воскресенье, 7 августа 2016 г.

Hitler

Hitler Ransomware

(фейк-шифровальщик, шифровальщик-вымогатель)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 25 Евро с Vodafone Card, чтобы вернуть файлы обратно. 

  Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера с поднятой рукой, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 25-евровой Vodafone Card и нажать жёлтую кнопку "Decrypt" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и не слишком грамотный, раз допустил ошибку в названии Hitler-Ransonware (буква "n" вместо правильной "m").
Экран блокировки вымогателя

Изображение я размыл в фоторедакторе. Как выглядит оригинальный экран блокировки, см. здесь

Как было обнаружено, этот вымогатель всего лишь тестовый вариант. Его разработчик рассказал это в краткой фразе в пакетном файле. 

Шифрование файлов вообще не производится, а вместо этого удаляются расширения у всех файлов в следующих каталогах:
%userprofile%\Pictures
%userprofile%\Documents
%userprofile%\Downloads
%userprofile%\Music
%userprofile%\Videos
%userprofile%\Contacts
%userprofile%\Links
%userprofile%\Desktop
C:\Users\Public\Pictures\Sample Pictures
C:\Users\Public\Music\Sample Music
C:\Users\Public\Videos\Sample Videos

После этой операции вымогатель выставляет экран блокировки с текстом условий, ниже которого включается обратный отсчет времени. Через час он вырубает компьютер в синий BSOD-экран, который будет висеть, пока жертва не перезагрузит ПК. При перезагрузке Hitler-вымогатель удалит все файлы, находящиеся в директории пользователя %USERPROFILE%.

Подробности о файлах вымогателя:
Основным исполняемым файлом вымогателя является пакетный файл, который преобразуется в exe-файл в купе с другими файлами (chrst.exe, ErOne.vbs, firefox32.exe), у каждого из которых свои задачи.
Файл chrset.exe отображает экран блокировки с таймером, через час завершает системный процесс csrss.exe, что приводит к BSOD-у. После перезагрузки и входа в систему автоматически запускается файл firefox32.exe и удаляет все файлы в папке% USERPROFILE%. Файл ErOne.vbs выводит алерты типа "Файл не найден" после удаления расширений файлов и других своих операций, чтобы заставить жертву думать, что программа, которую он хочет запустить, просто некорректно работает.
VBS-алерт, как результат работы файла ErOne.vbs

BSOD, вызванный завершением процесса csrss.exe

Удаление файлов, произведенное файлом firefox32.exe

Файлы, связанные с Hitler Ransomware
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\firefox32.exe
%Temp%\[folder].tmp\
%Temp%\[folder].tmp\chrst.exe
%Temp%\[folder].tmp\ErOne.vbs
%Temp%\[folder].tmp\firefox32.exe
ExtraTools.bat
ExtraTools.exe
ErOne.vbs
ransomware_hitler.exe

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Symantec: Ransom.Hit >>

Т.к. файлы всё же не шифруются, то я отношу Hitler Ransomware к фейк-шифровальщикам. В новой версии шифрование уже может быть реализовано. 

Степень распространённости: низкая. 

Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 сентября 2016:
Название: CainXPii
Расширение .CainXPii
Шифрование: нет. 
См. статью CainXPii Ransomware 


Обновление от 28 января 2017:
Пост в Твиттере >>
Hitler Ransomware финальная версия
Расширение: .Nazi
Файлы: HitlerRansom.exe, YOUR-BILL.pdf.exe
Фальш-имя: Adobe Reader
Результаты анализов: HA+VT
<< Экран блокировки
Судя по некоторым местам экрана блокировки этого Ransomware, то и эта "финальная" версия еще далека до релизной версии. 



Обновление от 6 ноября 2017:
Пост в Твиттере >>
🎥 Видеообзор >>
Название: Adolf Hitler
Файл: Adolf Hitler.exe
Шифрование: есть
Расширение: .AdolfHitler
Сумма выкупа: 20€ в BTC
BTC: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
Страны: Китай, Гонконг.
Результаты анализов: HA+VT
Скриншоты (изображение на обоях и экран блокировки):
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Используется RDP для проникновения.  
Не знаю, является ли эта версия продолжением первой, представленной во главе статьи, но делать ещё одну статью с фотографиями Гитлера я бы не стал. 

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 JAMESWT‏ 
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton