BandarChor Ransomware
Rakhni 2015 Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует файлы с помощью AES-256. Известен с ноября 2014. Другое название: Rakhni (रखनी в переводе с хинди - "медведь"). Исследован F-Security в марте 2015 г. Последнее распространение в марте-апреле 2016 г.
© Генеалогия: Rakhni > Rakhni Family > BandarChor > Paycrypt
К зашифрованным файлам добавляется расширение, создаваемое по шаблону:
.id-[ID]_[email_address]
Например, .id-4361716884_europay@india.com
Таким образом, зашифрованный файл будет выглядеть так:
[original_file_name].id-[random-10-digit-number]_europay@india.com
Содержание текста на изображении:
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!
To get the decoder and the original key, you need to write to us at the e-mail fud@india.com with the subject "encryption" stating your id.
Write on the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
fudx@lycos.com
Перевод на русский:
Внимание! Ваш компьютер атакован вирусом-шифровальщиком.
Все ваши файлы были зашифрованы, без оригинального ключа вернуть невозможно!
Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на fud@india.com с темой "encryption" и указать ваш ID.
Пишите по делу, не тратьте свое и наше время на пустые угрозы.
Письма от неадекватных людей будут игнорироваться.
fudx@lycos.com
Адреса email в других вариантах записок:
fud@lycos.com и fudx@lycos.com
fud@india.com
decode@india.com
decrypt@india.com
europay@india.com
info@cryptedfiles.biz и salutem@protonmail.com
bingo@opensourcemail.org
doctor@freelinuxmail.org
johndoe@weekendwarrior55.com
sos@encryption.guru
av666@weekendwarrior55.com
email_info@cryptedfiles.biz
email1_info@cryptedfiles.biz
milarepa.lotos@aol.com
и другие...
Технические детали
Список файловых расширение, подвергающихся шифрованию в версии с fud.bmp:
.001, .113, .1cd, .3gp, .73b, .a3d, .abf, .abk, .accdb, .ace, .arj, .as4, .asm, .asvx, .ate, .avi, .bac, .bak, .bck, .bkf , .bup, .bvd, .cdr, .cer, .cng, .cpt, .cryptra, .csv, .db3, .dbf, .dco, .doc, .docx, .dwg, .enx, .erf, .fbf, .fbk, .fbw, .fbx, .fdb, .fdp, .gbk, .gho, .gzip, .iv2i, .jac, .jbc, .jpeg, .jpg , .kbb, .key, .keystore, .ldf, .m2v, .m3d, .max, .mdb, .mkv, .mov, .mpeg , .nba, .nbd, .nrw, .nx1, .odb, .odc, .odp, .ods, .odt, .old, .orf, .p12, .pdf, .pef, .pkey, .ppsx, .ppt, .pptm, .pptx, .pst, .ptx, .pwm, .pz3, .qic, .r3d, .rar, .raw, .rtf, .rwl, .rx2, .rzx , .safe, .sbs , .sde, .sgz, .sldasm, .sldprt, .sle, .sme, .sn1, .sna, .spf, .sr2, .srf, .srw, .tbl, .tib, .tis, .txt, .vhd, .wab, .wallet, .wbb, .wbcat, .win, .wps, .x3f, .xls, .xlsb, .xlsk, .xlsm, .xlsx, .zip (124 расширения).
Этот список от 2015 года уже дополнен расширениями, определёнными в новой версии вымогателя в начале марта 2016.
Список файловых расширение, подвергающихся шифрованию в версии с bytor.bmp:
.3fr, .accdb,
.ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm,
.docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef,
.mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef,
.pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2,
.rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx (67 расширений). По данным Symantec.
➤ Запустившись в системе, BandarChor сканирует все папки, за исключением:
Windows
Program Files
Program Files (x86)
ProgramData
System Volume Information
Temp
➤ BandarChor не трогает файлы, которые больше 30 мегабайт. Шифрует до 30000 байтов заголовка каждого файла и сохраняет количество шифрованных байт в первые 4 байта (добавляет перезаписываемые байты в конец файла). Когда все файлы заблокированы, устанавливает изображение fud.bmp в качестве обоев рабочего стола с вымогательским текстом. Затем вредонос удаляет себя.
➤ BandarChor (Rakhni) использует TurboPower LockBox 3 (криптографическая библиотека с открытым кодом, написанная на Delphi).
➤ Распространяется с помощью email-спама и вредоносных вложений, а ссылки могут вести на зараженный сайт, содержащий эксплойты на веб-страницах или вредоносную рекламу. Письма приходят якобы от PayPal, Amazon, eBay и Facebook, а их содержание ссылается на изменения в политике конфиденциальности, возвраты и недавно сделанные покупки. Файлы во вложении имеют двойное расширение. Вложение упаковано UPX, после вскрытия содержит исполняемый файл написан в Delphi. Восстановление зашифрованных файлов невозможно без ключа, который хранится на сервере злоумышленников и не сохраняется на диск.
➤ Запустившись в системе добавляет себя в папку автозагрузки Windows. Затем он генерирует случайную последовательность из 10 цифр для ID компьютера и формирует строку запроса из него, имени компьютера, фиксированного номера, и суффикса, содержащего ID и email-адрес автора вредоносной программы.
Например: number=31&id=4361716884&pc=FOOBAR&tail=.id-4361716884_europay@india.com
Дальнейшее развитие — Paycrypt и другие.
Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe
<random>.dll
fud.bmp или bytor.bmp
edgE528.exe - утилита запроса сервера терминалов
Утилита запроса сервера терминалов
Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "%UserProfile%\Application Data\bytor.bmp"
...или "%UserProfile%\Application Data\fud.bmp"
Сетевые подключения и связи:
martyanovdrweb.com
www.fuck-isil.com
www.ahalaymahalay.com
kapustakapaet.com
www.decryptindia.com
www.enibeniraba.com
www.netupite.com
89025840.com
xsmailsos.com
sosxsmaillockedwriteonxsmailindia.com
baitforany.com
euvalues.com
intelligence1938.com
и другие...
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.BandarChor (до августа 2016: Trojan.Ransomcrypt.Q)
Степень распространённости: средняя.
Подробные сведения собираются.
Обновление от 15 марта 2016:
Email: info@cryptedfiles.biz
Составное расширение: original_name.jpg.id-1334533118_info@cryptedfiles
Обновление от 15 декабря 2016:
Статья >> + ID Shigo
Записка: HOW TO DECRYPT.txt
Расширение по шаблону: .id-[ID]_[email_address]
Email: help@decryptservice.info, Shigorin.Vitolid@gmail
Пример зашифр. файла: test.jpg.id-1235240425_help@decryptservice.info
Обновление от 4 сентября 2017:
Email: kiaracript@email.cz и kiaracript@gmail
Расширение: .SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail
Шаблон расширения: .SN-<ID>-kiaracript@email.cz_kiaracript@gmail
Пример заш-файла:
archive2015.rar.SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail
Обновление от 26 сентября 2017:
Email: kiaracript@gmail.com
Расширение: .SN-6633475505259148-kiaracript@gmail.com и другие
Шаблон расширения: .SN-<ID>-kiaracript@gmail.com
Примеры заш-файлов:
archive2010.zip.SN-6633475505259148-kiaracript@gmail.com
archive2014.rar.SN-6633475505259148-kiaracript@gmail.com
document2.txt.SN-6862051502902366-kiaracript@gmail.com
© Amigo-A (Andrew Ivanov): All blog articles.
и другие...
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.BandarChor (до августа 2016: Trojan.Ransomcrypt.Q)
Степень распространённости: средняя.
Подробные сведения собираются.
Обновление от 15 марта 2016:
Email: info@cryptedfiles.biz
Составное расширение: original_name.jpg.id-1334533118_info@cryptedfiles
Обновление от 15 декабря 2016:
Статья >> + ID Shigo
Записка: HOW TO DECRYPT.txt
Расширение по шаблону: .id-[ID]_[email_address]
Email: help@decryptservice.info, Shigorin.Vitolid@gmail
Пример зашифр. файла: test.jpg.id-1235240425_help@decryptservice.info
Обновление от 4 сентября 2017:
Email: kiaracript@email.cz и kiaracript@gmail
Расширение: .SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail
Шаблон расширения: .SN-<ID>-kiaracript@email.cz_kiaracript@gmail
Пример заш-файла:
archive2015.rar.SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail
Обновление от 26 сентября 2017:
Email: kiaracript@gmail.com
Расширение: .SN-6633475505259148-kiaracript@gmail.com и другие
Шаблон расширения: .SN-<ID>-kiaracript@gmail.com
Примеры заш-файлов:
archive2010.zip.SN-6633475505259148-kiaracript@gmail.com
archive2014.rar.SN-6633475505259148-kiaracript@gmail.com
document2.txt.SN-6862051502902366-kiaracript@gmail.com
Внимание! Некоторые зашифрованные файлы можно вернуть За помощью обращайтесь в тему на форуме >> * *
Read to links: Topic on BC ID Ransomware (ID as BandarChor and Shigo) Write-up *
Thanks: Michael Gillespie F-Security Emmanuel_ADC-Soft *
© Amigo-A (Andrew Ivanov): All blog articles.