вторник, 17 ноября 2015 г.

Chimera

Chimera Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует все файлы, которые находит на всех подключенных дисках, а затем требует 0,939 биткоинов, чтобы вернуть файлы. 

Зашифрованные файлы получали расширение .crypt
Позже расширение стало в формате .<4_random_chars>
Примеры: .MnDf, .PzZs, .RThY.

  После того, как файлы будут зашифрованы, Chimera отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как произвести оплату и получить ссылку на декриптер, который нужно запустить для расшифровки файлов, когда платеж будет сделал и вымогатель получит подтверждение. 

 Записки о выкупе называются: 
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT

  На обои ставится изображением с именем <random>.gif
  Внизу html-сообщения можно видеть, что Chimera также набирает новых аффилиатов в партнерскую программу по распространению самой себя. 

Список файловых расширений, подвергающихся шифрованию:
.jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf (226 расширений). 

 Распространяется через email-спам, содержащий ссылки на веб-страницу Dropbox. В отличие от других вымогателей Chimera не использует Tor-сайт для управления платежами и загрузки декриптера. Вместо этого в качестве способа связи с разработчиком вымогателя используется Bitmessage, криптографический мессенджер для обмена сообщениями, использующий децентрализованную P2P-сеть. Bitmessage, как нельзя лучше подходит для обмена данными между компьютером жертвы и сервером управления вредоносного ПО разработчика. Преимущество Bitmessage в том, то его сеть работает по принципу шифрования всех входящих и исходящих сообщений каждого пользователя, используя сильные алгоритмы шифрования таким образом, что только получатель сообщения способен его расшифровать.

  Когда Chimera заражает ПК жертвы, он использует встроенное приложение PyBitmessage, чтобы отправить разработчику сообщение, содержащее следующую информацию: секретный ключ жертвы, ID "железа" машины и Bitcoin-адрес для оплаты. 

  Декриптер от вымогателей поставляется как msi-установщик. Он имеет понятный интерфейс и направляет жертву через весь процесс дешифровки файлов. 

  Когда пользователь загружает и устанавливает декриптер в папку C:\Program Files (x86)\Chimera Decrypter, вместе с ним ставится Bitmessage. После запуска Bitmessage работает в режиме ожидания поступления платежа на указанный Bitcoin-адрес. 

Подробности работы приложения и метод получения ключа от вымогателей опускаем. Желающие могут ознакомиться с ними самостоятельно в статье Лоуренса Абрамса.

Детект на VirusTotal >>>

Степень распространенности: была высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Имеются сведения, что теперь расширение, добавляемое после шифрования, может иметь вид .<4_random_chars> — случайный четырехбуквенный разнорегистровый код, например, .MnDf, .PzZs, .RThY.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать RakhniDecryptor для дешифровки >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 *
 *
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton