KeyBTC-2016

KeyBTC-2016 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024 (из записки), а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: KeyBTC-2014 > KeyBTC-2016

К зашифрованным файлам никакое расширение не добавляется. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2016 г. и продолжилась примерно до апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT_YOUR_FILES.txt

Содержание записки о выкупе:
ATTENTION:
All your documents, photos, databases and other important personal files were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.5 BTC (bitcoins). To do this:
1. Create Bitcoin wallet here:
 https://blockchain.info/wallet/new
2. Buy 0.5 BTC with cash, using search here:
 https://localbitcoins.com/buy_bitcoins
3. Send 0.5 BTC to this Bitcoin address:
 oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
4. Send any e-mail to:
 keybtc@inbox.com
After that you will recieve e-mail with detailed instructions how to restore your files.
Remember: nobody can help you except us. It is useless to reinstall Windows, rename files, etc.
Your files will be decrypted as quick as you make payment.

Перевод записки на русский язык:
ВНИМАНИЕ:
Все ваши документы, фотографии, базы данных и другие важные личные файлы зашифрованы с использованием надежного алгоритма RSA-1024 с уникальным ключом.
Для восстановления ваших файлов вы должны заплатить 0.5 BTC (биткоины). Для этого:
1. Создайте биткоин-кошелек здесь:
  https://blockchain.info/wallet/new
2. Купите 0.5 BTC наличными, воспользовавшись поиском здесь:
  https://localbitcoins.com/buy_bitcoins
3. Отправьте 0.5 BTC на этот биткойн-адрес:
  oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
4. Отправьте любое email по адресу:
  keybtc@inbox.com
После этого вы получите email с подробными инструкциями по восстановлению ваших файлов.
Помните: никто не может помочь вам, кроме нас. Бесполезно переустанавливать Windows, переименовывать файлы и т.д.
Ваши файлы будут расшифрованы так же быстро, как вы сделаете платёж.

Технические детали

Для атаки используется возможности JavaScript и системное приложение WScript.exe. Может распространяться с помощью email-спама и вредоносных JS-вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ KeyBTC шифрует только первые 2048 байтов файла.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .als, .asm, .aup, .avi, .bas, .blend, .cad, .cdr, .cpp, .cpr, .cpt, .cs, .csv, .doc, .docx, .dsk, .dwg, .eps, .gpg, .gz, .indd, .jpg, .kdb, .kdbx, .lwo, .lws, .m4v, .max, .mb, .mdb, .mdf, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .pas, .pdf, .pgp, .php, .ppt, .pptx, .psd, .pub, .rar, .raw, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .ssh, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .wdb, .wmf, .wmv, .xls, .xlsx, .zip (79 расширений без повторов). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_YOUR_FILES.txt
<random>.exe - случайное название вредоносного файла
fax_0000329455.doc.js - пример вредоносного вложения
scan_0000125475.doc.js - пример вредоносного вложения
224017_crypt.exe - вредоносный файл, созданный WScript.exe
224017_readme.txt - файл, созданный WScript.exe, с текстом, как в записке
224017_tree.cmd - файл, созданный WScript.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://pondybuilders.com/wp-admin/files/
xxxx://pondybuilders.com/wp-admin/htm/login.html
xxxx://iumlkottakuppam.com/css.php
xxxx://corestaffingsolutions.com/counter/?http://realmadlocal.com/our-designs/
Email: keybtc@inbox.com
BTC: oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать KeyBTCDecrypter для дешифровки файлов >>
*
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as KeyBTC)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, BleepingComputer, Fabian Wosar
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.