четверг, 17 марта 2016 г.

SamSam

SamSam Ransomware
Samas Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1 BTC и больше, чтобы вернуть файлы. Оригинальное название: SamSam. На файле написано: samsam.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: SamSam. Начало

К зашифрованным файлам добавляется расширение .encryptedRSA
Позже появились расширения:
.encryptedAES
.encedRSA
.justbtcwillhelpyou
.btcbtcbtc
.btc-help-you
.only-we_can-help_you
.iwanthelpuuu
и многие другие (см. обновления после статьи). 

Активность этого крипто-вымогателя зарегистрирована в феврале-марте-апреле 2016 г. Ориентирован на англоязычных пользователей, что позволило распространять его по всему миру. 
В марте 2016 года ФБР США обратилось к экспертам в сфере информационной безопасности с просьбой оказать содействие в расследовании деятельности вымогательского ПО Ransom: MSIL/Samas.A, или SamSam, известного ФБР с февраля этого года. 

Записка с требованием выкупа называется: HELP_DECRYPT_YOUR_FILES.html

Она размещается во всех папках, где есть зашифрованные файлы, а также на Рабочем столе. 

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***



Подробнее о работе этого вредоносного ПО

Удалённые взломщики используют хакерский инструмент JexBoss для автоматического обнаружения уязвимых систем с устаревшими версиями JBOSS и последующего запуска атаки для удалённой установки вымогателей SamSam на компьютеры жертв. Вредоносное ПО, поставляющее SamSam, раздается на Windows-системы посредством эксплуатации уязвимостей в непропатченных серверах JBoss. Затем устанавливает веб-шелл, идентифицирует другие подключенные к сети системы и внедряет вымогателя SamSam для осуществления шифрования файлов на устройствах сети. 


Схема последовательности атаки

Главная особенность Samas заключается в возможности шифрования данных на всех компьютерах в скомпрометированной сети. SamSam запускает на скомпрометированной машине процесс samsam.exe и приступает к шифрованию, используя комбинацию AES-256 (CBC) + RSA-2096. SamSam совсем не скрывает свою активность в системе, не использует упаковщик и не обнаруживает системных отладчиков. Работает автономно, но прекращает шифрование, если версия Windows ниже Vista, из-за проблем с совместимостью.

SamSam удаляет теневые копии файлов с помощью системного приложения  Vssadmin.exe. Эта функция впоследствии станет очень популярной среди шифровальщиков-вымогателей... 


Спустя некоторое время...

Спустя некоторое время после публикации новости, распространители Samsam подняли планку и стали требовать выкуп в 1,5-1,7 биткоина на зараженной системе, или 22 биткоинов за расшифровку файлов всех зараженных компьютеров сети. Malware-аналитики проконтролировали несколько кошельков Bitcoin, связанных с этими атаками, и заметили, что на них поступили выплаты в сотни тысяч долларов.

По словам исследователей, судя по всему, атаки совершались несколькими группами злоумышленников, на что указывает внедрение в системы различных бэкдоров: mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3l, Inovkermngrt и jbot.

Среди признаков, свидетельствующих о получении преступниками контроля над системой, упоминается появление сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class.


География распространения вымогательской инфекции SamSam


Технические подробности

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db3, .dbf, .db-journal, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b.p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (327 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
samsam.exe
HELP_DECRYPT_YOUR_FILES.html - записка о выкупе;
<random>.exe - исполняемый файл вымогателя;
delfiletype.exe - копия исполняемого файла вымогателя;
sqlsrvtmg1.exe - копия исполняемого файла вымогателя;
psexec.exe - развертывает другие компоненты; 
del.exe - делает зачистку следов присутствия вымогателя в системе;
list.txt - содержит украденные учётные данные.

Расположения:
C:\Windows\system32\samsam.exe
\User_folders\HELP_DECRYPT_YOUR_FILES.html
\Desktop\HELP_DECRYPT_YOUR_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://lordsecure4u.wordpress.com
xxxx://wzrw3hmj3pveaaqh.onion/diana
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 6 апреля 2016:
Пост в Твиттере >>
Расширение: .justbtcwillhelpyou

Обновление от 16 апреля 2016:
Пост в Твиттере >>
Расширение: .btcbtcbtc

Обновление от 26 апреля 2016:
Пост в Твиттере >>
Записка: HELP_FOR_DECRYPT_FILE.html
Расширение: .btc-help-you

Обновление от 11 мая 2016: 
Пост в Твиттере >>
Расширение: .only-we_can-help_you
Результаты анализов: HA+VT

Обновление от 30 июня 2016: 
Пост в Твиттере >>
Файл: wanadoesme.exe
Записка: 000-HELP_FOR_DECRYPT_FILE.html
Расширение: .iwanthelpuuu
Результаты анализов: HA+VT

Обновление от 4 ноября 2016:
Пост в Твиттере >>
Расширение: .notfoundrans
Записка: READ-FOR-HELLPP.html
BTC: 15gbE7z9cbxg5Gvh2rDFPdU1a1VLu9rnBa
Tor: ***qjvah4btqkppaudo.onion/gclass007/
Результаты анализов: VT

Обновление от 14 декабря 2016:
Файл: barbimos2.exe
Записка: READ-FOR-HELLPP.html
Расширение: .checkdiskenced
BTC: 15zpJyi4DaqRhTS2PRDHt4z1WQiGm5gsMZ
Tor: ***qjy2f3q45elp2tlc.onion/33fiveman/
Результаты анализов: VT

Обновление от 14 декабря 2016:
Пост в Твиттере >>
Файл: sobusy.exe
Фальш-имя: Contact MSoffice
Записка: 000-PLEASE-READ-WE-HELP.html
Расширение: .VforVendetta
BTC: 12Z7QctstwkxxfWdrFJs1oEpDLT3jpqcPq
Tor: ***qjy2f3q45elp2tlc.onion/sking01/
Результаты анализов: VT

Обновление от 23 декабря 2016:
Файлы: WinDir.exe (Desktop Windows Manager)
anabella2.exe
Записка: READ-FOR-HELLPP.html
Расширение: .checkdiskenced
BTC: 1Ar31oJp7ALcErh61KGiu18WsmjWpHc9pi
Tor: ***qjy2f3q45elp2tlc.onion/stackoverflow42/
Результаты анализов: VT

Обновление от 25 декабря 2016:
Пост в Твиттере >>
Записка: 002-HAPPEN-ENCED-FILES.html
Расширение: .happenencedfiles

Обновление от 30 декабря 2016:
Пост в Твиттере >>
Записка: WHERE-YOUR-FILES.html
Расширение: .Whereisyourfiles

Обновление от 1 января 2017:
Пост в Твиттере >>
Записка: HELP-ME-ENCED-FILES.html
Расширение: .helpmeencedfiles
Tor: ***heyvkn3uty2irsjx.onion/xmanx665
BTC: 1DyCVs9fBcxvd56R7tPRG1ENY1hZ4NZGcZ
Результаты анализов: VT

Обновление от 4 января 2017:
Пост в Твиттере >>
Записка: 001-PLS-DEC-MY-FILES.html
Расширение: .wowwhereismyfiles

Обновление от 10 января 2017:
Пост в Твиттере >>
Записка: 000-WOW-READ-FOR-DECRYP.html
Расширение: .wowreadfordecryp

Обновление от 14 января 2017:
Пост в Твиттере >>
Записка: WE-MUST-DEC-FILES.html
Расширение: .powerfulldecrypt
BTC: 1CMJGvv6usQ5tz4z8miDngQeRzrgvBuz8H
Tor: ***heyvkn3uty2irsjx.onion/shield221/
Результаты анализов: HA+VT

Обновление от 25 января 2017:
Пост в Твиттере >>
Записка: 000-IF-YOU-WANT-DEC-FILES.html
Расширение: .otherinformation

Обновление от 1 февраля 2017:
Пост в Твиттере >>
Записка: LET-ME-TRY-DEC-FILES.html
Расширение: .letmetrydecfiles

Обновление от 13 февраля 2017:
Пост в Твиттере >>
Записка: 001-READ-FOR-DECRYPT-FILES.html
Расширение: .encryptedyourfiles

Обновление от 21 февраля 2017:
Пост в Твиттере >>
Файл: preguess2.exe
Записка: READ-READ-READ.html
Расширение: .weencedufiles
Tor: ***v45y2fwx5ugpegmi.onion/11preguess990/
Результаты анализов: VT

Обновление от 3 марта 2017:
Пост в Твиттере >>
Записка: PLEASE-READIT-IF_YOU-WANT.html
Расширение: .filegofprencrp

Обновление от 11 марта 2017:
Пост в Твиттере >>
Файл: emetic45.exe
Записка: IF_WANT_FILES_BACK_PLS_READ.html
Расширение: .iaufkakfhsaraf
Tor: http://v45y2fwx5ugpegmi.onion/246526744emetic76453434/
BTC: 1Lmio7ee8nBk98ZWBEWi98NL3qBCWvshuJ
Результаты анализов: VT

Обновление от 20 марта 2017:
Пост в Твиттере >>
Записка: READ_READ_DEC_FILES.html
Расширение: .cifgksaffsfyghd

Обновление от 23 марта 2017:
Расширение: .checkdiskenced
Записка: READ-FOR-HELLPP.html
BTC: 1DA1gyQNpCRM1292nV3xY53tkDzeJ7SgZ4
Tor: ***qjy2f3q45elp2tlc.onion/22ultra/
Результаты анализов: HA+VT

Обновление от 24 марта 2017:
Записка: WE-CAN-HELP-U.html
Расширение: .vekanhelpu
BTC: 1G8CNAevnbz4iu2PUGMU65FyoNgZeNVYQY
Tor: ***pt7ow5kk6dxkobcq.onion/6petro33/
Результаты анализов: VT

Обновление от 26 июня 2017:
Пост в Твиттере >>
Расширение: .moments2900

Обновление от 14 июля 2017:
Расширение: .country82000

Обновление от 19 июля 2017:
Пост в Твиттере >>
Расширения: .breeding123

.mention9823


Обновление от 30 июля 2017:
Пост в Твиттере >>
Расширение: .supported2017
Файлы: cheerful2.exe (2768784_cheerful2.exe)
BTC: 1NWDgpimwWxmsVysjdzd3udEUKmFjN7pnN
C2 URL: xxxx://fxn5ao5mmaktpsug.onion/19732remarkably84561/
Результаты анализов: VT, VT

Обновление от 26 августа 2017:
Записка: PLEASE-README-AFFECTED-FILES.html
Расширение: .prosperous666
Файлы: convinced2.exe
Tor: xxxx://fxn5ao5mmaktpsug.onion/assistance9294637472/
BTC: 1NFpwYEw4DvFrMLaHAV3gP4awuWZe2o4Yw
Результаты анализов: HA+VT

Обновление от 8 сентября 2017:
Пост в Твиттере >>
Расширение: .disposed2017
Записка: PLEASE-README-HOWTO-RECOVERY.html
Tor-URL: fxn5ao5mmaktpsug.onion/existence748563853/
BTC: 1AMEyf3sDK1HtYpCYbiqQ8n7GtXxHwDxM
BTC: 1PNNAA8eD1o6hSp879PKzoakXxyQnx9NiP
Результаты анализов: VT, VT

Обновление от 18 сентября 2017: 
Пост в Твиттере >>
Расширение: .myransext2017
Записка: 005-DO-YOU-WANT-FILES.html
Tor-URL: http://fxn5ao5mmaktpsug.onion



 Read to links: 
 Write-up, Write-up, Write-up, Write-up
 ID Ransomware
 Topic of Support
 * 
 Thanks: 
 авторам статей из раздела "Write-up"
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton