CryptoFinancial

CryptoFinancial Ransomware

Ranscam Ransomware

(фейк-шифровальщик)

   Этот крипто-вымогатель якобы шифрует данные, а затем требует выкуп в 0,2 BTC, чтобы вернуть файлы обратно. Цели вымогателя: базы данных, документы, PDF, фотографии, музыка, видео, общие папки и пр. Другие названия вымогателя: Ranscam.

Вместо текстовых записок о выкупе используется скринлок с текстом.

Текст со скринлока:
YOUR COMPUTER AND FILES ARE ENCRYPTED
YOU MUST PAY 0,2 BITCOINS TO UNLOCK YOUR COMPUTER
---------------------------------------------------------------------------------------------
YOUR FILES HAVE BEEN MOVED TO A HIDDEN PARTITION AND CRYPTED.
ESSENTIAL PROGRAMS IN YOUR COMPUTER HAVE BEEN LOCKED
AND YOUR COMPUTER WILL NOT FUNCTION PROPERLY.
— 0 —
ONCE YOUR BITCOIN PAYMENT IS RECEIVED YOUR COMPUTER AND
FILES WILL BE RETURNED TO NORMAL INSTANTLY.
---------------------------------------------------------------------------------------------
YOUR BITCOIN PAYMENT ADDRESS IS:
1 G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[COPY THE ADDRESS EXACTLY I CASE SENSITIVE]
[CONFIRM PAYMENT BELOW TO UNLOCK COMPUTER AND FILES]
IF YOU DO NOT HAVE BITCOINS VISIT WWW.LOCALBITCOINS.COM TO PURCHASE
---------------------------------------------------------------------------------------------
IF YOU HAVE MADE THE BITCOIN PAYMENT CLICK BELOW TO UNLOCK YOUR COMPUTER AND FILES
----------------------------------------------
I MADE PAYMENT
PLEASE VERIFY
AND UNLOCK MY COMPUTER
----------------------------------------------

Перевод на русский язык:
ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ
ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ 0,2 БИТКОИНА ЗА РАЗБЛОК ПК
-------------------------------------------------- ------------------------------------------
Ваши файлы перенесены в скрытый раздел и зашифрованы.
Необходимые программы в вашем ПК блокированы
И ваш компьютер будет работать неправильно.
- 0 -
Когда биткоин-платёж будет получен, ваш компьютер и
файлы будут возвращены в нормальное состояние.
-------------------------------------------------- ------------------------------------------
Ваш платежный биткоин-адрес:
1G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[Копируйте адрес без ошибок, он чувствителен к регистру]
[Подтвердите оплату ниже для разблокировки ПК и файлов]
Если нет биткоинов, посетите www.localbitcoins.com для приобретения
-------------------------------------------------- ------------------------------------------
Если вы перевели биткоины, кликните кнопку ниже для снятия блокировки ПК и файлов
--------------------------------------
Я сделал оплату
Пожалуйста, проверьте
И разблокируйте мой ПК
--------------------------------------

На самом деле CryptoFinancial не шифрует файлы, а просто удаляет их без возможности восстановления, даже если жертва заплатит выкуп.

  На скринлоке внизу имеется жёлтая кнопка для подтверждения платежа, но после нажатия на неё она преобразуется в красную с сообщением: "Ваш платеж не подтвержден" с угрозой удаления одного файла при каждой неподтвержденной оплате. Вымогатели действуют как террористы. 

  Это уведомление получают все жертвы в независимости от того заплатили они выкуп или просто попробовали нажать на кнопку. Имитация верификационного процесса как бы происходит, но это обман. На самом деле, никакой проверки не происходит, а все файлы уже были удалены ранее.

Технические детали

  Исполняемый файл, подписанный с использованием цифрового сертификата, выданного reca.net 6 июля 2016, копирует себя в %AppData% и использует планировщик заданий для создания запланированного задания, чтобы запускаться при каждом запуске системы. А также распаковывает и сохраняет исполняемый файл в %TEMP%. Запускается пакетный скрипт, который размножается и заполняет систему жертвы. Затем скрипт удаляет ряд важных системных файлов, в том числе, отвечающий за восстановление системы, службу теневого копирования. Также удаляет ключи реестра Windows, связанные с загрузкой в безопасном режиме, отключает диспетчер задач. Настраивает установку Keyboard Scancode Map. После этих действий скрипт инициирует принудительное выключение системы.

  После новой загрузки системы жертве показывается экран блокировки, а по истечении 60 секунд снова инициируется выключение системы специальной командой:
@echo off
C:\Windows\System32\shutdown.exe -s -t 60 -c "Shutting Down In 60 Seconds."

Файлы вымогателя:
%APPDATA%\winstrsp.exe
%TEMP%\winopen.exewinopen.exe  

Список файловых расширений, подвергающихся блокировке:
Вероятно все пользовательские файлы.

Описание составлено автором 8 июля 2016, дополнено информацией от Cisco Talos 12 июля 2016. 
Talos придумали свое название: Ranscam — от слов ransom (англ. выкуп) и scam (афера). 

Т.к. файлы всё же не шифруются, то CryptoFinancial (Ranscam) Ransomware я отношу к фейк-шифровальщикам. 

Степень распространенности: низкая.
Подробные сведения собираются. 


© Amigo-A (Andrew Ivanov): All blog articles.