Если вы не видите здесь изображений, то используйте VPN.

пятница, 8 августа 2014 г.

ZeroLocker

ZeroLocker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от 300$ до 1000$ в BTC, чтобы вернуть файлы. Оригинальное название: ZeroLocker. На файле написано: Task Manager.exe. Написан на языке Python. 

Обнаружения:
DrWeb -> Trojan.Encoder.742
ALYac -> Trojan.Ransom.zerolocker
Avast -> MSIL:GenMalicious-BSR [Trj]
BitDefender -> Trojan.AgentWDCR.CED
ESET-NOD32 -> MSIL/Filecoder.ZeroLock.A
Microsoft -> Ransom:Win32/Zuresq.A
TrendMicro -> TROJ_CRYPZLOCK.A
Symantec -> Ransom.Zerolocker

© Генеалогия: более ранние варианты >> ZeroLocker


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало - середину августа 2014 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Притворяется фальшивым инструментом, который обнаружил зашифрованные файлы и предлагает помощь. 

Информатором жертвы и запиской с требованием выкупа выступает экран блокировки: 




Содержание текста о выкупе:
IMPORTANT! PLEASE READ!
Unfortunately the files on this computer (ie. documents, photos, videos) have been encrypted using an extremely secure and unbreakable algorithm. This means that the files are now useless unless they are decrypted using a key.
The good news is that your files are not lost forever! This tool is able to rescue the files on your computer for you!
BY PURCHASING A LICENSE FROM US. WE ARE ABLE TO RESCUE YOUR FILES 100% GUARANTEED FOR A VERY LOW EARLY BIRD PRICE OF ONLY $300 USD!* In 5 days however, the price of this service will increase to $600 USD, and after 10 days to $1000 USD.
Payment is accepted in Bitcoin only. You can purchse Bitcoin very easily in your area by bank transfer, Western Union, or even cash.
Visit www.localbitcoins.com to find a seller in your area. You can also google Bitcoin Exchanges to find other methods for buying Bitcoin.
Please check the current price of Bitcoin and ensure you are sending the correct amount before making your payment! Visit
www.bitcoinaverage.com for the current Bitcoin price.
After making your payment please wait up to 24 hours for us to make your key available. Usually done in much less time however.
IMPORTANT: Once the key is available and you click "Decrypt Files", please wait and let the decryption process complete before closing this tool This process can take from 15 minutes to 2+ hours depending on how many files need to be decrypted You will get a notification that the decryption process is complete, at which time you can click "Exit*. Removing this tool from your computer without first decrypting your files will cause your files to be lost forever.
SEND BITCOIN PAYMENT TO THIS ADDRESS: 
1KV1gLGPckob5WphWpeEoDmongSX92pnaT
*Please note that early bird qualification is determined from the date that this tool was first run as recorded on our servers.

Перевод текста на русский язык:
ВАЖНО! ПОЖАЛУЙСТА, ПРОЧТИТЕ!
К сожалению, файлы на этом компьютере (т.е. документы, фотографии, видео) были зашифрованы с чрезвычайно безопасным и стойким алгоритмом. Это значит, что файлы теперь бесполезны, если они не расшифрованы с помощью ключа.
Хорошей новостью является то, что ваши файлы не будут потеряны навсегда! Этот инструмент может спасти файлы на вашем компьютере для вас!
ПОКУПАЙТЕ ЛИЦЕНЗИЮ У НАС. МЫ МОЖЕМ СПАСТИ ВАШИ ФАЙЛЫ, ГАРАНТИРУЕМ НА 100% ДЛЯ ОЧЕНЬ РАННЕЙ ПТАШКИ ТОЛЬКО 300$ США!* Однако через 5 дней цена этой услуги возрастет до 600$ США, а через 10 дней до 1000$ США.
Оплата принимается только в биткойнах. Вы можете легко купить биткойн в своем регионе банковским переводом, Western Union или даже наличными.
Посетите www.localbitcoins.com, чтобы найти продавца в вашем регионе. Вы также можете зайти на Google Bitcoin Exchange, чтобы найти другие способы покупки биткойнов.
Пожалуйста, проверьте текущую цену Биткойн и убедитесь, что вы отправляете правильную сумму, прежде чем сделать платеж! Посетите www.bitcoinaverage.com для текущей цены Биткойн.
После оплаты, пожалуйста, подождите до 24 часов, чтобы мы предоставили вам ваш ключ. Обычно нужно гораздо меньше времени, однако.
ВАЖНО: как только ключ станет доступен и вы нажмете "DECRYPT FILES", пожалуйста, подождите и дайте процессу расшифровки завершиться перед закрытием этого инструмента. Этот процесс может занять от 15 минут до 2+ часов в зависимости от того, сколько файлов надо расшифровать. Вы получите уведомление о завершении процесса расшифровки, после чего вы можете нажать "EXIT". Удаление этого инструмента с вашего компьютера без предварительной расшифровки файлов приведет к потере файлов навсегда.
ОТПРАВИТЬ ОПЛАТУ BITCOIN НА ЭТОТ АДРЕС:
1KV1gLGPckob5WphWpeEoDmongSX92pnaT
* Обратите внимание, что ранняя пташка определяется с момента, когда этот инструмент был впервые запущен, как записано на наших серверах.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Почти все файлы на диске "C", включая исполняемые файлы, будут зашифрованы с алгоритмом шифрования AES. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

 Пропускаются папки, которые содержат в названии ключевые слова: 
Windows, WINDOWS, Program Files, ZeroLocker, Desktop

 При сканировании перед шифрованием будут пропущены файлы, которые находятся в пропускаемых папках или имеют размер не более 20 Мб. 

➤ ZeroLocker не удаляет точки восстановления системы Windows, поэтому можно восстановить файлы с помощью Shadow Explorer.

Файлы, связанные с этим Ransomware:
Task Manager.exe  оригинальный файл шифровальщика
cipher.exe - удаляет после шифрования все неиспользуемые данные с диска
ZeroRescue.exe - расшифровщик

Расположения:
C:\ZeroLocker\ - специальная папка
C:\ZeroLocker\ZeroRescue.exe
C:\ZeroLocker\address.dat
C:\ZeroLocker\log.dat
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%USERPROFILE%\Desktop\Projects\ZeroLocker\Testing Stuff\Testing Stuff\obj\Debug\Task Manager.pdb - оригинальное название проекта

Подробности о шифровании и возможности расшифровки:
Когда он закончит шифрование ваших файлов, он запустит команду C:\Windows\System32\cipher.exe /w:C:\ , которая перезапишет все удаленные данные на диске C:\
Он создаст папку C:\ZeroLocker\ , где сохранит различные файлы и исполняемый файл расшифровщика с именем ZeroRescue.exe. 
Этот файл будет настроен на автоматический запуск с помощью записи в реестре при входе на компьютер.

ZeroLocker генерирует один случайный 160-битный ключ AES для шифрования всех файлов. Ключ шифрования вместе с CRC32 MAC-адреса компьютера отправляется на C&C-сервер. Если этот сервер был правильно настроен, при загрузке закрытого ключа он получит код состояния HTTP 200, который означает, что веб-страница была успешно открыта. К сожалению, когда ZeroLocker пытается загрузить свой закрытый ключ, то делает он это через запрос GET, а не через POST. В результате это приводит к ошибке 404 на сервере, потому что запрошенной веб-страницы нет на сервере.




Из-за этого ключ дешифрования не был сохранен ни в одной базе данных или файле для последующего восстановления. Фактически, единственный способ восстановить ключ — вручную отфильтровать журналы доступа HTTP, если они еще не были перезаписаны. Вероятно, ошибка кодирования со стороны разработчика, которая портит зашифрованные файлы и не дает получить ключ дешифрования, даже если жертва заплатила выкуп. 
Таким образом, уплата выкупа бесполезна!


Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"FileRescue" = "%SystemDrive%\ZeroLocker\ZeroRescue.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\[RANDOM NAME]
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://5.199.171.47/
xxxx://5.199.171.47/ciph/1/
xxxx://5.199.171.47/enc/***
xxxx://5.199.171.47/zConfig/120327/
xxxx://5.199.171.47/patriote/sansvi***
xxxx://5.199.171.47/zImprimer/3891027120-OYRfMZNTD05KEnuSGcKw-1MvEwFHN6iMs9rNWxx75sqEVGi37gCDrJE/
xxxx://cheatzone.ikwb.com/secure/downloads/CoC_Cheat_Tool_v2.32.exe
Email: - 
BTC: 1KV1gLGPckob5WphWpeEoDmongSX92pnaT и другие, которые предоставляет C&C-сервер
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик!
Перейдите на страницу дешифровщика и прочтите инструкцию. 
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (n/a)
 Forum, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams (BleepingComputer)
 Andrew Ivanov (author)
 Vinsula Inc.
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *