пятница, 17 июня 2016 г.

XRTN

XRTN Ransomware

(шифровальщик-вымогатель)



   Этот криптовымогатель шифрует данные с помощью RSA-1024 с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). К зашифрованным файлам добавляется расширение .xrtn

Вымогатель XRTN относится к семейству VaultCrypt. Распространялся с декабря 2015 г. Затем ему на смену пришли Trun и Xort с теми же записками, но с другими ящиками на Яндексе. 

© Генеалогия: VaultCrypt > XRTN 

  После шифрования жертве показывается HTA-документ с названием <random_name>.hta, в котором предписывается связаться по адресу xrtnhelp@yandex.ru с "экспертами". 

Содержание текста о выкупе:
ATTENTION!
All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm
Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
contact an expert on email: xrtnhelp@yandex.ru

Перевод на русский:
ВНИМАНИЕ!
Все важные файлы и информацию на этом comuter (документы, базы данных и т.д.) можно расшифровать используя криптографический алгоритм RSA
Без спец. программы декодирование одного файла с помощью самых мощных компьютеров займет около 20 лет.
контакт с экспертом по email: xrtnhelp@yandex.ru

Ошибки в тексте:
comuter - правильно: computer (компьютер)

Email-адрес вымогателей: xrtnhelp@yandex.ru

После шифрования удаляются теневые копии файлов, если UAC отключена, или выводится при активной UAC запрос на внесение изменений. Разумеется, нужно отказаться, чтобы копии файлов сохранились и можно было восстановить хотя бы часть утраченной информации после удаления вредоносных файлов. 

  Распространяется с помощью email-спама с вредоносным вложением в виде некоего Word-файла. Состоит из множества инструментов и пакетных файлов, которые выполняют шифрование файлов. Устанавливается с помощью файла JavaScript, который загружает на компьютер жертвы файлы из gusang.vpscoke.com. Эти загруженные файлы файлы включают GnuPG.exe, документ Word, и пакетный файл, который выполняет процедуру шифрования. После запуска установщик JavaScript сначала загрузит файлы, запустит документ Word, а затем командный файл. Когда пакетный файл выполняется, он генерирует ключ RSA-1024 и сканирует по-буквенно все диски для поиска файлов которые нужно зашифровать согласно заложенной в него конфигурации, и добавлять к ним расширение .XRTN. Затем удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.xls, .doc, .xlsx, .docx, .pdf, .rtf, .cdr, .psd, .dwg, .cd, .mdb, .1cd, .dbf, .sqlite, .jpg, .zip и многие другие. 

См. более полный список в описании вымогателей Xort и Trun

  В процессе шифрования пакетный файл экспортирует закрытый ключ, который был использован для шифрования данных, в файл с именем XRTN.key. В нем также содержатся: имя пользователя, имя компьютера, дата, количество зашифрованных файлов, подсчет всех типов зашифрованных расширений и другие параметры. XRTN.key файл необходим для дешифровки файлов жертвы.

Файлы, связанные с XRTN Ransomware:
%Temp%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
%AppData%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
C:\Users\User_name\AppData\Roaming\<random_name>.hta - полный путь
%Temp%\4077430c_xrtn.KEY
%Temp%\CONFIRMATION.KEY
%Temp%\Do_88u.docx
%Temp%\gPG.EXE
%Temp%\<random>.js
%Temp%\dsfsdghd.bat, шаблон <random>.bat
%Temp%\ez3x7je8.cmd, шаблон <random>.cmd
%Temp%\xrtn.KEY
%Temp%\xrtn.txt
%AppData%\xrtn.KEY

Записи реестра, связанные с XRTN Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\onuntsss
mshta %AppData%\3cnq8256w5rxxavz.hta

Степень распространенности: средняя.
Подробные сведения собираются. 



Read to links: 
Write-up on BC + other
ID Ransomware


 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 al1963

 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *