Если вы не видите здесь изображений, то используйте VPN.

четверг, 26 октября 2017 г.

Gendarmerie

Gendarmerie Ransomware

GendarmerieCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 100 евро с купонов Neosurf, чтобы вернуть файлы. Оригинальное название: Gendarmerie. Название проекта: gendarmerie_crypter. На файле написано: ma_video.exe. 

© Генеалогия: HiddenTear >> 
DarkKometGendarmerie > WhoLocker

К зашифрованным файлам добавляется расширение .hacking

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Message_Important.txt

Содержание записки о выкупе:
instruction à faire pour récupérer la clé de décryptage de vos fichiers crypter
email de contact : fbi-cybercrimedivision@hotmail.com
1) acheter des coupons neosurf de 100€ ,euros .
2) vous pouvez acheter les coupons neosurf ici https://www.recharge.fr/carte-neosurf
3) vous pouvez aussi acheter les coupons neosurf ici https://www.neosurf.com/fr_FR ou dans les bureaux de tabac
4) dès que je reçois les coupons neosurf ,je vous envoie la clé de décryptage par email.
Contact Email : fbi-cybercrimedivision@hotmail.com

Перевод записки на русский язык:
инструкции по восстановлению ключа дешифрования файлов 
контактный email-адрес: fbi-cybercrimedivision@hotmail.com
1) купите купоны Neosurf на 100 евро.
2) вы можете купить купоны Neosurf здесь https://www.recharge.fr/neosurf-card
3) вы также можете купить купоны Neosurf здесь https://www.neosurf.com/en_US или в табачных магазинах
4) Как только я получу купоны Neosurf, я пошлю вам ключ дешифрования по email.
контактный email-адрес: fbi-cybercrimedivision@hotmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Message_Important.txt
<random>.exe

Расположения:
\Desktop\Message_Important.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fbi-cybercrimedivision@hotmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4 декабря 2017:
Пост в Твиттере >>
Расширение: .hacking
Записка: Message_Important.txt
Email: fbi-cybercrimedivision@hotmail.com
BTC: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
Файлы: BelleVido.exe
На файле написано: Gendarmerie B.V.3 и BelleVidéo.exe
Результаты анализов: VT + IA


Обновление от 23 октября 2020:
Расширение: .AnoymouS
Записка: Message_Important.txt
Email: fbi-cybercrimedivision@hotmail.com
BTC: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
C:\Users\User\Desktop\CryptSky-master\ransomware-fud_2018-master\Gendarmerie B.V.3\obj\Debug\GTA V Setup.pdb
Файлы: GTA V Setup.exe
На файле написано:  Gendarmerie B.V.3 и GTA V Setup.exe
Результаты анализов: VT + IA
 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri‏, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

WannabeHappy

WannabeHappy Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: WannabeHappy. На файле написано: Cryptor и Cryptor.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops your files have been encrypted
What Happened to My Computer?
Your important files are encrypted. Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely easily. But you have not so enough time. You only have 13 hours, 37 minutes and 42 seconds (13:37:42) to submit the payment. After that the price will be doubled. Also, if you dont pay, you won't be able to recover your files forever. We will have free for users who are so poor that they couldn't pay in 6 months.
How do I Pay?
Payment is accepted in Bitcoin only. For more information, click @bitcoin logo. Please check the current price of the Bitcoin and buy some bitcoins. For more information, check internet. When the payment is done, report that the payment is done by sending your transaction ID (TX ID) by clicking <Validate payment>
—> <Report payment>. I takes a while to validate the payment. After a while you can press the button <Get key to decrypt> and when the payment is succesful received, the decryption key will be returned!
-
Payment
Send $500 worth of bitcoin to this address
1HgdrvvvChjyqu3K76LVurimqwRNqh1Zr9
Validate payment
-
Decrypt
Key: []
Decrypt
-
Close
Thank you for using wannabehappy
Close

Перевод записки на русский язык:
Упс, ваши файлы были зашифрованы
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы. Многие из ваших документов, фото, видео, баз данных и других файлов больше недоступны, т.к. они были зашифрованы. Возможно, вы ищете способ восстановить свои файлы, но не тратьте свое время. Никто не может восстановить ваши файлы без нашей службы расшифровки.
Можно ли восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете легко восстановить все ваши файлы. Но у вас мало времени. У вас есть только 13 часов, 37 минут и 42 секунды (13:37:42), чтобы отправить платёж. После этого цена будет удвоена. Кроме того, если вы не платите, вы не сможете восстановить ваши файлы никогда. У нас будет бесплатно через 6 месяцев для пользователей, которые бедны и не смогли заплатить.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения информации щелкните логотип @bitcoin. Проверьте текущую цену биткоина и купите несколько биткоинов. Для получения информации, проверьте Интернет. Когда платеж будет сделан, сообщите, что платеж сделан, отправьте идентификатор транзакции ID (TX ID), нажав <Validate payment>
-> <Report payment>. Мне нужно время для подтверждения платежа. Через некоторое время вы можете нажать кнопку <Get key to decrypt>, и когда платеж будет успешно получен, ключ дешифрования будет возвращён!
-
Оплата
Отправить биткоин на сумму $500 на этот адрес
1HgdrvvvChjyqu3K76LVurimqwRNqh1Zr9
Проверить оплату
-
Расшифровка
Ключ: [...]
Расшифровывать
-
Закрытие
Спасибо за использование wannabehappy
Закрыть




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cryptor.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1HgdrvvvChjyqu3K76LVurimqwRNqh1Zr9
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 24 октября 2017 г.

Losers

Losers Ransomware
"Losers decryptor" Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: Losers Ransomware и Losers decryptor. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Nemesis ⟺ СryptON > Cry36 > Losers > Losers-2



К зашифрованным файлам добавляется расширение .losers

Активность этого крипто-вымогателя пришлась на вторую половину весь октябрь 2017 г. Ориентирован на англоязычных и других иностранных пользователей, что не мешает распространять его по всему миру. Много пострадавших в Индонезии. 

Записка с требованием выкупа называется: HOWTODECRYPTFILES.html

Содержание записки о выкупе:
ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED
Losers ransomware Ransomware
To decrypt your files you need to buy the special software – «Losers decryptor»
To recover data, follow the instructions!
You can find out the details/ask questions in the e-mail:
dd.coala@protonmail.com
You can find out the details/ask questions in the chat:
xxxx://kuysqebjbttaxmq2.onion.to (not need Tor)
xxxxs://kuysqebjbttaxmq2.onion.cab (not need Tor)
xxxxs://kuysqebjbttaxmq2.onion (need Tor)
You can find out the details/ask questions in Bitmessage:
xxxxs://bitmsg.me/ BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrU
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://kuysqebjbttaxmq2.onion/ in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
// If you have any problems installing or using, please visit the video tutorial xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Your personal identification ID:2354296xxx

Перевод записки на русский язык:
ВСЕ ВАША РАБОТА И ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Losers ransomware Ransomware
Чтобы расшифровать ваши файлы, вам нужно купить специальное программное обеспечение - «Losers decryptor»
Чтобы восстановить данные, следуйте инструкциям!
Вы можете узнать подробности / задать вопросы по электронной почте:
dd.coala@protonmail.com
Вы можете узнать подробности / задать вопросы в чате:
xxxx://kuysqebjbttaxmq2.onion.to (без Tor)
xxxxs://kuysqebjbttaxmq2.onion.cab (без Tor)
xxxxs://kuysqebjbttaxmq2.onion (нужен Tor)
Вы можете узнать подробности / задать вопросы в Bitmessage:
xxxxs://bitmsg.me/ BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrU
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес xxxxs://www.torproject.org/download/download-easy.html в адресную строку вашего браузера и нажмите клавишу ENTER
3. На сайте будет предложено загрузить Tor-браузер, загрузите и установите его. Запустите.
4. Подключитесь кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера
6. Введите или скопируйте адрес xxxx://kuysqebjbttaxmq2.onion/ в адресную строку Tor-браузера и нажмите клавишу ENTER
7. Подождите, пока сайт загрузится
// Если у вас есть проблемы с установкой или использованием, посетите видеоурок xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Ваш личный идентификационный ID:2354296xxx


Страницы Tor-сайта вымогателей



Баланс одного из кошельков вымогателей




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOWTODECRYPTFILES.html
decryptor.exe
<random>.exe
<random>.tmp
apphelp.dll

Расположения:
%WINDIR%\system32\apphelp.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hromofreah.top (США)
Tor: http://kuysqebjbttaxmq2.onion.to
xxxxs://kuysqebjbttaxmq2.onion.cab
xxxxs://kuysqebjbttaxmq2.onion
xxxx://kuysqebjbttaxmq2.onion
Email: dd.coala@protonmail.com
BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrU
BTC: 1JyXyxdxYQJEhBYSaNevNgemHp4NiyvdNQ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Cry36)
 Write-up, Topic of Support
 * 
 Thanks: 
 PolarToffee
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Bad Rabbit

Bad Rabbit Ransomware

"Плохой кролик" атакует!

(шифровальщик-вымогатель, MBR-модификатор)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


Этот крипто-вымогатель шифрует данные с помощью AES-128 (режим CBC) + RSA-2048 для ключа, а затем требует выкуп 0.05 BTC (~300$), чтобы вернуть файлы. Оригинальное название: Bad Rabbit. На файле может быть написано Adobe® Flash® Player Installer/Uninstaller, Update Adobe Flash Player или что попало. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Petya NSA EE (modified) > Bad Rabbit


BadRabbit Ransomware
Изображение не принадлежит шифровальщику

Этимология названия:
Название Bad Rabbit написано на странице вымогателей в сети Tor. 
В переводе с английского: Плохой Кролик. 🐰

К зашифрованным файлам дополнительное расширение не добавляется. 
Зато к концу содержимого каждого файла добавляется маркер e.n.c.r.y.p.t.e.d.
Я выделил этот маркер красным

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что позволяет распространять его по всему миру, главным образом среди корпоративных пользователей, имеющих серверы, локальную и корпоративную сеть. 

✔ Большинство атак пришлось на Россию и Украину, Турцию, Болгарию, Японию и другие страны, в их числе: Германия, Польша, Чехия, Румыния, Южная Корея и США. На Россию — в первые 2 часа, с 10.00 до 12.00 по UTC. Активная фаза продолжалась до полудня, но отдельные атаки зафиксированы до 19.55 по Москве. Сервер, с которого распространялся дроппер BadRabbit, был отключен вечером 24-го октября.
 

Уже известно, что пострадало несколько сайтов российских СМИ, в том числе сайты "Интерфакс", "Фонтанка", "Новая газета в Санкт-Петербурге", "Аргументы недели".
В Украине в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, некоторые государственные учреждения, некоторые региональные подразделения "Укрэнерго", сети магазинов, банки, СМИ и телекоммуникационные компании. 
В Турции пострадали государственные агентства и некоторые неназванные компании. 

Запиской с требованием выкупа выступает главным образом экран блокировки, хотя есть и записка в виде текстового файла README.txt с почти аналогичным содержанием.


BadRabbit Ransomware - "Плохой кролик" атакует 
Экраны блокировки у BadRabbit (у всех жертв разные ключи)

Содержание текста о выкупе:
Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our decryption service.
We guarantee that you can recover all your files safely. All you need to do is submit the payment and get the decryption password. 
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#l:
ZORqoZdoI+vr6*****
If you have already got the password, please enter it below.
Password#1: 

Перевод текста на русский язык:
Упс! Ваши файлы были зашифрованы.
Если вы видите этот текст, то ваши файлы недоступны.
Возможно, вы ищете способ восстановить свои файлы.
Не тратьте своё время. Никто не восстановит их без нашей службы расшифровки.
Мы гарантируем, что вы сможете безопасно восстановить все свои файлы. Все, что вам нужно сделать, это отправить платеж и получить пароль для дешифрования.
Посетите наш веб-сервис в caforssztxqzf2nm.onion
Ваш персональный инсталл-ключ №1:
ZORqoZdoI+vr6*****
Если у вас уже есть пароль, введите его ниже.
Пароль №1:

Скриншот записки README.txt

Содержание записки о выкупе:
Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#2: KYbfaXkqP*****

Перевод записки на русский язык:
Упс! Ваши файлы были зашифрованы.
Если вы видите этот текст, то ваши файлы недоступны.
Возможно, вы ищете способ восстановить свои файлы.
Не тратьте своё время. Никто не восстановит их без нашей службы расшифровки.
Мы гарантируем, что вы сможете безопасно восстановить все свои файлы. Все, что вам нужно сделать, это отправить платеж и получить пароль для дешифрования.
Посетите наш веб-сервис в caforssztxqzf2nm.onion
Ваш персональный инсталл-ключ №2: KYbfaXkqP*****


При переходе на TOR-сайт вымогателей взору открывается играющая цветами радуги страница.
BadRabbit tor onion
Скриншот с сайта вымогателей

Содержание текста на сайте:
BAD RABBIT
If you access this page your computer has been encrypted. Enter the appeared personal key in the field below. If succeed, you'll be provided with a bitcoin account to transfer payment. The current price is on the right.
Once we receive your payment you'll get a password to decrypt your data. To verify your payment and check the given passwords enter your assigned bitcoin address or your personal key.
Time left before the price goes up
36-25-48
Price for decryption:
฿ 0.05 

Перевод на русский: 
BAD RABBIT
Если вы зашли на эту страницу, то ваш компьютер зашифрован. Введите полученный личный ключ в поле ниже. Если вы добьётесь успеха, вам будет предоставлен биткоин-аккаунт для перевода платежа. Текущая цена находится справа.
Как только мы получим ваш платеж, вы получите пароль для дешифрования ваших данных. Чтобы подтвердить свой платеж и проверить данные паролей, введите назначенный биткоин-адрес или ваш личный ключ.
Время до начала роста цены
36-25-48
Цена за расшифровку:
฿ 0.05 


Скриншоты с некоторых пострадавших сайтов.
BadRabbit attack - "Плохой кролик" атакует
Сайт "Аргументы недели" с фальшивым обновлением Adobe Flash Player
Сообщение Интерфакс в Твиттере
Сообщение CERT-UA



 Как уберечься от этой вирусной атаки? 

Специалисты из ЛК и другие рекомендуют для того, чтобы не стать жертвами новой эпидемии:
1) заранее сделать бэкап (резервные копии) важных файлов;
2) заблокировать исполнение файлов C:\Windows\infpub.dat, C:\Windows\cscc.dat, заранее самому создав такие файлы, и в свойствах этих файлов удалить все разрешения и наследования;
3) если возможно, запретить использование сервиса WMI;
4) установить патчи для всех компьютеров сети (см. "Рекомендации по предотвращению угрозы" в статье WanaCrypt0r 2.0 Ransomware).  

✔ Пользователям защитных решений ЛК рекомендуется включить компоненты Kaspersky Security Network (KSN) и "Мониторинг активности" (System Watcher), если они были ранее отключены. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, наборов эксплойтов, веб-инжектов, фальшивых обновлений (Adobe Flash в частности), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Процесс заражения начинается с фальшивого установщика Adobe Flash, который загружается с зараженных сайтов. Он содержит упакованный пейлоад, который содержит не менее шести различных инструментов, сжатых в ZLIB-ресурсы, которые используются для извлечения из памяти логин-паролей (утилита Mimikatz), для шифрования (DiskCryptor), а также для других выполняемых задач. 

Для ускорения процесса распространения по всем компьютерам локальной сети, BadRabbit использует модифицированную версию эксплойта NSA EternalRomance, написанного для дистанционной установки и запуска SMB-бэкдора, и специальный механизм сканирования, основанный на протоколе SMB, который также способствовал распространению EternalRomance. 
Как работает этот эксплойт, читайте в статье о EternalRomance от Microsoft. 

Модифицированность этого эксплойта не позволила обнаружить его при первых анализах. Возможно, это говорит в пользу того, что Bad Rabbit и NotPetya были созданы одними и теми же авторами. 

После перезагрузки системы доступ к ней блокируется, а на экран выводится ещё одно уведомление с требованием заплатить выкуп за ключ дешифрования.

⛳ Итак, подытожим:
- BadRabbit использует легальные инструменты Windows: Management Instrumentation (WMI) и Service Control Manager Remote Protocol.
- BadRabbit использует инструмент Mimikatz для извлечения из памяти логин-паролей и других учётных данных. 
- BadRabbit использует WebDAV — это протокол для передачи и управления файлами на веб-серверах, реализации облачных хранилищ информации. 
- Bad Rabbit не использует эксплойт EternalBlue, но использует EternalRomance из набора эксплойтов АНБ США.
- BadRabbit использует ПО DiskCryptor для шифрования разделов на диске. 
- BadRabbit имеет жёстко закодированный список учётных данных. 
- BadRabbit очищает журналы событий, но создаёт запланированные задачи с названиями Drogon, Rhaegal и Viserion*, по которым можно отследить журналы событий этой деятельности. Например:
-- событие "Event 1102" — журнал аудита очищен; 
-- событие "Event 106" — создана запланированная задача. 
- Bad Rabbit перечисляет все запущенные процессы и сравнивает хэш от имени каждого процесса с имеющимся у него списком хэшей. При этом используемый алгоритм хэширования похож на тот, что использовался NotPetya.
- Bad Rabbit, зашифровав файлы жертвы, шифрует MFT (таблицу основных файлов) и заменяет MBR (главную загрузочную запись) специальным загрузочным экраном.
- Bad Rabbit шифрует файлы с помощью AES-128 (режим CBC) и RSA-2048. 
- Bad Rabbit шифрует разделы диска с помощью AES (режим XTS). Пароль генерируется dispci.exe с использованием функции WinAPI CryptGenRandom и имеет длину 32 символа.
- BadRabbit изменяет MBR, находящуюся в первом секторе жёсткого диска, чтобы изменить процесс загрузки и отобразить свои требования о выкупе. 
---
* Drogon, Rhaegal, Viserion - это имена трёх драконов из американского телесериала «Игры престолов». 
---

ВАЖНО: Одна скомпрометированная машина с правами администратора внутри своей сети способна заразить все остальные компьютеры, используя WMI, Mimikatz, WebDAV и модифицированную версию эксплойта NSA EternalRomance. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip (113 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
flash_install.php - загружаемый установщик
install_flash_player.exe - загружаемый установщик
FlashUtil.exe - загружаемый установщик
infpub.dat - шифровальщик 
dispci.exe - шифровальщик-дешифровщик (из DiskCryptor)
cscc.dat (dcrypt.sys) - драйвер ядра для шифрования (из DiskCryptor)
viserion_23.job - перезагружает систему для блокировки
drogon.job – блокирует компьютер
rhaegal.job - запускает дешифровщик
README.txt - записка о выкупе
<image> - изображение на экран
<ramdom>.tmp - временный файл

Расположения:
C:\README.txt
C:\Windows\<ramdom>.tmp
C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat
C:\Windows\dispci.exe
Infpub.dat выполняется через Rundll32.exe

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"DisplayName" = "Windir Client Side Caching DDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"ImagePath" = "cscc.dat"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"Type" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"ErrorControl" = "3"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"Start" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"DependOnGroup" = ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"Group" = "Filter"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"DependOnService" = "FltMgr"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\"UpperFilters" = "cscc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\"LowerFilters" = "cscc"
См. ниже результаты анализов.

Запланированные задачи для выполнения определённых функций:
schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "%SYSTEM%\cmd.exe /C Start \"\" \"%Windir%\dispci.exe\" -id [NUMBER] && exit"
schtasks /Create /SC once /TN drogon /RU SYSTEM /TR "%SYSTEM%\shutdown.exe /r /t 0 /f" /ST [TIME]

Используя wevtutil вредонос очищает следующие журналы: 
Setup
System
Security
Application

Используя fsutil вредонос удаляет журнал USN.

Сетевые подключения и связи:
xxxx://caforssztxqzf2nm.onion/ - сайт оплаты
xxxx://185.149.120.3/scholargoogle/ - URL веб-инжекта
xxxx://1dnscontrol.com/flash_install.php - сайт-распространитель
xxxx://webcheck01.net 
xxxx://webdefense1.net 
xxxx://secure-check.host 
xxxx://firewebmail.com 
xxxx://secureinbox.email 
xxxx://secure-dns1.net
BTC: 1GxXGMoz7HAVwRDZd7ezkKipY4DHLUqzmM
17GhezAiRhgB8DGArZXBkrZBFTGCC9SQ2Z
См. также ниже результаты анализов.

Список некоторых скомпрометированных сайтов:
xxxx://an-crimea.ru***
xxxx://ankerch-crimea.ru***
xxxx://argumenti.ru***
xxxx://argumentiru.com***
xxxx://bg.pensionhotel.com***
xxxx://blog.fontanka.ru***
xxxx://calendar.fontanka.ru***
xxxx://grupovo.bg***
xxxx://i24.com.ua***
xxxx://most-dnepr.info***
xxxx://novayagazeta.spb.ru***
xxxx://osvitaportal.com.ua***
xxxx://spbvoditel.ru***
xxxx://www.aica.co.jp***
xxxx://www.fontanka.ru***
xxxx://www.grupovo.bg***
xxxx://www.imer.ro***
xxxx://www.mediaport.ua***
xxxx://www.online812.ru***
xxxx://www.otbrana.com***
xxxx://www.pensionhotel.cz***
xxxx://www.sinematurk.com***
xxxx://www.t.ks.ua

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+
Symantec: Ransom.BadRabbit >>
Ещё образцы от JAMESWT



Примечание 1:
Malwarebytes Labs предложили сравнение экранов шифровальщиков-вымогателей BadRabbit и NotPetya (он же Petna, Petya NSA EE). Хотя они технологически отличаются, но их экраны с требованиями выкупа во много схожи. Что бы это значило? 

Лично у меня нет сомнения, что за многими целенаправленными атаками на Россию, Украину и их соседей стоят одни и те же хорошо спонсируемые кибер-криминальные группы. Их цели прозрачны и стары как мир — "Разделяй и властвуй!" (Divide et impera!)
Оба экрана для сравнения

Примечание 2:
Информация от ESET от 25 октября, см. ссылку в блоке ссылок.
- Bad Rabbit — новая версия шифровальщика NotPetya. 
- Сценарий атаки. При входе пользователя на зараженный сайт вредоносный код передает информацию о нем на удаленный сервер. Далее логика на стороне сервера определяет, представляет ли этот пользователь интерес. В данный момент связи с сервером нет.
- Если пользователь "интересен" шифратору, на странице зараженного сайта появляется всплывающее окно с предложением загрузить обновление для Flash Player. Нажав кнопку "Установить", пользователь загружает исполняемый файл, который и запускает шифратор. Далее файлы жертвы шифруются, а на экране появляется требование выкупа в размере 0,05 BTC. 
- Заразив рабочую станцию в организации, шифратор распространяется по корпоративной сети через протокол SMB. В отличие от NotPetya, Bad Rabbit не использует эксплойт EthernalBlue — вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. 

Примечание 3:
Диаграмма инфекции, составленная специалистами из TrendMicro:
Увеличенный формат по клику

Примечание 4:
Информация от ЛК от 27 октября, см. ссылку в блоке ссылок.
"Мы обнаружили, что Bad Rabbit не удаляет после шифрования теневые копии файлов. Это значит, если теневые копии были включены до заражения, или полное шифрования диска не произошло, жертва может восстановить исходные версии зашифрованных файлов с помощью стандартной возможности Windows или сторонних программ по восстановлению файлов."
Увеличенный формат по клику

Примечание 5: Чего боится "Кролик"? 
Информация от Dr.Web от 26 октября 2017:
1) BadRabbit проверяет наличие в системе антивирусных процессов Dr.Web и McAfee (в частности, процессы с именами dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe, McTray.exe, mfevtps.exe и mcshield.exe). Если они обнаруживаются, то BadRabbit пропускает первый этап шифрования, видимо, с целью избежать преждевременного обнаружения, однако пытается запустить полное шифрование диска после перезагрузки системы. 
2) Перед началом шифрования Trojan.BadRabbit выполняет ряд подготовительных действий, после чего в Планировщике Windows создает задачу на перезагрузку компьютера через 3 минуты. Далее каждые 30 секунд троянец удаляет старое задание и создает новое, постоянно смещая время, когда должна выполниться задача. Вероятно, это сделано на случай обнаружения вредоноса до того, как завершится шифрование дисков. 

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


См. выше примечания 1-4. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as BadRabbit)
 Write-up, Write-up, Write-up, Topic of Support 
Added later: 
Информация от ESET. Добавлено 25 октября 2017
Информация от TrenMicro. Добавлено 26 октября 2017
Информация от FSecure. Добавлено 27 октября 2017
Информация от Symantec. Добавлено 27 октября 2017
Информация от ЛК. Добавлено 27 октября 2017 + RUS
Информация от BC. Добавлено 28 октября 2017
Информация от Dr.Web. Добавлено 28 октября 2017
 Thanks: 
 Jiri Kropac‏, Michael Gillespie
 Lawrence Abrams, JAMESWT  

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *