воскресенье, 15 ноября 2015 г.

Troldesh, Shade

Troldesh Ransomware

Shade Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (CBC-режим), затем требует отправить на email вымогателя код из записки о выкупе, чтобы получить дальнейшие инструкции. В ответном письме сообщается сумма выкупа в сотнях долларов. Ориентирован на русскоязычных пользователей и их адресатов из других стран (Россия, Украина, Германия, Турция и пр.). Другие названия: Shade, XTBL, Trojan.Encoder.858

  Обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы. Это bmp-изображение может размещаться в директории %APPDATA%\Roaming, например, так C:\Users\User\AppData\Roaming\0ED528EB0ED528EB.bmp

 Когда этот вредонос выполняется, он создает следующие файлы:
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp

Затем создает следующую запись в реестре, чтобы выполняться при каждом запуске Windows,:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Client Server Runtime Subsystem" = "%Windir%\csrss.exe"

Затем соединяется со следующими удаленными адресами, чтобы загрузить и выполнить другие вредоносные файлы: 
gxyvmhc55s4fss2q.onion/reg***
gxyvmhc55s4fss2q.onion/prog***
gxyvmhc55s4fss2q.onion/err***
gxyvmhc55s4fss2q.onion/cmd***
gxyvmhc55s4fss2q.onion/sys***

Для каждого зашифрованного файла генерируется два случайных 256-битных ключа AES: один для шифрования содержимого файла, второй для шифрования имени файла. Эти ключи помещаются в служебную структуру key_data, которая шифруется выбранным ключом RSA и помещается в конец кодируемого файла. Подробнее >>>

 Troldesh зашифровывает пользовательские файлы, меняет их набором из случайных символом, а расширение на .xbtl или .cbtl, изменяет записи в реестре системы для автозапуска при включении компьютера. На рабочем столе и в каждой папке с зашифрованными файлами Troldesh разбрасывает до 10 файлов с вымогательским текстом: README.txt

После шифрования удаляются все теневые копии файлов на всех дисках.

  Распространяется через email-спам и вредоносные вложения (фейк-PDF-файл), фишинг-письма со ссылками на заражённые набором эксплойтов Axpergle или Neclu (Nuclear) сайты. Поставщиками шифровальщика могут выступать ботнеты, в частности Kelihos (Waledac) осенью 2016. Нередки случаи установки другого вредоносного ПО: Pony, Teamspy RAT, банковских троянов и других. 

Зараженный сайт способствует запуску вредоносного кода на ПК, а эксплуатируемая уязвимость способствует инфицированию системы шифровальщиком Troldesh. Попав на компьютер создает в системе файлы %APPDATA%\windows\csrss.exe (копия вредоноса) и %TEMP%\state.tmp (временный файл для шифрования).

  Фишинг-письма и email-спам могут иметь следующие заголовки (темы письма): Жалоба, Уведомление, Сообщение из банка (суда, налоговой, от кредиторов), Задолженность, Уголовное производство, Счет-фактура, Доставка, Посылка, Предложение любого типа и пр... Это далеко не весь список. 


   Ни в коем случае не загружайте их, не открывайте вложение, не переходите по ссылкам в письме, каким бы особенно важным не казалось содержимое письма!!!

Список файловых расширений, подвергающихся шифрованию:  
.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx, .avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf, .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp, .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda, .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef, .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm, .pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl, .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .srw, .ssi, .st, .stm, .svg, .svgz, .swf, .tab, .tar, .tbb, .tbi, .tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wav, .wb2, .wbm, .wbmp, .wim, .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, .zip (342 расширения). 

Email, использованные вымогателями в предыдущее время:
decode00001@gmail.com
decode00002@gmail.com
...
decode77777@gmail.com
...
decode99999@gmail.com
files000001@gmail.com
...
files640@gmail.com
...
files08880@gmailcom
files08881@gmailcom


Файлы и ключи реестра, связанные в этим Ransomware:
%All Users%\Application Data\Windows\csrss.exe
%All Users%\Application Data\Windows\csrss.exe
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
C:\ProgramData\Windows\csrss.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp
См. также ниже результаты анализов.

Сетевые подключения и связи:
См. ниже гибридный анализ.

Дополнение №1, декабрь 2015:
Email: files000001@gmail.com
Расширения: .breaking_bad и .heisenberg
Время использования: сентябрь - декабрь 2015, январь 2016

Дополнение №2, март 2016:
Email: decode99999@gmail.com, decode77777@gmail.com, files640@gmail.com
Расширение: .better_call_saul
Время использования: январь 2016 - март 2016

Дополнение №3, июнь 2016
Email: Ryabinina.Lina@gmail.com
Расширение: .windows10
См. отдельное описание Windows10 Ransomware

Обновление от 25 мая 2016:
Записка: README.txt и с цифрами
Email: VladimirScherbinin1991@gmail.com
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
<< Скриншот записки





Обновление от 14 июля 2016:
Новые расширения: .da_vinci_code и .magic_software_syndicate
Email: Lukyan.Sazonov26@gmail.com
Записки о выкупе получили ссылки на Tor-сайт (ранее был email-адрес);
Имеется □-ошибка в тексте с требованиями выкупа на изображении обоев;
Теперь вредонос доставляется на ПК жертв с помощью трояна Mexar.
Подробнее: в блоге Technet Microsoft, в статье Threat Encyclopedia.

Обновление от 24 ноября 2016:
Файлы: csrss.exe, <random_name>.exe
Записка: README.txt и с цифрами
Новое расширение: .no_more_ransom
Email: vladimirscherbinin1991@gmail.com
Результаты анализов:  VTHA, RE
Образец от 17.02.17 на VT





***************************
Обновление от 14 апреля 2017:
Пост в Твиттере >>
Файл: <random>.exe и др. 
Фальш-имя: Microsoft Office Outlook
Фальш-копирайт: Microsoft Corporation
Записки: README1.txt, README1.txt ... README10.txt
Расширение: .dexter
Шаблон зашифрованных файлов: <base64>.<id>.dexter
Примеры зашифрованных файлов:
vwX3Xh9UAXWRwRX8ZgUll-IjflDCC6Bs087177GtWeo=.0123456789ABCDEF0123.dexter
WxJbT7+shAWVwbQ2aYvfwhZ2rNGqMrNcDuGZ7hSFxP8=.0123456789ABCDEF0123.dexter
yE8U-ykICrqPLXu5TgP0vPbScejpC8VFDLumlldsqMg=.0123456789ABCDEF0123.dexter
Email: Ryabinina.Lina@gmail.com
URL: cryptsen7fo43rr6.onion.to , cryptsen7fo43rr6.onion.cab
Результаты анализов: VT
Скриншот записки и обоев рабочего стола:
 
***************************
Обновление от 1 и 5 мая 2017:
Пост в Твиттере >>
Записки о выкупе: README1.txt, README1.txt ... README10.txt 
Email: Novikov.Vavila@gmail.com
VladimirScherbinin1991@gmail.com
<< Пример записки
Файлы: csrss.exe, TPVCGateway.exe, <random>.exe
Версия файла:  8,6,239,2
Фальш-имя: TPVCGateway (ThinPrint Virtual Channel Gateway)
Фальш-копирайт: Cortado AG
Расширение: .crypted000007
<< Пример зашифрованных файлов



<< Пример вложения email 
Сетевые связи: 
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
xxxx://whatsmyip.net/
xxxx://whatismyipaddress.com/
whatismyipaddress.com/ip/
whatsmyip.net
128.31.0.39:9101 - США
86.59.21.38:443 - Австрия
5.148.175.35:9001 - Швейцария
62.210.90.164:9001 - Франция
37.200.98.5:443 - Германия
163.172.133.54:443 - Великобритания
163.172.165.6:9001 - Великобритания
217.12.210.95:9001 - Украина
141.138.200.249:80 - Нидерланды

Результаты анализов: HA+VT
Скриншоты рабочего стола:

Скриншот страницы Tor-сайта вымогателей:
Содержание текста с Tor-сайта:
Вы можете отправить сообщение через форму обратной связи:
You can send the message using the following feedback form:
Ваш e-mail / Your e-mail: 
Мой код из Readme.txt (вида 0011223344556677AAFF|0):
My code from Readme.txt (it looks like 0011223344556677AAFF|0):
Я потерял все Readme.txt либо не смог найти ни одного
I lost all my Readme.txt files or did not find any of them
Текст сообщения / The text of the message:
Пожалуйста, введите текст с картинки:
Please enter the text from the image:
Отправить / Send
Информация: на данный момент используется алгоритм шифрования RSA-3072. Он является одним из самых криптостойких методов, и данные, зашифрованные им, не могут быть расшифрованы без приватного ключа. Подробнее...
Information: the current encryption algorithm is RSA-3072. It is one of the most cryptographically strong methods and the data encrypted by it can not be decrypted without the private key. More... 
***************************

Обновление от 10 мая 2017:
Пост в Твиттере >>
Файл: fan.EXE и другие
Email: selenadymond@gmail.com
Расширения: .crypted000007, .crypted000078
Результаты анализов: VT

Обновление 15 мая 2017:
Примеры вложений: (якобы обновления от Microsoft)
Update_MS17_010.zip
Security_Update_MS17_010.js

Степень распространённости: очень высокая и перспективно высокая.
Подробные сведения собираются регулярно.



Внимание!

Для ранних версий есть декриптор

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *