воскресенье, 27 марта 2016 г.

Booyah, Salam!

Booyah Ransomware

Salam! Ransomware

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные, а затем требует 1-2 BTC, чтобы вернуть файлы обратно. Через неделю сумма выкупа увеличивается до 7 BTC. На файле может быть написано, что угодно. Разработчик: Mohammad. 

© Генеалогия: Booyah (Salam!) ⇔ CryptoBitMobef

К зашифрованным файлам добавляется расширение .keyz 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: WHATHAPPENEDTOYOURFILES.txt

Содержание записки о выкупе: 
Your ID: 757575
***
Hi. Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. If you pay me today, the price is only 1 bitcoin.
If you pay me tomorrow, you will have to pay 2 bitcoins. If you pay me one week later the price will be 7 bitcoins and so on. So, hurry up.
Contact me using this email address: mohammad@opensourcemail.org

Перевод записки на русский:
Ваш ID :  757575 
*** 
Привет. Ваши файлы зашифрованы. У меня есть ключ для их дешифровки. 
Я дам вам декриптер, если вы заплатите мне. Если платите сегодня, то всего 1 Bitcoin. 
Если платите мне завтра, то 2 Bitcoins. Если через неделю, то цена будет 7 Bitcoins и так далее. Так что, поторопитесь.
Контакт со мной, используя этот email-адрес: mohammad@opensourcemail.org

Другим информатором жертвы выступает изображение на рабочем столе с тем же текстом о выкупе.
Примеры из разных версий Windows

Третьим информатором жертвы выступает диалоговое окно от разработчика-вымогателя оп имени Мохаммад. 
Содержание текста:
My name is Mohammad and I just tried to infect you with malware.
If you'd like to tell me what a twat I am, email: mohammad@opensourcemail.org
PS: You should really consider getting an antivirus, even a free one will help!

Перевод на русский язык:
Меня зовут Мохаммад, и я попытался заразить вас вредоносным ПО.
Если вы хотите сообщить мне, то мой email: mohammad@opensourcemail.org
PS: Вы должны подумать о получении антивируса, даже бесплатный поможет!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Booyah Ransomware устанавливается как программа (используется Nullsoft Scriptable Install System, NSIS), содержит упакованную DLL, которая и выполняет шифрование. 

Список зашифрованных файлов хранится в незашифрованном файле в директории %APPDATA%\%ID%, например, в %APPDATA%\757575 из примера.

Список файловых расширений, подвергающихся шифрованию:
.aif, .aifc, .aiff, .asf, .asx, .au, .bmp, .dib, .doc, .docx, .dot, .dvr-ms, .emf, .gif, .hta, .htm, .html, .ico, .IVF, .jfif, .jpe, .jpeg, .jpg, .m1v, .m3u, .mht, .mid, .midi, .mp2, .mp2v, .mp3, .mpa, .mpe, .mpeg, .mpg, .mpv2, .pdf, .png, .pot, .pps, .ppt, .pptx, .rle, .rmi, .rtf, .snd, .tif, .tiff, .wav, .wax, .wm, .wma, .wmf, .wmv, .wmx, .wvx, .xbap, .xls, .xlsx, .xlt, .xlw, .xml, .xps, .zip (64 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Шифровальщик пропускает папки, содержащие следующие строки:
application
audio
compressed
document
gamemedia
image
system
text
video
Иконка исполняемого файла

Файлы, связанные с этим Ransomware:
booyah.exe (<random>.exe) - основной исполняемый файл;
tribologists.dll - dll-ка шифровальщика;
WHATHAPPENDTOYOURFILES.TXT - записка о выкупе; 
CRIPTOSO.KEY - специальный файл, находится в каждой папке, где есть зашифрованные файлы.
Файл CRIPTOSO.KEY нужно предоставлять вымогателю для получения декриптера и персонального ключа дешифрования после уплаты выкупа. 
<8_numbers_ID>

Расположения:
\AppData\<8_numbers_ID>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://videodrome69.com/2/booyah.exe
xxxx://videodrome69.com/knock.php?id=758275
IP: 200.74.241.151
Email: mohammad@opensourcemail.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Booyah)
 Write-up, Topic of Support
 Video review 
 Thanks: 
 Michael Gillespie
 TrendMicro
 GrujaRS
 victim of crypto-ransomware
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton