Если вы не видите здесь изображений, то используйте VPN.

понедельник, 22 декабря 2014 г.

NSB, VirLock

NSB Ransomware

Virlock Ransomware

ViraLock Ransomware

(гибрид-вымогатель, деструктор)
Translation into English


Этот вымогатель блокирует и шифрует данные пользователей с помощью XOR, а затем требует выкуп в ~0.6-0.8 BTC, чтобы вернуть файлы. Оригинальное название: не указано. В окне написано: NATIONAL SECURITY BUREAU и NSB. На файле написано: что попало, в том числе: Virlock.exe, ViraLock.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: семейство VirLock. 

К перезаписанным и зашифрованным файлам добавляется расширение: .exe

Ранний образец этого вымогателя известен с октября 2014 г., потом он был модифицирован, и заново обнаружен в конце 2014 - начале 2015 г. Видимо активно распространялся до конца 2016 года. Разные исследователи находили и описывали его позже — в 2017 и 2018 гг. В ID Ransomware был добавлен только в июле 2018 как NSB Ransomware. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Наибольшее распространение было в США, Канаде, Европе, Китае, Австралии, на Филиппинах. 

Сообщение в окне экрана блокировки содержит текст предупреждения для пользователя и предлагает оплатить сумму выкупа в биткоинах. 

Содержание записки о выкупе:
NATIONAL SECURITY BUREAU                                                                       NSB
Your computer was automatically blocked. Reason: Pirated software found on this computer.
Your computer is now blocked. 184 files have been temporarily blocked on your computer.
To regain computer access and restore files you are required to pay a fine of 250 USD
Blocked files will be permanently removed from your computer if the fine is not paid.
The NSB has two ways to pay a fine:
1. You can pay your fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest vendor. Your computer will be unlocked after you make your payment.
2. You an come to your provincial courthouse and pay your fine at the Cashiers window.
Your computer will be unlocked within 4-5 working days.
To regain access transfer bitcoins to the following address (click to copy):
198tX7NmLg 6o 8qcTT2Uv9cSBVzN3oEozpv
After the payment is finalized enter Transfer ID below.
Amount:  Transfer ID:
BTC 0.661  [ _____________________________________ ] [PAY FINE]
If the fine is not paid, a warrant will be issued for your arrest,
which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.
Payment BitCoin Information BitCoin Exchanges BitCoin ATMs Internet Browser Notepad

Перевод записки на русский язык:
НАЦИОНАЛЬНОЕ БЮРО БЕЗОПАСНОСТИ NSB
Ваш компьютер был автоматически заблокирован. Причина: пиратское программное обеспечение найдено на этом компьютере.
Ваш компьютер заблокирован. 184 файла были временно заблокированы на вашем компьютере.
Чтобы восстановить доступ к компьютеру и восстановить файлы, вам надо заплатить штраф в размере 250$ США
Заблокированные файлы будут удалены с вашего компьютера навсегда, если штраф не оплачен.
У NSB есть два способа заплатить штраф:
1. Вы можете оплатить свой штраф онлайн через BitCoin. BitCoin доступен по всей стране.
Перейдите на вкладку ниже, чтобы найти ближайшего поставщика. Ваш компьютер будет разблокирован после оплаты.
2. Вы приходите в свой провинциальный суд и оплачиваете штраф в окне Кассиров.
Ваш компьютер будет разблокирован в течение 4-5 рабочих дней.
Чтобы вернуть биткойны доступа к следующему адресу (нажмите, чтобы скопировать):
198tX7NmLg 6o 8qcTT2Uv9cSBVzN3oEozpv
После завершения платежа введите ID перевода ниже.
Сумма: ID перевода:
BTC 0.661 [_____________________________________] [PAY FINE]
Если штраф не уплачен, ордер будет выдан на ваш арест,
который будет отправлен вашим местным властям. Вам будет предъявлено обвинение, оштрафован, осужден на срок до 5 лет.
Платеж BitCoin информация BitCoin обмен BitCoin банкоматы Интернет-браузер Блокнот



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробности о работе вредоноса (из статьи ESET):
  Вместо обычного метода побайтового шифрования всего файла или его начала, Virlock преобразует целевой файл в исполняемый и дописывает к нему свой код. 
  При заражении (шифровании) неисполняемого файла Virlock создает для него новый исполняемый Win32 PE-файл, в который записывается код вируса и зашифрованное содержимое документа. Оригинальный файл удаляется, а на его месте появляется новый с тем же именем и добавленным к его имени расширением .exe. При запуске такого файла на исполнение, он расшифровывает оригинальный файл, записывает его в текущую директорию и открывает.
  Запуск зараженного Virlock файла сопровождается созданием двух его новых файлов, которые аналогичны оригинальному дропперу, но из-за полиморфизма содержат разный исполняемый код. Один файл создается в директории %USERPROFILE%, а второй в %ALLUSERPROFILE%. Для обеспечения автозагрузки вредонос прописывает путь к своему файлу в соответствующем Run-разделе реестра в HKLM и HKCU. 
  Часть кода вымогателя отвечает за отображение пользователю экрана блокировки, при этом использует типичные методы самозащиты, в том числе завершение процессов проводника и диспетчера задач. 
  Полиморфизм Virlock гарантирует уникальность тела вредоносной программы в каждом зараженном файле. Virlock использует несколько слоев шифрования файла. Исполняемый файл Virlock включает в себя специальный код, который мы назвали XOR stub builder. Он находится в файле в незашифрованном виде. Остальные данные вредоноса и ее код, а также данные оригинального файла (в случае, если мы имеем дело не с оригинальным дроппером, а файлом который был заражен) находятся в зашифрованном виде. 
  Нами наблюдались модификации Virlock, которые извлекали из себя третий исполняемый файл. Он регистрировался в качестве сервиса. Эти извлеченные файлы отвечали за дальнейшее заражение файлов в системе.

Больше информации от ESET смотрите в оригинальных статьях (на английском, на русском).

Список файловых расширений, подвергающихся блокировке:
Целевыми являются файлы следующих типов: .bmp, .cer, .crt, .doc, .exe, .gif, .jpeg, .jpg, .mdb, .mp3, .mpg, .p12, .p12, .p7b, .pdf, .pem, .pfx, .png, .ppt, .psd, .rar, .wma, .xls, .zip

➤ Создаёт много процессов. Может заражать файлы на сетевых дисках и съемных носителях.

➤ Использует процессы cmd.exe, conhost.exe, cscript.exe, taskkill.exe, reg.exe для изменения содержимого файлов и ключей реестра.

➤ Перезаписывает файлы, добавляя в них свою копию и превращая их в EXE-файлы, которые при открытии снова инфицируют систему и снова запускают блокировщик экрана с текстом якобы от NATIONAL SECURITY BUREAU. Оригинальное содержимое файла шифруется. 
➤ Заражённый файл содержит значок, как у исходного значка незашифрованного файла, потому ничего не подозревающий пользователь может попытаться открыть и при этом запустить такой файл на исполнение.

➤ В более новых версиях на компьютер также дроппируется архив Win64.Trojan.GreenBug.zip

Файлы, связанные с этим Ransomware:
ViraLock.exe
<random>.exe - множество файлов со случайными названиями
Win64.Trojan.GreenBug.zip - сбрасываемый архив с копией себя

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC-1: 198tX7NmLg6o8qcTT2Uv9cSBVzN3oEozpv
BTC-2: 1N43vMz9qB1xcBFFzCGnENSmBrE3sXifrn
См. ниже результаты анализов.

Результаты анализов на 20 июля 2018 года:
Hybrid анализ на Win64.Trojan.GreenBug.zip >>
𝚺  VirusTotal анализ >>  VT>> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: высокая на момент распространения.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Декабрь 2014 - январь 2015
Ниже представлен экран блокировки более новой версии Virlock, он позволяет пользователю использовать приложения веб-браузер и блокнот.


Вредонос способен определять локализацию интерфейса самого экрана. Для этого используется соединение с веб-сайтом google.com и дальнейший анализ домена, на который осуществляется перенаправление, например, google.com.au, google.ca, google.co.uk, google.co.nz. Также используется функция GetUserGeoID. Для стран, соответствующих вышеперечисленным доменам, отображается свой флаг, стоимость биткоинов и текущий курс национальной валюты.

Обновление от 13 марта 2016 года:

Ссылка на статью >>


Обновление от 17 июля 2016 года:

Ссылка на статью >>
Результаты анализов: VT + VTVT + VT + VT+HAVT+HA
Обновление от 20 июля 2018 года:

Пост в Твиттере >>
Результаты анализов: VT + VT + VT
На ПК дроппируется архив Win64.Trojan.GreenBug.zip





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Write-up, Write-up, Write-up, Write-up
 ID Ransomware (ID as NSB Ransomware)
 Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 ESET, TrendMicro, Mosh, CyberSecurity GrujaRS
 Michael Gillespie, JAMESWT
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *