El-Polocker

El-Polocker Ransomware

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные с помощью AES (для файлов) + RSA (для ключа шифрования), а затем требует выкуп в $450 AUD (австралийский доллар). Цели шифрования: документы, PDF, фотографии, музыка, видео, общие папки, общие сетевые ресурсы и пр. 

Зашифрованные файлы получают расширение .ha3. 

Название на скринлоке: Los Pollos Hermanos (исп. "Братья-цыплята"). Известен с начала 2015 г. Специалисты нашли в коде вредоноса румынский след, указывающий на румынское происхождение вредоноса. 

Происхождения названия:  
Los Pollos Hermanos — сеть фастфуд-ресторанов с жареной курицей, известная в Мексике и юго-западе США. По английски: "The Chicken Brothers". Основатели сети: Густаво "Gus" Фринг и Максимино "Max" Арчинега. В народе ассоциируется с мафией и отмыванием денег. По мотивам истории в США был снят сериал "Breaking Bad", сюжет которого главным образом раздут и надуман. 

Записки о выкупе называются: qwer.html, qwer2.html, locked.bmp. 

Содержание текста с экрана:
Your important files have been encrypted: photos, documents, videos, etc.
If you want to decrypt your files you must pay the fee of $450 AUD
Failure to pay within the specified time will mean you must pay $1000 AUD
For support related inquires contact:
theonewhoknocks6969@mailinator.com

Перевод на русский язык: 
Ваши важные файлы зашифрованы: фото, документы, видео и т.д.
Если хотите дешифровать файлы, вы должны заплатить $ 450 AUD
Не уплатив за указанное время будете должны заплатить $1000 AUD
Для помощи свяжитесь с нами:
theonewhoknocks6969@mailinator.com

Список файловых расширений, подвергающихся шифрованию: 
.ai, .crt, .csv, .db, .doc, .docm, .docx, .dotx, .gif, .jpg, .jpeg, .lnk, .mp3, .msi, .ods, .one, .ost, .p12, .pdf, .pem, .pps, .ppsx, .ppt, .pptx, .psd, .pst, .pub, .rar, .raw, .rtf, .tif, .txt, .vsdx, .wma, .xml, .xls, .xlsm, .xlsx, .zip

El-Polocker удаляет теневые копии файлов, отключает функции восстановление системы и автоматического исправления ошибок при загрузке системы. Шифрует каждый файл данных со своим собственным симметричным ключом AES-шифрования. Этот ключ шифруется с помощью ключа RSA, который загружается с сервера вымогателей, и сохраняется в seckeys.DONOTDELETE вместе с именем файла.

El-Polocker распространяется через поддельные штрафные уведомления DHL, содержащие ссылку на файл, размещенный на DropBox, который содержит файл VBS Penalty.vbs. Если этот файл запустить, то он загрузит и выполнит скрипт PowerShell, являющийся основным компонентом вымогателя El-Polocker. Скрипт PowerShell запустившись инжектирует Reflect.dll в Explorer.exe с помощью сценария из PowerSploit, а затем выполняет VoidFunc. Эта функция загружает t.dll для выполнения зачистки на компьютере: удаления теневых копий файлов, отключения в реестре восстановление системы и автоматического исправления ошибок при загрузке Windows. 

По окончании шифрования и всех зачисток на экран выводится сообщение о выкупе, которое содержит инструкции о том, как заплатить выкуп за дешифровку.

Файлы, связанные с Ransomware:
C:\1\locked.bmp - изображение, заменяющее обои рабочего стола;
C:\1\reflect.dll - DLL, инжектируемая в Explorer.exe
C:\1\t.dll - другая инжектируемая DLL для функции зачистки;
C:\ReflectiveLoaderTest\DllMain.txt.ha3 - лог инжекции, зашифрованный El-Polocker;
%Desktop%\customer.Id - биткоин-адрес для жертвы;
%Desktop%\encrypted.htm - список зашифрованных файлов;
%Desktop%\qwer.html - записка о выкупе №1;
%Desktop%\qwer2.html - записка о выкупе №2;
%Desktop%\seckeys.DONOTDELETE - ключи шифрования для каждого зашифрованного файла. 

Записи реестра, связанные с Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR 1
HKCU\Control Panel\Desktop\Wallpaper "C:\1\locked.bmp"

Подробные технические детали >>>
Статья от Symantec >>

Степень распространенности: средняя.
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.