Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 10 января 2010 г.

RarCrypt

RarCrypt Ransomware

Cryzip 2010 Ransomware

(шифровальщик-вымогатель, rar-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель помещает пользовательские файлы в архив, а затем требует выкуп в 1000 рублей переводом на Яндекс.Деньги, чтобы получить ссылку на программу для расшифровки и вернуть файлы. В последующих случаях сумма выкупа увеличилась до 2000 рублей. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.68
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> Trojan-Ransom.Win32.Cryzip.c
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие похожие варианты >> RarCrypt


Информация для идентификации

Активность этого крипто-вымогателя началась в декабре 2009 и продолжилась в январе-марте 2010 г.. Ориентирован на русскоязычных пользователей, может распространяться по всему миру. Первоначально среди пострадавших были граждане России, Казахстана, Украины. 

К помещенным в архив файлам добавляется расширение .rar, но перед ним добавляется метка _crypt_

Таким образом файлы в архиве будут иметь составное расширение _crypt_.rar

В статье DrWeb говорится, что для архивация используется zip-архив, несмотря на то, что к файлам добавляется .rar
Пароль уникален для каждой заражённой системы. Длина пароля — 47 символов. Пострадавшие сообщают, что каждый файл помещается в "свой" архив, с тем же именем + _crypt_.rar

Записка с требованием выкупа находится в каждой папке, где есть архив с зашифрованными файлами и называется: AUTO_RAR_REPORT.TXT

RarCrypt Ransomware, note

Текст записки написан на русском языке. Оригинальный файл записки получить не удалось, т.к. на момент написания статьи прошло много лет. Статья понадобилась для того, чтобы показать более ранний вариант архиватора-вымогателя и сопоставить его с последующими случаями. 

Содержание записки о выкупе:
Наш счет в системе Яндекс Деньги: ***
================================================
ИНСТРУКЦИЯ: "КАК ВЕРНУТЬ ВАШИ ФАЙЛЫ"
ЧИТАЙТЕ ВНИМАТЕЛЬНО, ЕСЛИ НЕ ПОНЯЛИ, ЧИТАЙТЕ ЕЩЕ РАЗ. 
Это автоматический отчет созданный программой зашифровавшей ваши файлы. Ваш компьютер подвергся атаке троянской программы шифрующей данные. 
Все ваши документы, текстовые файлы, базы данных, фотографии, зашифрованы в rar архивы, с очень длинным паролем. Подбор пароля невозможен, так как его длинна более 30 символов. Взлом rar архивов невозможен, так как для шифрования используется надежный алгоритм AES. Восстановить оригиналы ваших файлов вы не сможете. Они удалены без возможности восстановления. Искать в системе программу, которая зашифровала ваши файлы -  бессмысленно. Программа уже удалена с вашей системы. Обращаться за помощью к кому-либо бессмысленно. Они не знают пароль, поэтому ни чем вам не помогут. Сообщение где либо о нашем Яндекс счете вам не поможет вернуть данные. Но не все так плохо. Если вам действительно нужны ваши файлы, вы можете их вернуть.
Для этого, вам нужно перевести на наш Яндекс счет 1000р.
После перевода денег, вы получите программу, которая вернет все ваши файлы. Это ваш единственный вариант. Для того чтобы перевести 1000р на наш счет в системе Яндекс деньги. Вам необходимо: 
1. Зарегистрироваться в системе Яндекс деньги.
2. Пополнить свой счет.
3. Перевести 1000р на наш Яндекс счет. Все это делается быстро и просто. Далее будет подробно рассказано, как все это сделать. Все данные, которые вы будете вводить, нужно где-то записывать. 
====== 
Пункт 1. Регистрируемся в системе Яндекс деньги. 
====== 
Для начала вам нужно завести почту на Яндексе. 
1. Открываете страницу в интернете http://mail.yandex.ru/
2. Нажимаете ссылку: "Заведите почту на Яндексе"
3. Теперь нужно заполнить следующие поля:
-Имя: (Ваше имя)
-Фамилия: (Ваша фамилия)
-Логин: (Придумайте логин для вашей новой почты) 
4.Нажимаете "Далее" 
5. Заполняете поля:
-Придумайте пароль: (Пароль для вашей новой почты)
-Подтвердите пароль: (Пароль для вашей новой почты)
-Секретный вопрос: (Выберете вопрос. Он потребуется если вы забудете пароль)
-Ответ: (Ваш ответ на секретный вопрос) 
6. Вводите цифры с картинки.
7. Нажимаете "Зарегистрировать"
Откроется страница "Поздравляем, регистрация успешно завершена!" 
8. Нажимаете "Начать пользоваться Почтой"
Откроется ваша почта. 
9. Нажимаете на ссылку "Деньги", она находиться наверху в центре.
Откроется страница платежной системы Яндекс Деньги. 
10. Нажимаете "Открыть счет"
Придумайте платежный пароль и код восстановления (в коде можно использовать только цифры). Запишите ваши пароли где-нибудь. 
11.Заполните соответствующие поля:
-Придумайте платежный пароль:
-Придумайте код восстановления:
-Ваш день рождения:
-И еще раз - платежный пароль: 
12. Нажимаете "Открыть счет в Яндекс Деньгах"
Откроется страница "Поздравляем, вы открыли счет в Яндекс Деньгах! 
13. Запишите на бумагу номер вашего счета. Регистрация в системе "Яндекс Деньги" завершена. 
===== 
Пункт 2. Пополняем свой счет в системе Яндекс деньги. 
====== 
На этой странице вам предлагают различные способы пополнения счета. Вы можете выбрать любой. Но самый простой и быстрый - пополнить через  Терминал. Далее его и рассмотрим. Для пополнения через терминал нужно:
1. Записать "Номер вашего счета" на бумагу. Взять с собой.
2. Найти терминал оплаты, в котором можно пополнить счет "Яндекс Деньги". Это просто.
Таких терминалов большинство. 
3. В терминале выбираете "Яндекс деньги".
4. Вводите (Внимание!) ВАШ НОМЕР СЧЕТА, который вы только что зарегистрировали.
Если в терминале вы укажете наш счет, то мы не сможем дать вам программу для расшифровки. Терминал берет комиссию за пополнение счета, поэтому,  чтобы перевести 1000р, нужно пополнить свой счет примерно на 1100р. 
5. Нажимаете Оплатить. Возьмите чек терминала. В течении 24 часов, на ваш счет поступят деньги. Для проверки поступления денег, нужно:
1. Зайти на сайт http://money.yandex.ru/
2. Слева ввести свой логин и пароль от почты, которую регистрировали с самого начала.
Откроется страница, слева будет видно, сколько денег на вашем счете. 
======= 
Пункт 3. Переводите 1000р на наш Яндекс счет 
======== 
После того, как деньги поступят на ваш счет:
1. Нажимаете ссылку "Перевести".
Откроется страница "Перевести деньги" 
2. Выбираете "перевод на счет" 
3. Заполняете поля:
-Назначение платежа: Перевод с Яндекс.Кошелька
-№ счета получателя: ***
-Сумма: (заполнится автоматически)
-Сумма к получению: 1000
-Название платежа: Перевод на e-mail/счет Внимание, платежи с протекцией не принимаются. 
4. Нажимаете "Перевести"
Откроется страница "Подтверждение платежа" 
5. Вводите ваш платежный пароль
6. Нажимаете "Платить"
Откроется страница "Платеж завершен успешно" На этом все. Больше от вас ни чего не требуется. В течении 24 часов, на ваш счет поступит 10р.
В информации о платеже будет ссылка на программу для расшифровки ваших файлов. На следующий день вы:
1. Заходите на http://money.yandex.ru/
2. Вводите свой логин и пароль от почты, которую регистрировали с самого начала.
Откроется страница вашего счета.
3. Нажимаете "История"
4. Вводите ваш платежный пароль.
5. Нажимаете "Войти"
Откроется страница: "История платежей и зачислений". Здесь вы уведете перевод 10р
на ваш счет.
6. Справа нажимаете "Перевод с Яндекс.Кошелька"
Откроется страница с деталями платежа.
В "Сообщении отправителя" будет ссылка на программу для расшифровки файлов. Скачиваете и запускаете программу.
Все ваши файлы автоматически расшифруются. ====================================================
Помните, всего 1000р и ваши файлы вернутся.
(всего 1000 =) )




Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Dr.Web: Троянцы — шифровальщики — Угроза №1

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ После выполнения вымогательской архивации файлов вредоносная программа самоудаляется. 

Список типов файлов, подвергающихся шифрованию:
.1cd, .7z, .abw, .ade, .adp, .mda, .arh, .arj, .asm, .asp, .bas, .bpg, .c, .cab, .cdr, .cdt, .cdx, .cer, .cgi, .chm, .cls, .cpp, .cs, .css, .db, .db1, .db2, .db3, .dbf, .dbt, .dbx, .dd, .ddt, .dfm, .djv, .djvu, .doc, .docm, .docx, .dpk, .dpkw, .dpr, .dsn, .dt, .dwg, .frm, .gz, .gzip, .h, .hpp, .htm, .html, .jpe, .jpeg, .jpg, .js, .key, .kwm, .lzh, .lzo, .md, .mdb, .mde, .mht, .mhtml, .odc, .pab, .pak, .pas, .pass, .pdf, .pgp, .php, .php3, .phtml, .pl, .pm, .pps, .ppt, .pst, .psw, .pwd, .pwt, .py, .rar, .rb, .rbw, .rtf, .sql, .stp, .tar, .text, .txt, .udl, .usr, .vbp, .vbs, .vsd, .wri, .xfm, .xl, .xlc, .xlk, .xls, .xlsm, .xlsx, .xlw, .xsf, .xsn, .zip, .zipx (111 расширений). 
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, файлы образов, архивы и пр. 

После вымогательского архивирования оригинальные файлы удаляются без возможности восстановления. 

Системные файлы не затрагиваются. 

Файлы, связанные с этим Ransomware:
AUTO_RAR_REPORT.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13-17 марта 2010:
Процесс вымогательства аналогичен описанному выше. 
Составное расширение: _crypt_.rar
Записка: AUTO_RAR_REPORT.TXT
Записка отличается от первоначальной. 
URL: hxxx://fo-google.hut.ru/f2.php
hxxx://fo-google.hut.ru/s2.php





Содержание записки:
ID: ***-***-***
ИНСТРУКЦИЯ: «КАК ВЕРНУТЬ ВАШИ ФАЙЛЫ»
ЧИТАЙТЕ ВНИМАТЕЛЬНО, ЕСЛИ НЕ ПОНЯТНО, ЧИТАЙТЕ ЕЩЕ РАЗ.
Это автоматический отчет созданный программой зашифровавшей ваши файлы.
При просмотре нелегального порнографического материала, ваш компьютер подвергся атаке троянской программы шифрующей данные. Все ваши документы, текстовые файлы, базы данных, фотографии, зашифрованы в rar архивы, с очень длинным паролем. Подбор пароля невозможен, так как его длинна более 40 символов. Взлом архивов невозможен, так как для шифрования используется надежный алгоритм AES. Программы для восстановления удаленных файлов вам не помогут, потому что оригиналы файлов удалены без возможности восстановления. Искать в системе программу, которая зашифровала ваши файлы - бессмысленно.
Программа уже удалена с вашей системы. Обращаться за помощью к кому-либо бессмысленно.
Они не знают пароль, поэтому ни чем вам не помогут.
Но если вам действительно нужны ваши файлы, вы можете заплатить нам 2000р и вернуть свои файлы.
В течении суток после оплаты, мы вышлем вам пароль. Вам останется только скачать и запустить программу, которая автоматически расшифрует все ваши файлы.
Для получения пароля отправьте письмо на ***@gmx.com или ***@gawab.com
В теме письма напишите: "ID: ***-***-***"
Программу для автоматической расшифровки вы можете скачать по ссылкам:
hxxx://depositfiles.com/files/m4et618ej 
hxxx://www.sharemania.ru/0135226 
hxxx://webfile.ru/4346046dGу

---
Текст скрыт под "звездочками" авторами статьи на сайте компании Dr.Web. 
В URL-адресах протокол "http" деактивирован на "hxxx". 

Сохранился скриншот загрузки файла с depositfiles.


---

Специалисты компании Dr.Web разработали утилиту для подбора пароля к архивам, созданным вымоагтелями. Форма для получения пароля расположена на специальной странице сайта компании Dr.Web. 


---
Специалисты компании "Лаборатория Каспесркого" также разработали утилиту для подбора пароля к архивам. Этот сервис был активен несколько лет, пока была активна вредоносная программа. Потом его отключили. 
См. на скриншотах, как он выглядел. 





Дополнение от 25 мая 2010:
Подробности работы вредоносной программы. 
После запуска вредонос проверяет подключение к Интернету и подключается к сайту "fo-google.hut.ru". 
- Если подключение отсутствует, то вредонос создает в своем рабочем каталоге файл командного интерпретатора, запускает его и завершает свою работу. Этот файл удаляет оригинальный файл вредоноса и самоуничтожается.
- Если подключение есть, то вредонос извлекает из своего тела файлы, которые сохраняются в системе как 
%System%\stdbvl30.dll
%System%\rml32ht.dll
- Создает ключи системного реестра:
[HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\smlgntfy]
"DLLName" = "stdbvl30.dll"
"Logon" = "WLEventLogon"
"Impersonate" = "0"
"Asynchronous" = "1"
Таким образом, извлеченная DLL будет подгружаться в адресное пространство процесса "winlogon.exe" при каждом запуске системы. 


Дополнение по распространению:
Как оказалось, случаи подобного вымогательского ZIP или RAR-архивирования были зафиксированы не только в России, Казахстане, Украине, но и в Латвии, Польше, Молдове, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США и в других странах.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (n/a)
 Write-up, Topic of Support + Topic + Topic
 ***
Внимание! 
В Dr.Web разработали утилиту для подбора пароля к архивам. 
Получить пароль к архивам можно на сайте Dr.Web по ссылке >>
 Thanks: 
 DrWeb
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *