понедельник, 22 декабря 2014 г.

NSB, VirLock

NSB Ransomware

Virlock Ransomware

ViraLock Ransomware

(гибрид-вымогатель, деструктор)
Translation into English


Этот вымогатель блокирует и шифрует данные пользователей с помощью XOR, а затем требует выкуп в ~0.6-0.8 BTC, чтобы вернуть файлы. Оригинальное название: не указано. В окне написано: NATIONAL SECURITY BUREAU и NSB. На файле написано: что попало, в том числе: Virlock.exe, ViraLock.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: семейство VirLock. 

К перезаписанным и зашифрованным файлам добавляется расширение: .exe

Ранний образец этого вымогателя известен с октября 2014 г., потом он был модифицирован, и заново обнаружен в конце 2014 - начале 2015 г. Видимо активно распространялся до конца 2016 года. Разные исследователи находили и описывали его позже — в 2017 и 2018 гг. В ID Ransomware был добавлен только в июле 2018 как NSB Ransomware. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Наибольшее распространение было в США, Канаде, Европе, Китае, Австралии, на Филиппинах. 

Сообщение в окне экрана блокировки содержит текст предупреждения для пользователя и предлагает оплатить сумму выкупа в биткоинах. 

Содержание записки о выкупе:
NATIONAL SECURITY BUREAU                                                                       NSB
Your computer was automatically blocked. Reason: Pirated software found on this computer.
Your computer is now blocked. 184 files have been temporarily blocked on your computer.
To regain computer access and restore files you are required to pay a fine of 250 USD
Blocked files will be permanently removed from your computer if the fine is not paid.
The NSB has two ways to pay a fine:
1. You can pay your fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest vendor. Your computer will be unlocked after you make your payment.
2. You an come to your provincial courthouse and pay your fine at the Cashiers window.
Your computer will be unlocked within 4-5 working days.
To regain access transfer bitcoins to the following address (click to copy):
198tX7NmLg 6o 8qcTT2Uv9cSBVzN3oEozpv
After the payment is finalized enter Transfer ID below.
Amount:  Transfer ID:
BTC 0.661  [ _____________________________________ ] [PAY FINE]
If the fine is not paid, a warrant will be issued for your arrest,
which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.
Payment BitCoin Information BitCoin Exchanges BitCoin ATMs Internet Browser Notepad

Перевод записки на русский язык:
НАЦИОНАЛЬНОЕ БЮРО БЕЗОПАСНОСТИ NSB
Ваш компьютер был автоматически заблокирован. Причина: пиратское программное обеспечение найдено на этом компьютере.
Ваш компьютер заблокирован. 184 файла были временно заблокированы на вашем компьютере.
Чтобы восстановить доступ к компьютеру и восстановить файлы, вам надо заплатить штраф в размере 250$ США
Заблокированные файлы будут удалены с вашего компьютера навсегда, если штраф не оплачен.
У NSB есть два способа заплатить штраф:
1. Вы можете оплатить свой штраф онлайн через BitCoin. BitCoin доступен по всей стране.
Перейдите на вкладку ниже, чтобы найти ближайшего поставщика. Ваш компьютер будет разблокирован после оплаты.
2. Вы приходите в свой провинциальный суд и оплачиваете штраф в окне Кассиров.
Ваш компьютер будет разблокирован в течение 4-5 рабочих дней.
Чтобы вернуть биткойны доступа к следующему адресу (нажмите, чтобы скопировать):
198tX7NmLg 6o 8qcTT2Uv9cSBVzN3oEozpv
После завершения платежа введите ID перевода ниже.
Сумма: ID перевода:
BTC 0.661 [_____________________________________] [PAY FINE]
Если штраф не уплачен, ордер будет выдан на ваш арест,
который будет отправлен вашим местным властям. Вам будет предъявлено обвинение, оштрафован, осужден на срок до 5 лет.
Платеж BitCoin информация BitCoin обмен BitCoin банкоматы Интернет-браузер Блокнот



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробности о работе вредоноса (из статьи ESET):
  Вместо обычного метода побайтового шифрования всего файла или его начала, Virlock преобразует целевой файл в исполняемый и дописывает к нему свой код. 
  При заражении (шифровании) неисполняемого файла Virlock создает для него новый исполняемый Win32 PE-файл, в который записывается код вируса и зашифрованное содержимое документа. Оригинальный файл удаляется, а на его месте появляется новый с тем же именем и добавленным к его имени расширением .exe. При запуске такого файла на исполнение, он расшифровывает оригинальный файл, записывает его в текущую директорию и открывает.
  Запуск зараженного Virlock файла сопровождается созданием двух его новых файлов, которые аналогичны оригинальному дропперу, но из-за полиморфизма содержат разный исполняемый код. Один файл создается в директории %USERPROFILE%, а второй в %ALLUSERPROFILE%. Для обеспечения автозагрузки вредонос прописывает путь к своему файлу в соответствующем Run-разделе реестра в HKLM и HKCU. 
  Часть кода вымогателя отвечает за отображение пользователю экрана блокировки, при этом использует типичные методы самозащиты, в том числе завершение процессов проводника и диспетчера задач. 
  Полиморфизм Virlock гарантирует уникальность тела вредоносной программы в каждом зараженном файле. Virlock использует несколько слоев шифрования файла. Исполняемый файл Virlock включает в себя специальный код, который мы назвали XOR stub builder. Он находится в файле в незашифрованном виде. Остальные данные вредоноса и ее код, а также данные оригинального файла (в случае, если мы имеем дело не с оригинальным дроппером, а файлом который был заражен) находятся в зашифрованном виде. 
  Нами наблюдались модификации Virlock, которые извлекали из себя третий исполняемый файл. Он регистрировался в качестве сервиса. Эти извлеченные файлы отвечали за дальнейшее заражение файлов в системе.

Больше информации от ESET смотрите в оригинальных статьях (на английском, на русском).

Список файловых расширений, подвергающихся блокировке:
Целевыми являются файлы следующих типов: .bmp, .cer, .crt, .doc, .exe, .gif, .jpeg, .jpg, .mdb, .mp3, .mpg, .p12, .p12, .p7b, .pdf, .pem, .pfx, .png, .ppt, .psd, .rar, .wma, .xls, .zip

➤ Создаёт много процессов. Может заражать файлы на сетевых дисках и съемных носителях.

➤ Использует процессы cmd.exe, conhost.exe, cscript.exe, taskkill.exe, reg.exe для изменения содержимого файлов и ключей реестра.

➤ Перезаписывает файлы, добавляя в них свою копию и превращая их в EXE-файлы, которые при открытии снова инфицируют систему и снова запускают блокировщик экрана с текстом якобы от NATIONAL SECURITY BUREAU. Оригинальное содержимое файла шифруется. 
➤ Заражённый файл содержит значок, как у исходного значка незашифрованного файла, потому ничего не подозревающий пользователь может попытаться открыть и при этом запустить такой файл на исполнение.

➤ В более новых версиях на компьютер также дроппируется архив Win64.Trojan.GreenBug.zip

Файлы, связанные с этим Ransomware:
ViraLock.exe
<random>.exe - множество файлов со случайными названиями
Win64.Trojan.GreenBug.zip - сбрасываемый архив с копией себя

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC-1: 198tX7NmLg6o8qcTT2Uv9cSBVzN3oEozpv
BTC-2: 1N43vMz9qB1xcBFFzCGnENSmBrE3sXifrn
См. ниже результаты анализов.

Результаты анализов на 20 июля 2018 года:
Hybrid анализ на Win64.Trojan.GreenBug.zip >>
𝚺  VirusTotal анализ >>  VT>> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: высокая на момент распространения.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Декабрь 2014 - январь 2015
Ниже представлен экран блокировки более новой версии Virlock, он позволяет пользователю использовать приложения веб-браузер и блокнот.


Вредонос способен определять локализацию интерфейса самого экрана. Для этого используется соединение с веб-сайтом google.com и дальнейший анализ домена, на который осуществляется перенаправление, например, google.com.au, google.ca, google.co.uk, google.co.nz. Также используется функция GetUserGeoID. Для стран, соответствующих вышеперечисленным доменам, отображается свой флаг, стоимость биткоинов и текущий курс национальной валюты.

Обновление от 13 марта 2016 года:

Ссылка на статью >>


Обновление от 17 июля 2016 года:

Ссылка на статью >>
Результаты анализов: VT + VTVT + VT + VT+HAVT+HA
Обновление от 20 июля 2018 года:

Пост в Твиттере >>
Результаты анализов: VT + VT + VT
На ПК дроппируется архив Win64.Trojan.GreenBug.zip





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Write-up, Write-up, Write-up, Write-up
 ID Ransomware (ID as NSB Ransomware)
 Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 ESET, TrendMicro, Mosh, CyberSecurity GrujaRS
 Michael Gillespie, JAMESWT
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 24 октября 2014 г.

TorLocker

TorLocker Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в $300, чтобы вернуть файлы. Оригинальное название: TorLocker
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: TorLocker: версии 1.0.1 и 2.0

К зашифрованным файлам никакое расширение не добавляется. 
Имена и расширения шифруемых файлов не изменяются.

Активность этого крипто-вымогателя пришлась на вторую половину октября 2014 и продолжилась в 2015 году. Ориентирован на англоязычных и японских пользователей, что не мешало распространять его по всему миру.

Известны две версии: 1.0.1 (на английском языке) и 2.0 (на английском и японском языках). 

Запиской с требованием выкупа выступает изображение, заменяющее обои на Рабочем столе. 

Содержание текста о выкупе:
TorLocker
Your important files produced in this computer and network shares: photos, videos, documents, pdf, music, autocad, spreadsheets, etc., were encrypted.
If you see this text but do not see the "TorLocker" window, then your antivirus removed "TorLocker" from your computer.
If you need your files back, you have to recover "TorLocker" from the antivirus quarantine, or find a copy of "TorLocker" in the internet and start it again.
Please disable any Firewall or Antivirus permanently if the Payment address don't show to you
You can download "TorLocker" from the link given below, using the tool "Tor Browser Bundle"
xxxx://************.onion/851B1EA29B9323685D6812D6D9F9D660.exe

Перевод текста на русский язык:
Ваши важные файлы, созданные на этом компьютере и сетевых ресурсах: фотографии, видео, документы, PDF, музыка, autocad, электронные таблицы и т.д, были зашифрованы.
Если вы видите этот текст, но не видите окно "TorLocker", ваш антивирус удалил "TorLocker" с вашего компьютера.
Если вам нужны ваши файлы, вам надо восстановить "TorLocker" из антивирусного карантина или найти копию "TorLocker" в Интернете и запустить её снова.
Пожалуйста, отключите любой брандмауэр или антивирус на постоянно, если платежный адрес вам не показывается
Вы можете скачать "TorLocker" по приведенной ниже ссылке, используя инструмент "Tor Browser Bundle"
xxxx://************.onion/851B1EA29B9323685D6812D6D9F9D660.exe

Другим информатором жертвы выступает экран блокировки (английский или японский).
Английский и японский экрана блокировки


Содержание текста о выкупе:
Your personal files are encrypted!
Your important files are encrypted produced on this computer: photos, videos, documents, etc. Click «List Of Encrypted files» to see a complete list of encrypted files, and you can verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain private key.
The single copy of the private key, which will allow you to decrypt the files, is located on a secret server on the Internet, the server will destroy the key after a time specified in this window. After that, nobody will never be able to restore your files...
To obtain the private key for this computer, which will automatically decrypt your files, you need to pay 300 USD / 300 EUR / 300 CAD / similar amount in another currency.
Click «Next» to select the method of payment.
Any attempt to remove or damage this software will lead to the immediate destruction of the private key by the server.
Private key will be destroyed on  xx.xx.xx
Time Left xx.xx.xx

Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши важные файлы зашифрованы на этом компьютере: фотографии, видео, документы и т.д. Нажмите «List Of Encrypted files», чтобы просмотреть полный список зашифрованных файлов, и вы можете это проверить.
Шифрование было создано с использованием уникального открытого ключа RSA-2048, сгенерированного для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Отдельная копия закрытого ключа, которая позволит вам расшифровать файлы, расположена на секретном сервере в Интернете, сервер уничтожит ключ по истечении времени, указанного в этом окне. После этого никто никогда не сможет восстановить ваши файлы ...
Чтобы получить секретный ключ для этого компьютера, который автоматически расшифрует ваши файлы, вам нужно заплатить 300 долларов / 300 евро / 300 CAD / аналогичную сумму в другой валюте.
Нажмите «Next», чтобы выбрать способ оплаты.
Любая попытка удалить или повредить это программное обеспечение приведет к немедленному уничтожению закрытого ключа сервером.
Закрытый ключ будет уничтожен на xx.xx.xx
Время осталось xx.xx.xx

Хоть вымогатели и грозятся в случае неполучения оплаты удалить приватный ключ, нужный для расшифровки файлов, но в действительности RSA-ключи не удаляются, т.к. они привязаны к сэмплу, а не к конкретному пользователю, в связи с чем один и тот же ключ RSA используется сразу у нескольких пользователей.



