе от NotPetya и очередном вранье государственного масштаба. 



Скриншоты и описание

Основная записка с требованием выкупа появляется на экране пострадавшего ПК (красные буквы на чёрном фоне) после перезаписи MBR и фальшивой операции операцию CHKDSK.
Petya NSA Exploit Edition, Petya NSA EE, Petna, NotPetya, NonPetya Ransomware
 Фальшивый CHKDSK


Содержание текста с фальшивого экрана CHKDSK
Repairing file system on C: 
The type of the file system is NTFS. One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete. 
WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!
CHKDSK is repairing sector 110656 of 119776 (92%)

Пока отображается этот текст с фальшивым CHKDSK, выполняется шифрование файлов. 

Petya NSA Exploit Edition, Petya NSA EE Ransomware
Один вариант текста (с одним ключом установки)
Petya NSA Exploit Edition, Petya NSA EE Ransomware
Другой вариант текста (с другим ключом установки)

Содержание текста о выкупе:
Ooops, your important files are encrypted.
If you see this text, then your files are no longer accessible, because they have been encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service.
We guarantee that you can recover all your files safely and easily. All you need to do is submit the payment and purchase the decryption key.
Please follow the instructions:
1. Send $300 worth of Bitcoin to following address:
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
2. Send your Bitcoin wallet ID and personal installation key to e-mail
wowsmith123456@posteo.net. Your personal installation key:
XUNjNx-pKazyd-gK2GcG-JLP8uT-fcY2hY-zJo3PX-KQU8ga-65FSWj-Q423Nc-CoCgaZ
If you already purchased your key, please enter it below.
Key: _

Перевод текста на русский язык:
Упс, ваши важные файлы зашифрованы.
Если вы видите этот текст, то ваши файлы уже не доступны, т.к. они зашифрованы. Вероятно вы ищете способы восстановления ваших файлов, но не тратьте свое время. Никто не восстановит ваши файлы без нашего сервиса дешифрования.
Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Всё, что вам нужно, это заплатить и купить ключ дешифрования.
Следуйте инструкциям:
1. Пошлите $300 в биткоинах на следующий адрес:
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
2. Пошлите ваш ID Биткоин-кошелька и личный ключ установки на email wowsmith123456@posteo.net. Ваш личный ключ установки:
XUNjNx-pKazyd-gK2GcG-JLP8uT-fcY2hY-zJo3PX-KQU8ga-65FSWj-Q423Nc-CoCgaZ
Если вы уже купили свой ключ, введите его ниже.
Ключ: _


Petya NSA Exploit Edition, Petya NSA EE, Petna, NotPetya, NonPetya Ransomware

Содержание текстовой записки README.TXT (один вариант):
Send your Bitcoin wallet ID and personal installation key to e-mail
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Ooops, your important files are encrypted.
If you see this text, then your files are no longer accessible, because they have been encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service.
We guarantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the decryption key.
Please follow the instructions:
Send $300 worth of Bitcoin to following address:
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX 



Содержание текстовой записки README.TXT (другой вариант):
Ooops, your important files are encrypted.
If you see this text, then your files are no longer accessible, because they have been encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your tine. Nobody can recover your files without our decryption service.
We guarantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the decryption key.
Please follow the instructions:
1. Send $300 worth of Bitcoin to following address:
*****
2. Send your Bitcoin wallet ID and personal installation key to e-mail  ***
Your personal installation key:
*****



Рекомендации по предотвращению угрозы

1. Аналогичны указанным в статье "WannaCry: NSA Exploit Edition".
2. Защититься превентивно, согласно инструкции, скачать и запустить на выполнение от имени администратора специально подготовленный для этой цели файл nopetyavac.bat

Petya NSA Exploit Edition, Petya NSA EE, Petna, NotPetya, NonPetya Ransomware


Технические детали

Petya NSA EE выполняет проверку сетей на уязвимые службы обмена файлами SMB, ищет открытые порты 139 и 445 службы NetBIOS (netbios-ssn) и Microsoft Directory Services (microsoft-ds), чтобы использовать эксплойты EternalBlue и EternalRomance.

➤ Как работают эти эксплойты, читайте в статье о EternalRomance и EternalBlue от Microsoft. 

Перед выполнением кода эксплойта проверяется, какая версия Microsoft Windows работает в системе. Это делается путем разбора пакета «Session Setup AndX Response». После идентифицикации запускается на выполнение соответствующий эксплойт. Если версия Windows не соответствует одной из целевых, то функция для выполнения кода эксплойта возвращается без выполнения.
➤ Эксплойт EternalBlue запускается только для следующих версий ОС:
Windows 7, Windows 2008 и 2008 R2
 Эксплойт EternalRomance запускается только в следующих версиях ОС:
Windows XP, XP Pro x64, Vista, Windows Server 2003 и 2003 R2

После успешного использования эксплойта EternalBlue (CVE-2017-0144), вредонос запускает эксплойт DoublePulsar, чтобы инжектировать DLL в "lssas.exe2. DoublePulsar работает в режиме ядра, передавая вредоносу высший уровень контроля над ОС. Это позволяет Petya NSA EE украсть логины пользователей и пароли, которые могут использоваться для распространения вредоноса по локальной сети с помощью инструментов WMIC или PsExec.

Petya NSA EE использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью умышленного заражения распространяемых файлов обновлений, обманных загрузок, эксплойтов EternalBlue и EternalRomance, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, с помощью email-спама и вредоносных вложений. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Petya NSA EE использует сертификат Microsoft с истекшим сроком действия (см. скриншот из гибридного анализа).

Petya NSA EE использует модифицированный инструмент Minikatz (он же LSADump), способный собирать пароли и учетные данные с компьютеров и серверов. Получив их, хотя бы для одной машины, он распространяется внутри сетей посредством SMB, WMI и PSEXEC.

Примечательно, что Petya NSA EE использует легальную утилиту mimikatz для захвата привилегии debug и получения списка локальных и доменных пользователей, авторизованных на зараженном компьютере. 

ВАЖНО: Одна скомпрометированная машина с правами администратора внутри своей сети способна заразить все остальные компьютеры через WMI или PSEXEC.

После заражения вредоносная программа выжидает 10-60 минут (или больше), а затем перезагружает систему с использованием системных средств с инструментами «at» или «schtasks» и «shutdown.exe».

После перезагрузки Petya NSA EE начинает шифровать главную файловую таблицу (MFT) в разделах NTFS с помощью шифра Salsa20, перезаписывая с помощью кастомизированного загрузчика главную загрузочную запись (MBR) специальным сообщением с требованием выкупа (см. выше в "Скриншоты и описание"). Этот процесс замаскирован под операцию CHKDSK. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

Целью работы Petya NSA EE, построенной на вымогательстве, является деструктивность (откровенное вредительство), а не накопление биткоинов. См. баланс bitcoin-кошелька вымогателей. 

Ошибка в шифровании (преднамеренная или случайная) приводит к тому, что даже даже сами вымогатели не смогут восстановить зашифрованные файлы. Или смогут, но для этого потребуются дополнительные усилия и средства, т.е. они потребуют дополнительной платы за такие "дополнительные" услуги. 

Более того, каждой заражённой машине Petya NSA EE присваивает личный ID, который не передаётся на управляющий сервер (его вообще нет) и не содержит в себе никакой ценной информации, которая помогла бы злоумышленникам идентифицировать жертву и предоставить ей ключ для расшифровки файлов. Поэтому уплата выкупа БЕСПОЛЕЗНА!!! Файлов назад вы не получите. 

Более того, как оказалось Petya NSA EE уничтожает первые 25 секторов на диске. Первый сектор диска шифруется с помощью XORс 0x07, после чего сохраняется в другом секторе и заменяется кастомным загрузчиком. Последующие 24 сектора перезаписываются намеренно и нигде не сохраняются.

Фактически, по большому счёту, это уже не простая программа-вымогатель, а кибер-оружие. 

Диаграмма инфекции, составленная специалистами из TrendMicro:
Petya NSA Exploit Edition, Petya NSA EE, Petna, NotPetya, NonPetya Ransomware

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip (65 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.TXT
dllhost.dat
<random>.bin.dll
<random>.exe
PSEXESVC.EXE
FE04.tmp

Расположения:
%WINDIR%\dllhost.dat
%TEMP%\FE04.tmp
\\192.168.56.11\ADMIN$\PSEXESVC.EXE

Исключения из шифрования:
C:\Windows

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\WC
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Email: wowsmith123456@posteo.net
upd.me-doc.com.ua
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ ещё >>
Другой анализ >>





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Примечание 1. Бэкдор в ПО M.E.Doc
Как оказалось, ПО M.E.Doc содержало бэкдор ZvitPublishedObjects.dll (ZPO), ранее внедрённый в обновления. Этот файл в 5 Мб имеет легитимный код, вызываемый другими компонентами и основным исполняемым файлом ПО M.E.Doc ezvit.exe. Написан с использованием .NET Framework. 
Этот бэкдор содержался в трёх обновлениях:
от 14 апреля - 10.01.175-10.01.176 
от 15 мая - 10.01.180-10.01.181 
от 22 июня - 10.01.188-10.01.189
Модуль с бэкдором ZPO от 15 мая реализован по-другому и имеет меньше функций, чем модуль от 22 июня. 
Каждой компании в Украине присваивается идентификатор юридического лица – код по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины). По нему можно идентифицировать организацию, использующую версию M.E.Doc с бэкдором. Далее атакующие могут использовать различные тактики для работы с её сетью, в зависимости от целей. 
Кроме кодов ЕДРПОУ, бэкдор собирает из ПО M.E.Doc информацию о настройках прокси и почтовой службы, включая логины и пароли.


Вредоносный код записывает собранную информацию в реестр Windows под ключ HKEY_CURRENT_USER\SOFTWARE\WC, 
используя имена значений Cred и Prx. Если эти значения есть на ПК, то скорее всего на нём побывал бэкдор. 
Бэкдор ZPO не использует внешние C&C-серверы, их роль выполняют запросы M.E.Doc к своему официальному серверу "upd.me-doc.com.ua" для проверки наличия обновлений. Собранную информацию бэкдор отправляет в куках (cookie), задействовав серверное ПО.
В атаках подозревают кибер-группу TeleBots, ранее запустившую KillDisk Ransomware. Подробнее см. в статье ESET. 


Примечание 2. Дополнение от 5 июля 2017 от Talos:
По результатам проведённого исследования специалисты Talos составили подробный отчёт. Желающие могут сами ознакомиться с ним в переводе Google, а я хочу обратить внимание только на маленькую выдержку из их отчёта. Там они называют Petya NSA EE как Nyetya, суть это не меняет.
Бэкдор был добавлен в функцию ZvitPublishedObjects.Server.UpdaterUtils.IsNewUpdate в библиотеку ZvitPublishedObjects.dll:

бэкдор в ZvitPublishedObjects.dll

На скриншоте для сравнения между строками 278 и 279 слева, мы можем видеть уже справа, что код был добавлен для получения EDRPOU каждой организации и имени. Затем бэкдора созда`т новый объект MeCom и поток для него, который будет связываться с xxxx://upd.me-doc.com.ua/last.ver?rnd=<GUID> каждые 2 минуты. Он также отправляет любые ответы на этот URL. Файл ZvitPublishedObjects.dll в VirusTotal.


Примечание 3. Курьёз
Курьёзный случай, связанный с поступлениями на биткоин-кошелёк вымогателей Petya NSA EE, был описан в статье Symantec
В пяти кошельках, с которых поступил платёж на общую сумму 0.006795 BTC (~$17), скрыта фраза: "John McAfee Will Save Us"
 
Как обладателю этих кошельков удалось заполучить такую комбинацию — загадка. И кто так пошутил — тоже. 

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Petya Ransomware
Petya+Misha (Petya-2) Ransomware
GoldenEye (Petya-3) Ransomware
PetrWrap Ransomware
Petna (Petya NSA EE, Petna, NotPetya, NonPetya, Nyetya) Ransomware
Bitch (Modified Green Petya) Ransomware


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Write-up by Emsisoft, Write-up by Microsoft
 ID Ransomware (ID as Petna)
 Write-up (eng) + Write-up (rus) by SecureList 
 Topic of Support 
Added later:
Write-up by TrendMicro  Write-up by Dr.Web
Write-up on BC 
Write-up by ESET 
Write-up by Malwarebytes Labs 
Добавлено 7 июля 2017 
Дмитрий Скляров о восстановлении данных после NotPetya 
Added July 14, 2017 
Keeping up with the Petyas: обобщающая статья от Malwarebytes Labs
 Thanks: 
 Fabian Wosar
 Michael Gillespie
 GReAT
 Lawrence Abrams
 Andrew Ivanov

© Amigo-A (Andrew Ivanov): All blog articles.

***

Неожиданный поворот...

После атаки программы-вымогателя NotPetya (Petya NSA EE) американское  Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на пять российских юридических лиц и трех российских физических лиц в соответствии с Указом 13694 «Блокирование собственности определенных лиц, участвующих в значительных вредоносных действиях с использованием киберпространства». Американским компаниям запрещается взаимодействовать или вести дела с попавшими в санкционный список без специального разрешения правительства США. 


Список "виноватых" за поддержку ФСБ: Digital Security, ERPScan, Embedi, НИИ «Квант», Компания «Дивтехносервис», А.Л. Трибун, О.С. Чириков, В.Я. Каганский. 

В США от балды, т.е бездоказательно, посчитали виноватыми в атаках ФСБ и решили ввести санкции на тех, кто оказывал материальную и технологическую поддержку ФСБ. И это несмотря на то, что в России пострадало немало компаний (см. список в основной статье). 

Подробности по каждому включению в санкционный список. 

1) Digital Security была внесен в список в соответствии с EO 13694 с поправками за оказание материальной и технологической поддержки ФСБ. По состоянию на 2015 год Digital Security работала над проектом, который расширил бы наступательные кибер-возможности России для российских спецслужб, включая ФСБ. 

2) ERPScan внесен в список в соответствии с EO 13694 с поправками как принадлежащий или контролируемый компанией Digital Security. По состоянию на август 2016 года ERPScan являлась дочерней компанией Digital Security. 

3) Embedi был включен в список в соответствии с EO 13694 с поправками. По состоянию на май 2017 года Embedi принадлежала или контролировалась Digital Security. 

4) Научно-исследовательский институт «Квант» был внесен в список в соответствии с EO 13694 с поправками и разделом 224 CAATSA как принадлежащий или контролируемый ФСБ. В августе 2010 года правительство России издало постановление, согласно которому «Квант» определен как федеральное государственное унитарное предприятие, находящееся в ведении ФСБ. «Квант» также был внесен в список в соответствии с ЭО 13694 с поправками за оказание материально-технической поддержки ФСБ. По состоянию на август 2015 года «Квант» был научно-исследовательским институтом с обширными связями с ФСБ. Кроме того, по состоянию на апрель 2017 года «Квант» являлся генеральным подрядчиком проекта, конечным пользователем которого выступала ФСБ. 

5) Компания «Дивтехносервис» была включена в список в соответствии с ЕО 13694 с поправками для оказания материально-технической поддержки ФСБ. С 2007 года «Дивтехносервис» закупает различное подводное оборудование и водолазные системы для российских государственных органов, в том числе для ФСБ. Кроме того, в 2011 году компания «Дивтехносервис» получила контракт на закупку подводного плавсредства стоимостью 1,5 миллиона долларов для ФСБ. 
* На американском сайте написано именно «Дивтехносервис», хотя на самом деле компания называется ООО «Дайвтехносервис» и является поставщиком профессионального водолазного оборудования для военных и коммерческих водолазов. 

6) Александр Львович Трибун был включен в список в соответствии с EO 13694 с изменениями, действующими в интересах или от имени компании «Дивтехносервис». По состоянию на декабрь 2017 года Трибун являлся генеральным директором «Дивтехносервис».

7) Олег Сергеевич Чириков был включен в список в соответствии с ЕО 13694 с внесенными в него поправками за действия в интересах или от имени компании «Дивтехносервис». По состоянию на март 2018 года Чириков был руководителем группы проектов «Дивтехносервис». 

8) Владимир Яковлевич Каганский был включен в список в соответствии с ЕО 13694 с внесенными в него поправками за действия от имени компании «Дивтехносервис». По состоянию на декабрь 2017 года Каганский являлся владельцем «Дивтехносервис». Ранее он занимал должность генерального директора «Дивтехносервис».  
---

Апрель 2022: 
Видимо верхушке США и вышеназванного показалось мало. Они снова и снова ищут виновных. Так, в традициях Дикого Запада, они снова объявляют охоту и обещают вознаграждение за информацию и задержание новой партии разыскиваемых хакеров. 


26 апреля 2022 правительство США объявило вознаграждение в размере 10 миллионов долларов за информацию, касающуюся шести предполагаемых российских военных хакеров, связанных с кампанией разрушительного вредоносного ПО NotPetya 2017 года. Подробнее в статье >>


Shifr RaaS, Gojdue

Shifr RaaS Ransomware

Gojdue, ShurL0ckr, Cypher

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель распространяется как RaaS и шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.01 до 1 BTC, чтобы вернуть файлы. Оригинальное название: Simple ransomware. Написан на языке Go. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Windows_Security (WS Go) > Shifr RaaS (Gojdue, ShurL0ckr, Cypher)

К зашифрованным файлам добавляется расширение .shifr
Ранняя активность этого крипто-вымогателя пришлась на конец июня 2017 г. Потом продолжилась в связи с распространением вымогателя как RaaS. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT_FILES.html

Содержание записки о выкупе:
Your files have been encrypted.
To decrypt your files, follow instructions here.

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Для дешифровки файлов следуйте инструкциям.


Shifr RaaS

Сообщение на форуме:
Simple ransomware - no reg, 10% commision
This is ransomware. Once launched on the computer it will encrypt files and demand ransom. Other features of the service:
- No registration required.
- Ransom from 0.01 BTC to 1 BTC.
- Automatic payouts.


Страница после включения VPN
Shifr RaaS
Та же страница из кэша поисковой системы


Технические детали

Распространяется как RaaS на форумах Даркнета. После попадания в другие руки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .arw, .bay, .cdr .cr2, .crw, .csv, .dcr, .dng, .doc, .docx, .dwg, .dxf, .erf, .jpeg, .jpg, .kdc, .mef, .mrw, .nef, .nrw, .orf, .pdf, .pef, .png, .ppt, .pptx, .psd, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .svg, .tiff, .txt, .xls, .xlsx (42 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, и пр. файлы. 

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_FILES.html
<random>.exe
decrypter.exe
encryption_key
lock_file
uuid_file

Расположения:
\AppData\Roaming\uuid_file
\AppData\Roaming\lock_file
\AppData\Roaming\encryption_key
\Desktop\HOW_TO_DECRYPT_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://sinister.ly/Thread-RAAS-Simple-ransomware-no-reg-10-commision
xxxx://v5t5z6a55ksmt3oh.onion.to/decrypt/f2f6d2aa-06e0-43f9-9ebd-853af768e29e
xxxx://v5t5z6a55ksmt3oh.onion.to/new_c/
xxxx://v5t5z6a55ksmt3oh.onion.to/
xxxx://v5t5z6a55ksmt3oh.onion/
***download.windowsupdate.com
Email: simple_ransomware@xmpp.jp
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7-8 февраля и видеообзор от 20 февраля:
🎥 Видеообзор от CyberSecurity GrujaRS >>
Посты в Твиттере: MalwareHunterTeam‏  + GrujaRS 
Новые названия: ShurL0ckr Ransomware и Cypher Ransomware
Новое расширение: .cypher
Файл: encryption_key 
Расположение: %APPDATA%\encryption_key
Ориентация на Windows x64.
Список целевых расширений: .arw, .bay, .cdr, .cr2, .crw, .csv, .dcr, .dng, .doc, .dwg, .dxf, .erf, .jpg, .kdc, .mef, .mrw, .nef, .nrw, .orf, .pdf, .pef, .png, .ppt, .psd, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .svg, .txt, .xls (37 расширений). 
➤ ShurL0ckr обходит механизмы обнаружения облачных платформ. Инфицированные ShurL0ckr-ом файлы пропускаются антивирусной защитой, загружаются в облако, а затем распространяются на другие компьютеры. 
➤ ShurL0ckr продаётся RaaS другим преступникам, получающим комиссию от каждого выкупа. Сумма выкупа на местах: от 0.01 BTC до 1 BTC
➤ Исследователи провели анализ и выяснили, что у четырех популярных приложений, глобально представляющих технологию облачного харанения - OneDrive, Google Drive, Box и Dropbox - был самый высокий уровень заражения.
- Microsoft OneDrive- 55%; 
- Google Drive - 43%;
- Dropbox и Box - по 33%.
👉 Отсюда можно сделать выводы, что облачные приложения становятся всё более привлекательным механизмом распространения вредоносного ПО, а большинство провайдеров облачных хранилищ не обеспечивают защиту от вредоносных программ и угроз нулевого дня. Стоит ли им доверять? Выбор за вами. 
Результаты анализов: HA + VT + HA + VT + HA + VT
Новая статья от McAfee >> (добавлена 16 февраля)
URL: kdvm5fd6tn6jsbwh.onion.to (185.100.85.150:443 Румыния)---


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Shifr)
 Write-up, Topic of Support
 🎥 Video review by CyberSecurity GrujaRS >>

 Thanks: 
 BleepingComputer, Catalin Cimpanu
 Michael Gillespie
 MalwareHunterTeam
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

ViACrypt

ViACrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название написано на файле: crawl. Среда разработки: Visual Studio 2015
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .via

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Сайт вымогателей относится к доменной зоне Латвии. 

Записка с требованием выкупа называется: your system has been encrypted! please read further instruction!.txt
ViACrypt

Содержание записки о выкупе:
Your system files has been encrypted and only way to recover them is by purchasing unlocking key.
Steps to gain access for files:
1) Please follow this page: xxxx://sigmalab.lv/other/crypt/payment_request.php
2) Upload your public encryption key
3) Download decryption key
4) Drag and drop key on crawl.exe
5) Wait for files to be unlocked in background

Перевод записки на русский язык:
Ваши системные файлы зашифрованы и способ их восстановления - только покупка ключа разблокировки.
Получить доступ к файлам:
1) Проследуйте на эту страницу: xxxx://sigmalab.lv/other/crypt/payment_request.php
2) Загрузите открытый ключ шифрования
3) Скачать ключ дешифрования
4) Перетащите ключ на crawl.exe
5) Подождать, пока файлы разблокируются в фоновом режиме


ViACrypt
Сайт вымогателей

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
crawl.exe
your system has been encrypted! please read further instruction!.txt
your_encryption_public_key.rkf

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://sigmalab.lv/other/crypt/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ViACrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *