XRTN

XRTN Ransomware

(шифровальщик-вымогатель)

Translation into English

   Этот криптовымогатель шифрует данные с помощью RSA-1024 с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). К зашифрованным файлам добавляется расширение .xrtn. 

Вымогатель XRTN относится к семейству VaultCrypt. Распространялся с декабря 2015 г. Затем ему на смену пришли Trun и Xort с теми же записками, но с другими ящиками на Яндексе. 

© Генеалогия: VaultCrypt > XRTN 

  После шифрования жертве показывается HTA-документ с названием <random_name>.hta, в котором предписывается связаться по адресу xrtnhelp@yandex.ru с "экспертами". 

Содержание текста о выкупе:
ATTENTION!
All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm
Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
contact an expert on email: xrtnhelp@yandex.ru

Перевод на русский:
ВНИМАНИЕ!
Все важные файлы и информацию на этом comuter (документы, базы данных и т.д.) можно расшифровать используя криптографический алгоритм RSA
Без спец. программы декодирование одного файла с помощью самых мощных компьютеров займет около 20 лет.
контакт с экспертом по email: xrtnhelp@yandex.ru

Ошибки в тексте:
comuter - правильно: computer (компьютер)

Email-адрес вымогателей: xrtnhelp@yandex.ru

После шифрования удаляются теневые копии файлов, если UAC отключена, или выводится при активной UAC запрос на внесение изменений. Разумеется, нужно отказаться, чтобы копии файлов сохранились и можно было восстановить хотя бы часть утраченной информации после удаления вредоносных файлов. 

  Распространяется с помощью email-спама с вредоносным вложением в виде некоего Word-файла. Состоит из множества инструментов и пакетных файлов, которые выполняют шифрование файлов. Устанавливается с помощью файла JavaScript, который загружает на компьютер жертвы файлы из gusang.vpscoke.com. Эти загруженные файлы файлы включают GnuPG.exe, документ Word, и пакетный файл, который выполняет процедуру шифрования. После запуска установщик JavaScript сначала загрузит файлы, запустит документ Word, а затем командный файл. Когда пакетный файл выполняется, он генерирует ключ RSA-1024 и сканирует по-буквенно все диски для поиска файлов которые нужно зашифровать согласно заложенной в него конфигурации, и добавлять к ним расширение .XRTN. Затем удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .xlsx, .zip и многие другие. 

См. более полный список в описании вымогателей Xort и Trun. 

  В процессе шифрования пакетный файл экспортирует закрытый ключ, который был использован для шифрования данных, в файл с именем XRTN.key. В нем также содержатся: имя пользователя, имя компьютера, дата, количество зашифрованных файлов, подсчет всех типов зашифрованных расширений и другие параметры. XRTN.key файл необходим для дешифровки файлов жертвы.

Файлы, связанные с XRTN Ransomware:
%Temp%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
%AppData%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
C:\Users\User_name\AppData\Roaming\<random_name>.hta - полный путь
%Temp%\4077430c_xrtn.KEY
%Temp%\CONFIRMATION.KEY
%Temp%\Do_88u.docx
%Temp%\gPG.EXE
%Temp%\<random>.js
%Temp%\dsfsdghd.bat, шаблон <random>.bat
%Temp%\ez3x7je8.cmd, шаблон <random>.cmd
%Temp%\xrtn.KEY
%Temp%\xrtn.txt
%AppData%\xrtn.KEY

Записи реестра, связанные с XRTN Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\onuntsss
mshta %AppData%\3cnq8256w5rxxavz.hta

Степень распространенности: средняя.
Подробные сведения собираются. 

Read to links: 
Write-up on BC + other
ID Ransomware

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 al1963