Технические детали

Распространялся через через бот-сеть Andromeda, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Криптостроитель TorLocker (программа для создания новых образцов с настройками) распространялся через партнёрскую программу и продавался за несколько биткоинов. 

Для связи c операторами вымогателей использовалась сеть Tor и прокси-сервер Polipo. Похоже, что использование Tor-сети становится нормой среди вымогателей. 

✔ TorLocker завершает системные процессы: taskmgr.exe, regedit.exe, procexp.exe, procexp64.exe
 Удаляет все точки восстановления системы.
 Скачивает по заданным в конфигурации ссылкам (TorLocker 2.0) или извлекает из секции данных (TorLocker 1.0) файлы tor.exe и polipo.exe, необходимые для связи с C&C-серверами.
 Запускает экран блокировки (английский или японский) с предложением заплатить выкуп вымогателям. Поддерживаемые методы оплаты: BitCoin, UKash, PaySafeCard.
 Определяет IP-адреса ПК через сайты www.iplocation.net, www.seuip.com.br, whatismyipaddress.com, checkip.dyndns.org
 Устанавливает связь с C&C сервером в onion-домене через прокси-сервер polipo 127.0.0.1:57223. 

 Если жертва заплатила выкуп, то после установки связи с C&C и отправки информации о клиенте (публичный ключ RSA, количество зашифрованных файлов, IP-адрес и ID клиента, способ оплаты и номер банковской карты), троянец в ответ получает закрытый RSA-ключ для расшифровки файлов (в этом случае создается поток для расшифровки файлов). Иначе отправляется сообщение о том, что оплата не поступила. В каждом сэмпле шифровальщика прописаны десятки доменных имен серверов, они не меняются и, видимо, ведут на один и тот же сервер.

Особенности шифрования
Файлы шифруются AES-256 со случайно сгенерированным одноразовым ключом, при этом для каждого файла создается свой ключ шифрования. Далее в конец каждого файла дописывается служебная структура размером 512 байт: 32 байта паддинга, 4 байта идентификатора троянца и 476 байт – использованный ключ AES, зашифрованный RSA-2048.

Если размер файла больше 512 Мб + 1 байт, то шифруются лишь первые 512 Мб файла. Шифрованные данные пишутся непосредственно поверх незашифрованных, создания нового файла и удаления старого не происходит.
Интернет-доступ во время шифрования файлов шифровальщику не нужен.




Список файловых расширений, подвергающихся шифрованию:
.3gp, .7z, .accdb, .ai, .aiff, .arw, .avi, .backup, .bay, .bin, .blend, .cdr, .cer, .cr2, .crt, .crw, .dat, .dbf, .dcr, .der, .dit, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .edb, .eps, .erf, .flac, .gif, .hdd, .indd, .jpe, .jpeg, .jpg, .kdc, .kwm, .log, .m2ts, .m4p, .mdb, .mdf, .mef, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ndf, .nef, .nrw, .nvram, .odb, .odm, .odp, .ods, .odt, .ogg, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .pif, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .pwm, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .raw, .rtf, .rvt, .rw2, .rwl, .sav, .sql, .srf, .srw, .stm, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (119 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, сертификаты, резервные копии, архивы и пр.

При шифровании пропускаются файлы, находящиеся в директориях %windir% и %temp%.

Файлы, связанные с этим Ransomware:
torlocker.exe
<image>.bmp

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: была высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Внимание!
Для зашифрованных файлов есть декриптер
Скачать ScraperDecryptor для дешифровки >>
Более чем в 70% случаев файлы можно дешифровать
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Securelist.ru: Виктор Алюшин, Федор Синицын
 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 15 октября 2014 г.

SuperCrypt

SuperCrypt Ransomware

(шифровальщик-вымогатель)

Translation into English



   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует уплатить выкуп ваучерами Ukash на сумму 300€ или отправив 1 биткоин, чтобы вернуть файлы. К зашифрованным файлам добавляется расширение .SUPERCRYPT. Название получил от добавляемого расширения. 

Активность этого криптовымогателя пришлась на октябрь 2014 - февраль 2015. Ориентирован на взлом серверов в Европе (Италия, Франция, Польша и пр.) и Америке (Бразилия и пр.). 

Записки с требованием выкупа называются HOW TO DECRYPT FILES.txt и размещаются на рабочем столе. 

Содержание записки о выкупе:
If you're reading this text file, then ALL your FILES are BLOCKED with the most strongest military cipher.
All your data - documents, photos, videos, backups - everything in encrypted.
The only way to recover your files - contact us via supercrypt@mailer9.com
Only we have program that can completely recover your files.
Attach to e-mail:
1. Text file with your code ("HOW TO DECRYPT FILES.txt")
2. One encrypted file (please dont send files bigger than 1 MB)
We will check your code from text file and send to you our conditions and your decrypted file as proof that we actually have decrypter.
Remember:
1. The FASTER you'll CONTACT US - the FASTER you will RECOVER your files.
2. We will ignore your e-mails without attached code from your "HOW TO DECRYPT FlLES.txt"
3. If you haven't received reply from us - try to contact us via public e-mail services such as Yahoo or so.

Перевод записки на русский язык:
Если ты читаешь этот текстовый файл, то все твои файлы блокированы самым сильным военным шифром.
Все твои данные - документы, фото, видео, резервное копирование - все в зашифрованном виде.
Единственный способ восстановить файлы - связаться с нами через supercrypt@mailer9.com
Только у нас есть программа, которая может полностью восстановить твои файлы.
Добавить к email:
1. Текстовый файл с кодом ("HOW TO DECRYPT FILES.txt")
2. Один зашифрованный файл (пожалуйста, не отправляй файлы больше 1 Мб)
Мы проверим твой код из текстового файла и пришлем наши условия и твой расшифрованный файл как доказательства того, что у нас есть декриптер.
Запомни:
1. Быстрее контакт с нами - быстрее восстановишь свои файлы.
2. Мы будем игнорировать email-письма без прикрепленного кода из твоего "HOW TO DECRYPT FILES.txt"
3. Если ты не получил ответ от нас - пробуй связаться с нами с помощью email-почты Yahoo или подобной.

Email вымогателей: supercrypt@mailer9.com

Сведения о глобальном распространении отсутствуют. Распространения как такового и не было засвидетельствовано. Злоумышленики компрометировали сервера и компьютеры путем хакерских атак и взлома с помощью удаленного рабочего стола через RDP и VNC-порты или службы терминалов. Чаще всего пострадавшие упоминали про 3389 порт. После того, как хакер получал доступ к системе и вредоносное ПО было уже в компьютере, запускался защищенный паролем установщик SuperCrypt, который выполнял шифрование. По окончании шифрования хакер сам удалял всё вредоносное ПО с компьютера. Жертвы, которые заплатили выкуп, получили исправно отработавшую программу дешифрования и файлы были дешифрованы. 

Список файловых расширений, подвергающихся шифрованию:
- файлы документов;
- исполняемые файлы;
- файлы прикладных программ. 

Файлы, связанные с Ransomware:
HOW TO DECRYPT FILES.txt 

Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая; сейчас угроза неактивна.
Подробные сведения собираются.


http://www.bleepingcomputer.com/forums/t/552801/new-supercrypt-ransomware-appears-to-be-distributed-via-hacked-terminal-services/
http://www.bleepingcomputer.com/forums/t/551979/supercrypt-ransomware-support-and-help-topic-how-to-decrypt-filestxt/
 Thanks:
 Lawrence Abrams (Grinler)
 
 

среда, 10 сентября 2014 г.

CRP, AES256-06

CRP Ransomware 

AES256-06 Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей, добавляя файлам CRP. Оригинальное название неизвестно. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется приставка CRP

Пример зашифрованного файла: 
CRPIMG_0168.jpg

Активность этого крипто-вымогателя пришлась на сентябрь 2014 г. Ориентация неизвестна. 

Записка с требованием выкупа отсутствует или не обнаружена. 

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Не меняет имя файла, а добавляет к его имени приставку CRP
 В начало файла добавляет строку "AES 256" в HEX: 06 00 41 45 53 32 35 36 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
random.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AES256-06)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 (victim in the topics of support)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 8 августа 2014 г.

ZeroLocker

ZeroLocker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от 300$ до 1000$ в BTC, чтобы вернуть файлы. Оригинальное название: ZeroLocker. На файле написано: Task Manager.exe. Написан на языке Python. 

Обнаружения:
DrWeb -> Trojan.Encoder.742
ALYac -> Trojan.Ransom.zerolocker
Avast -> MSIL:GenMalicious-BSR [Trj]
BitDefender -> Trojan.AgentWDCR.CED
ESET-NOD32 -> MSIL/Filecoder.ZeroLock.A
Microsoft -> Ransom:Win32/Zuresq.A
TrendMicro -> TROJ_CRYPZLOCK.A
Symantec -> Ransom.Zerolocker

© Генеалогия: более ранние варианты >> ZeroLocker


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало - середину августа 2014 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Притворяется фальшивым инструментом, который обнаружил зашифрованные файлы и предлагает помощь. 

Информатором жертвы и запиской с требованием выкупа выступает экран блокировки: 


Содержание текста о выкупе:
IMPORTANT! PLEASE READ!
Unfortunately the files on this computer (ie. documents, photos, videos) have been encrypted using an extremely secure and unbreakable algorithm. This means that the files are now useless unless they are decrypted using a key.
The good news is that your files are not lost forever! This tool is able to rescue the files on your computer for you!
BY PURCHASING A LICENSE FROM US. WE ARE ABLE TO RESCUE YOUR FILES 100% GUARANTEED FOR A VERY LOW EARLY BIRD PRICE OF ONLY $300 USD!* In 5 days however, the price of this service will increase to $600 USD, and after 10 days to $1000 USD.
Payment is accepted in Bitcoin only. You can purchse Bitcoin very easily in your area by bank transfer, Western Union, or even cash.
Visit www.localbitcoins.com to find a seller in your area. You can also google Bitcoin Exchanges to find other methods for buying Bitcoin.
Please check the current price of Bitcoin and ensure you are sending the correct amount before making your payment! Visit
www.bitcoinaverage.com for the current Bitcoin price.
After making your payment please wait up to 24 hours for us to make your key available. Usually done in much less time however.
IMPORTANT: Once the key is available and you click "Decrypt Files", please wait and let the decryption process complete before closing this tool This process can take from 15 minutes to 2+ hours depending on how many files need to be decrypted You will get a notification that the decryption process is complete, at which time you can click "Exit*. Removing this tool from your computer without first decrypting your files will cause your files to be lost forever.
SEND BITCOIN PAYMENT TO THIS ADDRESS: 
1KV1gLGPckob5WphWpeEoDmongSX92pnaT
*Please note that early bird qualification is determined from the date that this tool was first run as recorded on our servers.

Перевод текста на русский язык:
ВАЖНО! ПОЖАЛУЙСТА, ПРОЧТИТЕ!
К сожалению, файлы на этом компьютере (т.е. документы, фотографии, видео) были зашифрованы с чрезвычайно безопасным и стойким алгоритмом. Это значит, что файлы теперь бесполезны, если они не расшифрованы с помощью ключа.
Хорошей новостью является то, что ваши файлы не будут потеряны навсегда! Этот инструмент может спасти файлы на вашем компьютере для вас!
ПОКУПАЙТЕ ЛИЦЕНЗИЮ У НАС. МЫ МОЖЕМ СПАСТИ ВАШИ ФАЙЛЫ, ГАРАНТИРУЕМ НА 100% ДЛЯ ОЧЕНЬ РАННЕЙ ПТАШКИ ТОЛЬКО 300$ США!* Однако через 5 дней цена этой услуги возрастет до 600$ США, а через 10 дней до 1000$ США.
Оплата принимается только в биткойнах. Вы можете легко купить биткойн в своем регионе банковским переводом, Western Union или даже наличными.
Посетите www.localbitcoins.com, чтобы найти продавца в вашем регионе. Вы также можете зайти на Google Bitcoin Exchange, чтобы найти другие способы покупки биткойнов.
Пожалуйста, проверьте текущую цену Биткойн и убедитесь, что вы отправляете правильную сумму, прежде чем сделать платеж! Посетите www.bitcoinaverage.com для текущей цены Биткойн.
После оплаты, пожалуйста, подождите до 24 часов, чтобы мы предоставили вам ваш ключ. Обычно нужно гораздо меньше времени, однако.
ВАЖНО: как только ключ станет доступен и вы нажмете "DECRYPT FILES", пожалуйста, подождите и дайте процессу расшифровки завершиться перед закрытием этого инструмента. Этот процесс может занять от 15 минут до 2+ часов в зависимости от того, сколько файлов надо расшифровать. Вы получите уведомление о завершении процесса расшифровки, после чего вы можете нажать "EXIT". Удаление этого инструмента с вашего компьютера без предварительной расшифровки файлов приведет к потере файлов навсегда.
ОТПРАВИТЬ ОПЛАТУ BITCOIN НА ЭТОТ АДРЕС:
1KV1gLGPckob5WphWpeEoDmongSX92pnaT
* Обратите внимание, что ранняя пташка определяется с момента, когда этот инструмент был впервые запущен, как записано на наших серверах.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Почти все файлы на диске "C", включая исполняемые файлы, будут зашифрованы с алгоритмом шифрования AES. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

 Пропускаются папки, которые содержат в названии ключевые слова: 
Windows, WINDOWS, Program Files, ZeroLocker, Desktop

 При сканировании перед шифрованием будут пропущены файлы, которые находятся в пропускаемых папках или имеют размер не более 20 Мб. 

➤ ZeroLocker не удаляет точки восстановления системы Windows, поэтому можно восстановить файлы с помощью Shadow Explorer.

Файлы, связанные с этим Ransomware:
Task Manager.exe  оригинальный файл шифровальщика
cipher.exe - удаляет после шифрования все неиспользуемые данные с диска
ZeroRescue.exe - расшифровщик

Расположения:
C:\ZeroLocker\ - специальная папка
C:\ZeroLocker\ZeroRescue.exe
C:\ZeroLocker\address.dat
C:\ZeroLocker\log.dat
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%USERPROFILE%\Desktop\Projects\ZeroLocker\Testing Stuff\Testing Stuff\obj\Debug\Task Manager.pdb - оригинальное название проекта

Подробности о шифровании и возможности расшифровки:
Когда он закончит шифрование ваших файлов, он запустит команду C:\Windows\System32\cipher.exe /w:C:\ , которая перезапишет все удаленные данные на диске C:\
Он создаст папку C:\ZeroLocker\ , где сохранит различные файлы и исполняемый файл расшифровщика с именем ZeroRescue.exe. 
Этот файл будет настроен на автоматический запуск с помощью записи в реестре при входе на компьютер.

ZeroLocker генерирует один случайный 160-битный ключ AES для шифрования всех файлов. Ключ шифрования вместе с CRC32 MAC-адреса компьютера отправляется на C&C-сервер. Если этот сервер был правильно настроен, при загрузке закрытого ключа он получит код состояния HTTP 200, который означает, что веб-страница была успешно открыта. К сожалению, когда ZeroLocker пытается загрузить свой закрытый ключ, то делает он это через запрос GET, а не через POST. В результате это приводит к ошибке 404 на сервере, потому что запрошенной веб-страницы нет на сервере.




Из-за этого ключ дешифрования не был сохранен ни в одной базе данных или файле для последующего восстановления. Фактически, единственный способ восстановить ключ — вручную отфильтровать журналы доступа HTTP, если они еще не были перезаписаны. Вероятно, ошибка кодирования со стороны разработчика, которая портит зашифрованные файлы и не дает получить ключ дешифрования, даже если жертва заплатила выкуп. 
Таким образом, уплата выкупа бесполезна!


Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"FileRescue" = "%SystemDrive%\ZeroLocker\ZeroRescue.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\[RANDOM NAME]
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://5.199.171.47/
xxxx://5.199.171.47/ciph/1/
xxxx://5.199.171.47/enc/***
xxxx://5.199.171.47/zConfig/120327/
xxxx://5.199.171.47/patriote/sansvi***
xxxx://5.199.171.47/zImprimer/3891027120-OYRfMZNTD05KEnuSGcKw-1MvEwFHN6iMs9rNWxx75sqEVGi37gCDrJE/
xxxx://cheatzone.ikwb.com/secure/downloads/CoC_Cheat_Tool_v2.32.exe
Email: - 
BTC: 1KV1gLGPckob5WphWpeEoDmongSX92pnaT и другие, которые предоставляет C&C-сервер
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик!
Перейдите на страницу дешифровщика и прочтите инструкцию. 
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (n/a)
 Forum, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams (BleepingComputer)
 Andrew Ivanov (author)
 Vinsula Inc.
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Подписчики

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *