Если вы не видите здесь изображений, то используйте VPN.

среда, 6 октября 2010 г.

Codemanager

Codemanager Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп на сумму в 100$ с помощью банковского перевода, чтобы вернуть файлы. Подробности должны прийти в обратном письме. Оригинальное название: в записке не указано. На файле написано: нет данных. По некоторым данным это распространялось из Украины. 

© Генеалогия: предыдущие варианты >> Codemanager

К зашифрованным файлам добавляется расширение: .ENCODED


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2010 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Мы узнали об этом спустя 9 лет и нашли сообщения пострадавших из Чехии, Венгрии, России. 

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
   Attention!!!    
All your personal files (photo, documents, texts, certificates, kwm-files, video) were encrypted by a very strong cypher RSA-1024. The original files deleted.  You can check it yourself - just look for this in all folders.
 There is no possibility to decrypt these files without a special decrypt program! Nobody can help you - even don't try to find another method or tell someone because after 3 days all encrypted files will be completely deleted and you will have no chance to get it back.
 We can help you with a decrypt-program for 100$ via wire transfer (bank transfer:  SWIFT/IBAN). 
For details you have to send your request on this e-mail (with serial key from text-file on desktop) : codemanager@fastmail.fm
D619DB3F92FE7E57D3003A5648924B39FE9E7C1721CFCFA6D37C2238246AE34B0854A68796CF93F0FED1AE438AFC80C32A25135A90BAD13FF90B6AE875465971***

Перевод записки на русский язык:
Внимание!!!
Все ваши личные файлы (фото, документы, тексты, сертификаты, kwm-файлы, видео) были зашифрованы очень надежным шифром RSA-1024. Исходные файлы удалены. Вы можете проверить это сами - просто поищите это во всех папках.
  Невозможно расшифровать эти файлы без специальной программы дешифрования! Никто не может помочь вам - даже не пытайтесь найти другой метод или сказать кому-либо, потому что через 3 дня все зашифрованные файлы будут полностью удалены, и у вас не будет возможности вернуть его.
  Мы можем помочь вам с расшифровкой программы за 100$ с помощью банковского перевода (банковский перевод: SWIFT / IBAN).
Для получения подробной информации вы должны отправить запрос на это письмо (с серийным ключом из текстового файла на рабочем столе): codemanager@fastmail.fm
D619DB3F92FE7E57D3003A5648924B39FE9E7C1721CFCFA6D37C2238246AE34B0854A68796CF93F0FED1AE438AFC80C32A25135A90BAD13FF90B6AE875465971***

---
Подробнее о SWIFT и IBAN

SWIFT (Society for Worldwide Interbank Financial Telecommunications) — сообщество всемирных межбанковских финансовых телекоммуникаций. Для коммуникации используется специальная защищенная сеть. 
IBAN (International bank account number) — международный номер банковского счета. Используется при международных расчетах. Соответствует стандартам ISO 13616.
Каждый банк в сообществе имеет свой уникальный SWIFT-код, который может состоять из 8 или 11 символов, где первые четыре знака означают короткое название банка, остальные — страну, город и подразделение банка. Наличие такого кода ускоряет и упрощает передачу платежа. Для выполнения межбанковского перевода между европейскими банками, входящими в сообщество, достаточно знать SWIFT-код банка-получателя и IBAN получателя. Но ввиду некоторых особенностей, а также того, что далеко не все участники SWIFT поддерживают IBAN, зачастую требуется больше реквизитов.

Что удалось найти в старых темах на форумах:

На Рабочем столе (по словам пострадавших) также было сообщение:
ALL YOUR PERSONAL FILES WERE ENCRYPTED WITH A RTRONG ALGORYTHM RSA-1024 AND YOU CAN'T GET AN ACCESS TO THEM WITHOUT MAKING OF WHAT WE NEED!
READ THE TEXT FILE ON DESKTOP!

Перевод на русский язык: 
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ С НАДЕЖНЫМ АЛГОРИТМОМ RSA-1024, И ВЫ НЕ МОЖЕТЕ ПОЛУЧИТЬ К НИМ ДОСТУП, НЕ СДЕЛАВ ТОГО, ЧТО НАМ НУЖНО!
ПРОЧТИТЕ ТЕКСТОВЫЙ ФАЙЛ НА РАБОЧЕМ СТОЛЕ!

В английском тексте мы видим два слова с ошибками. Возможно, что из сделал пострадавший при публикации текста. Но также возможно, что эти ошибки сделали вымогатели. 



Технические детали

Распространялся с помощью программ взлома, кейгенов, других программ для нелегитимной активации платных программ. 
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Ориентирован на поиск кошельков WebMoney Keeper Classic (kw-файлов) и других денежных онлайн-систем. После его вредоносной работы на компьютере обнаруживались банковские трояны, бэкдоры, похитителей паролей:
\AppData\Local\Temp\0125626.exe (Backdoor.Bot)
\Temporary Internet Files\Content.IE5\0CQSA40P\i[1].Exe (Backdoor.Bot)
\Windows\Temp\_ex-08.exe (Trojan.Dropper)
\Users\Public\Documents\Server\server.dat (Malware.Trace)
\winrsvn.exe - BackDoor.Generic12.CIRC
\crssn.exe - Trojan Crypt.ZRO
\winusbmngr.exe - Trojan BackDoor.Generic12.CKTJ

 Форумы, где остались упоминания:
https://forum.viry.cz/viewtopic.php?f=13&t=105289
https://forum.viry.cz/viewtopic.php?f=13&t=105270

➤ Начало файла перезаписывалось нулями, остальная часть выглядит зашифрованной. Специалисты проанализировлаи и сказали, что этот шифровальщик не имеет отношения к Xorist, который в то время уже был активен. 
 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: codemanager@fastmail.fm
Банковский перевод: SWIFT / IBAN
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis на неосновные файлы >> + VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая во время активности.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 Alex Svirid, quietman7
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *