среда, 4 марта 2015 г.

BandarChor, Rakhni 2015

BandarChor Ransomware

Rakhni 2015 Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует файлы с помощью AES-256. Известен с ноября 2014. Другое название: Rakhni (रखनी в переводе с хинди - "медведь"). Исследован F-Security в марте 2015 г. Последнее распространение в марте-апреле 2016 г. 

 © Генеалогия: Rakhni > Rakhni Family > BandarChor > Paycrypt 

  К зашифрованным файлам добавляется расширение, создаваемое по шаблону: 
.id-[ID]_[email_address]
Например, .id-4361716884_europay@india.com

Таким образом, зашифрованный файл будет выглядеть так: 
[original_file_name].id-[random-10-digit-number]_europay@india.com

  Вместо текстовой записки о выкупе используется графическое изображение fud.bmp (или bytor.bmp или др.), встающее обоями рабочего стола. Время от времени меняется только email вымогателей. 

Содержание текста на изображении: 
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!
To get the decoder and the original key, you need to write to us at the e-mail fud@india.com with the subject "encryption" stating your id.
Write on the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
fudx@lycos.com

Перевод на русский: 
Внимание! Ваш компьютер атакован вирусом-шифровальщиком.
Все ваши файлы были зашифрованы, без оригинального ключа вернуть невозможно!
Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на fud@india.com с темой "encryption" и указать ваш ID.
Пишите по делу, не тратьте свое и наше время на пустые угрозы.
Письма от неадекватных людей будут игнорироваться.
fudx@lycos.com

Адреса email в других вариантах записок: 
fud@lycos.com и fudx@lycos.com
fud@india.com
decode@india.com
decrypt@india.com
europay@india.com
info@cryptedfiles.biz и salutem@protonmail.com
bingo@opensourcemail.org
doctor@freelinuxmail.org
johndoe@weekendwarrior55.com
sos@encryption.guru
av666@weekendwarrior55.com
email_info@cryptedfiles.biz
email1_info@cryptedfiles.biz
milarepa.lotos@aol.com
и другие...

Список файловых расширение, подвергающихся шифрованию в версии с fud.bmp
.001, .113, .1cd, .3gp, .73b, .a3d, .abf, .abk, .accdb, .ace, .arj, .as4, .asm, .asvx, .ate, .avi, .bac, .bak, .bck, .bkf , .bup, .bvd, .cdr, .cer, .cng, .cpt, .cryptra, .csv, .db3, .dbf, .dco, .doc, .docx, .dwg, .enx, .erf, .fbf, .fbk, .fbw, .fbx, .fdb, .fdp, .gbk, .gho, .gzip, .iv2i, .jac, .jbc, .jpeg, .jpg , .kbb, .key, .keystore, .ldf, .m2v, .m3d, .max, .mdb, .mkv, .mov, .mpeg , .nba, .nbd, .nrw, .nx1, .odb, .odc, .odp, .ods, .odt, .old, .orf, .p12, .pdf, .pef, .pkey, .ppsx, .ppt, .pptm, .pptx, .pst, .ptx, .pwm, .pz3, .qic, .r3d, .rar, .raw, .rtf, .rwl, .rx2, .rzx , .safe, .sbs , .sde, .sgz, .sldasm, .sldprt, .sle, .sme, .sn1, .sna, .spf, .sr2, .srf, .srw, .tbl, .tib, .tis, .txt, .vhd, .wab, .wallet, .wbb, .wbcat, .win, .wps, .x3f, .xls, .xlsb, .xlsk, .xlsm, .xlsx, .zip (124 расширения). 

Этот список от 2015 года уже дополнен расширениями, определёнными в новой версии вымогателя в начале марта 2016. 

Список файловых расширение, подвергающихся шифрованию в версии с bytor.bmp: 
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx  (67 расширений). По данным Symantec

Запустившись в системе, BandarChor сканирует все папки, за исключением: 
Windows
Program Files
Program Files (x86)
ProgramData
System Volume Information
Temp

  BandarChor не трогает файлы, которые больше 30 мегабайт. Шифрует до 30000 байтов заголовка каждого файла и сохраняет количество шифрованных байт в первые 4 байта (добавляет перезаписываемые байты в конец файла). Когда все файлы заблокированы, устанавливает изображение fud.bmp в качестве обоев рабочего стола с вымогательским текстом. Затем вредонос удаляет себя.

  Распространяется с помощью email-спама и вредоносных вложений, а ссылки могут вести на зараженный сайт, содержащий эксплойты на веб-страницах или вредоносную рекламу. Письма приходят якобы от PayPal, Amazon, eBay и Facebook, а их содержание ссылается на изменения в политике конфиденциальности, возвраты и недавно сделанные покупки. Файлы во вложении имеют двойное расширение. Вложение упаковано UPX, после вскрытия содержит исполняемый файл написан в Delphi. Восстановление зашифрованных файлов невозможно без ключа, который хранится на сервере злоумышленников и не сохраняется на диск.

  Запустившись в системе добавляет себя в папку автозагрузки Windows. Затем он генерирует случайную последовательность из 10 цифр для  ID компьютера и формирует строку запроса из него, имени компьютера, фиксированного номера, и суффикса, содержащего ID и email-адрес автора вредоносной программы. 
Например: number=31&id=4361716884&pc=FOOBAR&tail=.id-4361716884_europay@india.com

Дальнейшее развитие — Paycrypt и другие.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe
<random>.dll
fud.bmp или bytor.bmp
edgE528.exe - утилита запроса сервера терминалов
Утилита запроса сервера терминалов
Утилита запроса сервера терминалов

Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "%UserProfile%\Application Data\bytor.bmp" 
...или "%UserProfile%\Application Data\fud.bmp"

Сетевые подключения и связи:
martyanovdrweb.com
www.fuck-isil.com
www.ahalaymahalay.com
kapustakapaet.com
www.decryptindia.com
www.enibeniraba.com
www.netupite.com
89025840.com
xsmailsos.com
sosxsmaillockedwriteonxsmailindia.com
baitforany.com
euvalues.com
intelligence1938.com
и другие...

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.BandarChor (до августа 2016: Trojan.Ransomcrypt.Q)

Степень распространённости: средняя. 
Подробные сведения собираются. 

Обновление от 15 марта 2016:
Email: info@cryptedfiles.biz
Составное расширение: original_name.jpg.id-1334533118_info@cryptedfiles 


Обновление от 15 декабря 2016:
 Статья >> + ID Shigo
Записка: HOW TO DECRYPT.txt
Расширение по шаблону: .id-[ID]_[email_address]
Email: help@decryptservice.info, Shigorin.Vitolid@gmail
Пример зашифр. файла: test.jpg.id-1235240425_help@decryptservice.info



Обновление от 4 сентября 2017: 
Email: kiaracript@email.cz и kiaracript@gmail
Расширение: .SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail
Шаблон расширения: .SN-<ID>-kiaracript@email.cz_kiaracript@gmail
Пример заш-файла: 
archive2015.rar.SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail


Обновление от 26 сентября 2017:
Email: kiaracript@gmail.com
Расширение: .SN-6633475505259148-kiaracript@gmail.com и другие
Шаблон расширения: .SN-<ID>-kiaracript@gmail.com
Примеры заш-файлов: 
archive2010.zip.SN-6633475505259148-kiaracript@gmail.com
archive2014.rar.SN-6633475505259148-kiaracript@gmail.com
document2.txt.SN-6862051502902366-kiaracript@gmail.com



 Внимание!
Некоторые зашифрованные файлы можно вернуть
За помощью обращайтесь в тему на форуме >>
*
*
 Read to links: 
 Topic on BC
 ID Ransomware (ID as BandarChor and Shigo)
 Write-up
 *
 Thanks: 
 Michael Gillespie
 F-Security
 Emmanuel_ADC-Soft
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton