7ev3n Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 13 биткоинов, чтобы вернуть файлы обратно. Название происходит от видоизмененного английского слова "seven" (семь).
© Генеалогия: 7ev3n > 7ev3n-HONE$T
К зашифрованным файлам добавляется расширение .R5A или, в единичных случаях, .R4A. Активность этого крипто-вымогателя пришлась на январь 2016 г.
Записка с требованием выкупа называется: FILES_BACK.txt
К ней добавляется экран блокировки.
Содержание записки о выкупе:
YOUR PERSONAL INFORMATION ARE ENCRYPTED by 7ev3n
All your documents, photos, databases, office projects and other important files have been encrypted with strongest encryption algorithm and unique key, original files have been overwritten, recovery tools and software will not help. Private key is stored on a server and nobody can decrypt your files until you pay and obtain the private key.
You have only 96 hours to make a payment. If you do not send money within provided time, private key will be destroyed, and all your files will be lost. Follow the instructions:
1. Pay amount of 13 bitcoin (approximately 4980 USD) to address: bitcoin address, this unique address generated only for you.
2. Transaction will take about 50 minutes to accept and confirm the payment, decryption and uninstalling of this software will start automatically. For correct key and decryption, DO NOT: power off computer, disable Internet connection, run antivirus program. Usually decryption will take about 1-3 hours, average decrypt speed 21gb per hour.
Bitcoin is a digital currently that you can buy on ‘eBay.com’, ‘localbitcoins.com’, ‘anxpro.com’, ‘cued.com’ and many other online and physical exchangers through credit card, bank account, using PayPal and many other payment methods.
Warning, do not try to get rid of this program, any action taken will result in decryption key being destroyed, you will lose your files forever, one way to get you files os to follow that instructions. In case of non-payment reserve the right to publicly publish all encrypted files.
Перевод записки на русский язык:
Ваша личная информация зашифрована 7ev3n
Все ваши документы, фото, базы данных, офисные проекты и другие важные файлы были зашифрованы с сильным алгоритмом шифрования и уникальным ключом, оригинальные файлы перезаписаны, инструменты восстановления и программы не помогут. Секретный ключ хранится на сервере, и никто не расшифрует файлы, пока не платите и получите секретный ключ.
У вас есть только 96 часов для оплаты. Если не отправите деньги за это время, закрытый ключ будет уничтожен, и все ваши файлы будут потеряны. Следуй инструкциям:
1. Выплати сумму 13 Bitcoin (около $4980 США) по адресу: Bitcoin-адрес, уникальный адрес генерируется только для вас.
2. Сделка займет около 50 минут, чтобы принять и подтвердить платеж, дешифровка и удаление этой программы начнется автоматически. Для правильного ключа и дешифрования, НЕ отключайте питание компьютера, не отключайте подключение к Интернету, не запускайте антивирусную программу. Обычно дешифровка идет 1-3 часа, средняя скорость декрипта 21 Гб в час.
Bitcoin представляет собой современную цифровую валюту, вы можете купить на eBay.com, localbitcoins.com, anxpro.com, cued.com и на мн. др. онлайн и физических обменниках через кредитную карту, банковский счет, используя PayPal и мн. др. способов оплаты.
Внимание, не пытайтесь избавиться от этой программы, любые действия приведут к уничтожению ключа дешифрования, а вы потеряете ваши файлы навсегда, один из способов, чтобы заставить вас вернуть файлы системы, это следовать этой инструкции. В случае неуплаты оставляем за собой право публично выложить все зашифрованные файлы.
Распространяется с помощью email-спама и вредоносных вложений.
Запустившись в первый раз в системе шифровальщик сканирует побуквенно все диски в поисках определенных файловых расширений и, зашифровав файлы, переименовывает их согласно цифровому порядку, добавляя расширение .R5A. Например, если папка содержит 10 разных файлов, то они будут переименованы в 1.R5A, 2.R5A, 3.R5A ... 10.R5A.
Закончив шифрование, 7ev3n отображает окно с требованием выкупа и указанием Bitcoin-адреса, на который нужно его отправить. После того, как 7ev3n эффективно заблокирует все возможные варианты восстановления, обойдя экран UAC, он вносит изменения в реестр, отключающие комбинации клавиш, которые обычно используются для устранения проблем Windows, например, такие как Alt + Tab, переключающие между активными процессами. А также меняет специальное значение в реестре, отключающее клавиши: F1, F10, F3, F4, Enter, Escape, левый Alt, Ctrl, Левый Windows, Num Lock, правый Alt, правый Ctrl, правый Shift, правый Windows и Tab.
Это значение реестра показано ниже.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"
Кроме того, вредонос создает задачу Windows, которая выполняет эти команды каждый раз, когда пользователь входит в систему.
Список файловых расширений, подвергающихся шифрованию:
.accdb, .arw, .dbf, .doc, .docm, .docx, .jpe, .jpeg, .jpg, .mdb, .mdf, .odb, .odm, .odp, .ods, .pdf, .rar, .sql, .txt, .xlsb, .xlsm, .xlsx, .zip (23 расширения).
Файлы, связанные с 7ev3n Ransomware:
%LocalAppData%\bcd.bat - пакетный файл с разными BCDedit-командами, отключающих варианты восстановления загрузки системы.
%LocalAppData%\del.bat - пакетный файл-чистильщик, зачищающий файлы вымогателя;
%LocalAppData%\system.exe - основной исполняемый файл вымогателя, шифрующий данные и отображающий требование выкупа;
%LocalAppData%\time.e - файл, содержащий временную отметку с началом инфекции;
%LocalAppData%\uac.exe - исполняемый файл, позволяющий компонентам вымогателя работать с повышенными правами без отображения контроля учетных записей;
C:\Windows\System32\Tasks\uac
C:\Windows\System32\elsext.dll
Записи реестра, связанные с 7ev3n Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62EC9C46-634C-4957-8A5C-4566462D0CE6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "C:\Users\[login_name]\AppData\Local\system.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" /v "crypted"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00
00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"
HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys "Flags" = 506
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "System"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" "rgd_bcd_condition" = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" "EnableLUA" = 0
Степень распространённости: низкая.
Подробные сведения собираются.
