среда, 24 августа 2016 г.

Domino

Domino Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью якобы AES-1024 (на самом деле AES-256), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. 

© Генеалогия: Hidden Tear >> Domino

Этимология названия: 
Название происходит от слова Domino, использованного в записке о выкупе. 

К зашифрованным файлам добавляется расширение .domino

Записки с требованием выкупа называются README_TO_RECURE_YOUR_FILES.txt и HelloWorld!

Записка README_TO_RECURE_YOUR_FILES.txt  размещается на рабочем столе, а HelloWorld извлекается из exe-файла. 





Содержание записки о выкупе:
Your file had been encrypted with AES 1024 bit key!!
How to decrypt your files:
1. Send me 1 bitcoin to: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA
2. After send bitcoin, send me your (computer name + user name + bitcoin address) to email 61f1e8055af3f6a672959e6b0493a2@gmail.com to get password!
3. Using your password to decrypt your files!
If you didn't do this, your password to decrypt your file will be destroy after 72 hour.
Winter Is Coming!
How to buy bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Domino.............)
***

Перевод записки на русский язык (оригинальный сленг сохранен):
Твой файл был зашифрован с AES 1024 бит ключ!!
Как дешифровать файлы:
1. Пришли мне 1 Bitcoin на: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA
2. После отправить Bitcoin, пришли мне твои (имя компьютера + имя пользователя + Bitcoin адрес) на email  61f1e8055af3f6a672959e6b0493a2@gmail.com, чтобы получить пароль!
3. Используй пароль для расшифровки файлов!
Если ты не сделал этого, твой пароль для дешифровки твой файл будет уничтожен через 72 часа.
Зима приближается!
Как купить Bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Домино.............)
/ В конце пририсована корова в ASCII /

Domino Ransomware распространяется с помощью программ для взлома, в частности как инсталлятор ПО KMSpico. Во время работы якобы мастера установки KMSpico на самом деле вредоносная программа в фоновом режиме выполняет шифрование всех файлов пользователя с помощью алгоритма AES. Разумеется, что установщик реального KMSpico был предварительно взломан и модифицирован, чтобы шифровать файлы пользователей. 


При выполнении KMSpico извлекается файл со случайным именем в папку %Temp%. Затем уже тот выполняется и извлекает защищённый паролем файл Help.zip. Пароль к архиву — abc123456. Архив содержит два файла: help.exe и HelloWorld.exe. Первый шифрует файлы и добавляет к ним расширение .domino, а HelloWorld показывает записку с требованием выкупа "HelloWorld!", в которой содержатся инструкции о выкупе и email для связи с вымогателями. 

Файлы шифруются на всех зарегистрированных в системе дисках, кроме диска A:\ и CD-Rom.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .c, .cas, .cdr, .cer, .cfm, .cfr, .class, .cpp, .cr2, .crt, .crw, .cs, .csr, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dba, .dbf, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .java, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lua, .lvl, .m, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py,  .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rss, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sh, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .swift, .syncdb, .t12, .t13, .tax, .tor, .txt, .unity3d, .upk, .vb, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xcodeproj, .xf, .xhtml, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (всего 220 расширений, без дублей в верхнем регистре и повторов, с которыми в два раза больше). 

Дэвы Domino продублировали все целевые расширения в верхнем регистре и даже некоторые (.cer, .css, .js, .py) написали четырежды. Такой ход призван нанести максимальный урон жертве и не пропустить даже те файлы, у которых расширения по какой-то причине написаны в верхнем регистре. 

Файлы, связанные с этим Ransomware:
KMSpico_setup.exe
31688EFBC3B9C99914A5BB7FB58AEC9E.exe
Help.zip
help.exe
HelloWorld.exe - это отдельный исполняемый файл, запускаемый после шифрования с запиской внутри;
README_TO_RECURE_YOUR_FILES.txt

Расположения:
%Temp%/KMSpico_setup.exe
%Temp%/31688EFBC3B9C99914A5BB7FB58AEC9E.exe
%Temp%/Help.zip
%Temp%/help.exe
%Temp%/HelloWorld.exe
README_TO_RECURE_YOUR_FILES.txt
%Temp%/ = C:\Users\User_Name\AppData\Local\Temp\

Примечательно, что в строчках кода есть текст на арабском языке.


Сетевые подключения и связи:
Email: 61f1e8055af3f6a672959e6b0493a2@gmail.com
BTC: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA

Результаты анализов:
VirusTotal анализ >>
См. образцы на сайте Nyxbone >>

Степень распространённости: низкая.
Подробные сведения собираются.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 января 2017:
Файл: bootcfg.exe
Фальш-имя: Microsoft® Windows® Operating System
Записка: README_TO_RECURE_YOUR_FILES.txt
Email: cstddetnkvcmknl@gmail.com
Сетевые подключения: 74.125.133.108:587
Результаты анализов: VT

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Для зашифрованных файлов есть декриптер. 
1) Ключ дешифрования можно получить с помощью HiddenTear Bruteforcer и зашифрованного PNG-файла.
2) Этим ключом дешифрования файлы могут быть дешифрованы с помощью HiddenTear Decrypter.
Если компьютер перезагружался после шифрования, то шансов на успешное получение ключа меньше. 
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Domino)
 Write-up, Topic of Support
 * 
 Thanks: 
 Daniel Gallagher, Lawrence Abrams
 Michael Gillespie, Mosh
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton