Stampado Ransomware
(шифровальщик-вымогатель, RaaS)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Срок уплаты выкупа — 96 часов. Иначе каждые 6 часов будет удаляться по одному случайным образом выбранному зашифрованному файлу. Вымогатели предлагают для связи email-адрес, на него надо прислать 1 зашифрованный файл, который они могут расшифровать в качестве гарантии, а затем прислать пользователю инструкции по оплате.
Stampado написан на языке сценариев AutoIT и, по мнению специалистов, так коряво, что говорит о малоопытности разработчиков-вымогателей.
Этимология названия: от итальянского "stampa do" - "напечатать, сделать печать", а также "надавить". Последнее значение в вымогательстве ближе к истине.
Зашифрованные файлы получают расширение .locked.
Запиской о выкупе выступает экран блокировки "Your files have been encrypted by Stampado".
Запиской о выкупе выступает экран блокировки "Your files have been encrypted by Stampado".
Содержание на английском:
All your files have been encrypted.
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc) were encrypted The encryption was done using a secret key that is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
Note that every 6 hours, a random file is permanently deleted The faster you are. the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
What can I do?
Contact us by email telling your ID (below) and wait for us to send the instructions.
Contact us by teste@email.com
As a proof, you can send one encrypted file so we will send it back decrypted. Use it as a guarantee that we can decrypt your files.
--- Next Russian Rollette file deletion:
5 hours, 47 minutes and 59 seconds
--- Time until total loss:
3 days, 23 hours, 47 minutes and 59 seconds
Перевод на русский:
Все ваши файлы были зашифрованы.
Все ваши файлы были зашифрованы!
Все документы (базы данных, тексты, изображения, видео, музыка и пр.) зашифрованы. Это сделано с секретным ключом, хранимым на нашем сервере.
Для дешифровки файлов вам нужно купить у нас секретный ключ. Мы единственные на Земле, кто может это сделать.
Заметьте, каждые 6 часов будет удаляться 1 случайный файл. Торопитесь, чтобы не потерять их.
Через 96 часов ключ будет удален окончательно и восстановить файлы будет невозможно.
Что я могу сделать?
Напишите нам на email, указав свой ID (ниже) и ждите от нас инструкции.
Контакт по teste@email.com
На пробу пришлите 1 зашифрованный файл, мы вернем его дешифрованным. Это гарантия возможности дешифровки файлов.
--- Русская рулетка удалит файл через:
5 часов, 47 минут и 59 секунд
--- Время до полной потери:
3 дня, 23 часа, 47 минут и 59 секунд
Список файловых расширений, подвергающихся шифрованию: .001, .001, .3fr, .7z, .accdb, .ai, .aiml, .ani, .apk, .arch00, .arw, .asset, .au3, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .cas, .cdr, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbfv, .dcr, .der, .desc, .dmg, .dmp, .dng, .doc, .docx, .docm, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .hkdb, .hplg, .html, .hvpl, .ibank, .ico, .indd, .itl, .itdb, .icxs, .itm, .iwd, .iwi, .jpg, .jpeg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt .orf, .p12, .p7b, .p7c, .pak, .pas, .pc, .pdd, .psd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .ppt, .pptx, .pptm, .ppsx, .pps, .ps, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .hkx, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sidn, .sidd, .sie, .sis, .sid, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t13, .t12, .tax, .tor, .txt, .unity3d,.upk, .vdf, .vfs0, .vpk, .vpp, .vtf, .w3x, .wav, .wma, .wmv, .wb2, .wmo, .wotreplay, .wpd, .wps,.x3f, .xf, .xlk, .xlsb, .xlsm, .xls, .xlsx, .xml, .skp, .xxx, .zip, .ztmp (211 расширений).
Технические детали
Stampado распространяется главным образом в Дарквебе: продается всего за $39 (~2500 рублей). Благодаря такой относительно низкой среди киберкриминала цене (другие стоят от нескольких сотен до тысяч долларов, например, Locky продавался за $3000, а Goliath за $2100), приобрести его могут немало желающих стать вымогателем. Покупка обеспечивает пожизненную лицензию. Стартовая цена выкупа 1BTC, покупатель может её изменить. Низкая цена вымогателя говорит о малоопытности злоумышленников, которые только набирают очки. Источник информации.
Разработчики загрузили видеоролик для демонстрации возможностей по шифрованию и дешифрованию.
Вредонос использует расширения exe, bat, dll, scr, cmd. для доставки на ПК и установки в системе. По желанию можно также использовать биндеры, пакеры и криптеры, чтобы упростить или осложнить доставку. На момент данной публикации использование Stampado в мошеннических кампаниях ещё не было обнаружено.
Позже в записках о выкупе были замечены адреса вымогателей:
paytodecrypt@sigaint.org
ransom64@sigaint.org
clesline212@openmailbox.org
getfiles@tutanota.com
successl@qip.ru
Детект на один из файлов на VirusTotal >>
Описание в Symantec: Ransom.Stampado >>
Описание в энциклопедии TrendMicro >>
Файлы, связанные со Stampado Ransomware:
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\scvhost.exe
Записи реестра, связанные со Stampado Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update %UserProfile%\AppData\Roaming\scvhost.exe
Степень распространённости: средняя.
Подробные сведения собираются.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 9 сентября 2016:
Отдельный проект вымогателей.
Обновление от 19 сентября 2016 г.
- новая версия Stampado v1.18;
- улучшен алгоритм шифрования файлов;
- увеличено число целевых расширений файлов;
- была попытка защититься от декриптора Emsisoft;
- старые клиенты получат обновление бесплатно (ЛС с подробностями заказа);
- новые покупатели получат сразу обновленную версию Stampado Ransomware.
- новая версия Stampado v1.18;
- улучшен алгоритм шифрования файлов;
- увеличено число целевых расширений файлов;
- была попытка защититься от декриптора Emsisoft;
- старые клиенты получат обновление бесплатно (ЛС с подробностями заказа);
- новые покупатели получат сразу обновленную версию Stampado Ransomware.
С выходом этой версии разработчики Stampado обновили список расширений. В новой версии они добавили в список ещё больше целевых расширений, включив также те расширения, которые добавляют другие криптовымогатели к зашифрованным ими файлам. Среди них такие:
.aaa, .axx, .bin, .breaking_bad, .btc, .ccc, .cerber, .coverton, .crjoker, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .crypz, .ecc, .enciphered, .encrypt, .encrypted, .enigma, .exx, .ezz, .fun, .ha3, .lechiffre, .legion, .locky, .lol!, .magic, .micro, .odcodc, .payms, .r5a, .rdm, .rokku, .surprise, .wflx, .windows10, .xxx, .xyz, .zcrypt, .zepto, .zyklon, .zzz и другие.
.aaa, .axx, .bin, .breaking_bad, .btc, .ccc, .cerber, .coverton, .crjoker, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .crypz, .ecc, .enciphered, .encrypt, .encrypted, .enigma, .exx, .ezz, .fun, .ha3, .lechiffre, .legion, .locky, .lol!, .magic, .micro, .odcodc, .payms, .r5a, .rdm, .rokku, .surprise, .wflx, .windows10, .xxx, .xyz, .zcrypt, .zepto, .zyklon, .zzz и другие.
Всего более 70 расширений от других вымогателей, см. полный список на скриншоте ниже. Более того, чтобы нанести жертвам наибольший вред, в новый список расширений добавлены файлы бэкапов всех известных расширений программ резервного копирования.
Обновление от 28 декабря 2016:
Пост в Твиттере >>
Файлы: <random>.exe, AVG_Protection_Free_1606.exe, fulvklp.bat
Фальш-имя: AVG_5Years_Antivirus_Activated_2017
---
Внимание!!!
Для зашифрованных файлов есть 2 дешифровщика:
Скачать Emsisoft Decryptor для Stampado >>
Скачать Emsisoft Decryption Tool (Ransomware Recover) для Stampado >>
© Amigo-A (Andrew Ivanov): All blog articles.
Скачать Emsisoft Decryption Tool (Ransomware Recover) для Stampado >>
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.