Если вы не видите здесь изображений, то используйте VPN.

вторник, 2 августа 2016 г.

VenusLocker

VenusLocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в $100 в биткоинах (0,15 биткоина), чтобы вернуть файлы обратно. Есть случаи, когда сумма выкупа гораздо больше - $500. На уплату выкупа даётся только 72 часа. К зашифрованным файлам добавляется расширение .Venusf или 
.Venusp. Другие названия: Enciphered, Crypmod. Написан на .NET Framework.

© Генеалогия: EDA2 >> VenusLocker

    VenusLocker > TrumpLocker 
    VenusLocker > LLTP Locker 

Записка с требованием выкупа называется: ReadMe.txt


К ней добавляется экран блокировки VenusLocker и изображение bg.jpg в стиле Anonymous, встающее обоями рабочего стола.



Содержание записки о выкупе:
--- Venus Locker ---
Unfortunately, you are hacked.
1. What happened to my files?
Your personal files, including your photos, documents, videos and other important files on this computer, have been encrypted with RSA-4096, a strong encryption algorithm. RSA algorithm generates a public key and a private key for your computer. The public key was used to encrypt your files a moment ago. The private key is necessary for you to decrypt and recover your files. Now, your private key is stored on our secret Internet server. And there is no doubt that no one can recover your files without your private key.
For further information about RSA algorithm, please refer to https://en.wikipedia.org/wiki/RSA_(cryptosystem)

2. How to decrypt my files?
To decrypt and recover your files, you have to pay 100 US Dollars for the private key and decryption service. Please note that you have ONLY 72 HOURS to complete your payment. If your peyment do not be completed within time limit, your private key will be deleted automatically by our server. All your files will be permanently encrypted and nobody can recover them. Therefore, it is advised that you'd better not waste your time, because there is no other way to recover your files except making a payment.
3. How to pay for my private key?
There are three steps to make a payment and recover your files:
1). For the security of transactions, all the payments must be completed via Bitcoin network. Thus, you need to exchange 100 US dollars (or equivalent local currencies) to Bitcoins, and then send these Bitcoins (about 0.15 BTC) to the following address. 1Dj9YnMiciNgaKuyzKynygu7nB21tvV6QD
2). Send your personal ID to our official email: VenusLocker@mail2tor.com
Your personal ID is cc673bcfcf644d2c1a88893cb0ff8fa7
3). You will receive a decryptor and your private key to recover all your files within one working day.
4. What is Bitcoin?
Bitcoin is an innovative payment network and a new kind of money. It is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or a smartphone withour an intermediate financial institution.
5. How to make a payment with Bitcoin?
You can make a payment with Bitcoin based on Bitcoin Wallet or Based on Perfect Money. You can choose the way that is more convenient for you.
About Based on Bitcoin Wallet
1) Create a Bitcoin Wallet. We recommend Blockchain.info (https://blockchain.info/)
2) Buy necessary amount of Bitcoins. Our recommendations are as follows.
LocalBitcoins.com -- the fastest and easiest way to buy and sell Bitcoins.
CoinCafe.com -- the simplest and fastest way to buy, sell and use Bitcoins.
BTCDirect.eu -- the best for Europe.
CEX.IO -- Visa / MasterCard
CoinMama.com -- Visa / MasterCard
HowToBuyBitcoins.info -- discover quickly how to buy and sell Bitcoins in your local currency.
3) As mentioned above, send about 0.15 BTC (equivalent to 100 USD) to our Bitcoin receiving address.
4) As mentioned above, and then, send us your personal ID via email, you will receive your private key soon.
About Based on Perfect Money
1) Create a Perfect Money account. (https://perfectmoney.is)
2) Visit to PMBitcoin.com. (https://pmbitcoin.com/btc) 
input our Bitcoin receiving address in the "Bitcoin Wallet" textbox. 
input 100 in the "Amount" textbox, the amount of Bitcoin will be calculated automatically.
click "PAY" button, then you can complete you payment with your Perfect Money account and local debit card.
6. If you have any problem, please feel free to contact us via official email.
Best Regards
VenusLocker Team


Перевод записки на русский язык:

--- Venus Locker ---
К сожалению, вы взломаны.
1. Что случилось с моими файлами?
Ваши личные файлы, включая ваши фото, документы, видео и другие важные файлы на этом компьютере, были зашифрованы с RSA-4096, сильным алгоритмом шифрования. Алгоритм RSA генерирует открытый и закрытый ключи для вашего компьютера. Открытый ключ был использован для шифрования файлов минуту назад. Секретный ключ необходим вам, чтобы расшифровать и восстановить файлы. Ваш закрытый ключ хранится на нашем секретном интернет-сервере. И без сомнения никто не сможет восстановить ваши файлы без этого ключа.
Для получения дополнительной информации об алгоритме RSA, пожалуйста, читайте https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. Как расшифровать мои файлы?
Для расшифровки и восстановления файлов вы должны заплатить $100 США за секретный ключ и дешифровку. Заметьте, у вас только 72 часа проведение оплаты. Если оплата не будет сделана за это время, то ваш личный ключ будет автоматически удалён с нашего сервера. Все ваши файлы будут постоянно шифроваться и никто не сможет их восстановить. Поэтому вам лучше не тратить свое время, так как нет никакого другого пути, чтобы восстановить ваши файлы, кроме оплаты выкупа. 
3. Как оплатить мой личный ключ?
Есть три шага для оплаты и восстановления файлов:
1). Для обеспечения безопасности сделок все платежи должны быть сделаны через сеть Bitcoin. Поэтому вам нужно обменять $100 США (или эквивалент местной валюты) на биткоины, а затем отправить эти Bitcoins (около 0,15 BTC) по следующему адресу.
1Dj9YnMiciNgaKuyzKynygu7nB21tvV6QD
2). Прислать ваш персональный ID на наш официальный email-адрес: VenusLocker@mail2tor.com
Ваш персональный ID cc673bcfcf644d2c1a88893cb0ff8fa7
3). Вы получите дешифратор и закрытый ключ для восстановления всех файлов за один рабочий день.
4. Что такое Bitcoin?
***опускаем описание***
5. Как сделать платеж с помощью Bitcoin?
***опускаем описание***
Об основе Bitcoin-кошелька
***опускаем описание*** Как создать, купить, перевести биткоины...
Об основе Perfect Money
***опускаем описание*** Как создать аккаунт, платить в биткоинах...
6. Если у вас возникли проблемы, пожалуйста, не стесняйтесь связаться с нами по официальной email.
С наилучшими пожеланиями
VenusLocker Team


Email вымогателей: 
VenusLocker@mail2tor.com
crazyman@keemail.me

Распространяется с помощью email-спама и вредоносных вложений, загрузок инфицированных файлов. 


Противодействует отладчикам и дампингу памяти, чтобы осложнить исследователям сбор информации о своей вредоносной активности.

Список типов файлов, подвергающихся шифрованию c добавлением расширения 
.Venusf:
.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .aes, .ai, .aif, .apk, .app, .arc, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .bmp, .brd, .bz2, .c, .cer, .cfg, .cfm, .cgi, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .css, .csv, .cue, .dat, .db, .dbf, .dch, .dcu, .dds, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dtd, .dwg, .dxf, .eml, .eps, .fdb, .fla, .flv, .frm, .gadget, .gbk, .gbr, .ged, .gif, .gpg, .gpx, .gz, .h, .htm, .html, .hwp, .ibd, .ibooks, .iff, .indd, .jar, .java, .jks, .jpg, .js, .jsp, .key, .kml, .kmz, .lay, .lay6, .ldf, .lua, .m, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mfd, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpa, .mpg, .ms11, .msi, .myd, .myi, .nef, .note, .obj, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pct, .pdb, .pdf, .pem, .php, .pif, .pl, .plugin, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .priv, .privat, .ps, .psd, .pspimage, .py, .qcow2, .ra, .rar, .raw, .rm, .rss, .rtf, .sch, .sdf, .sh, .sitx, .sldx, .slk, .sln, .sql, .sqlite, .sqlite, .srt, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlb, .tmp, .txt, .uop, .uot, .vb, .vbs, .vcf, .vcxpro, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .wpd, .wps, .wsf, .xcodeproj, .xhtml, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .yuv, .zip, .zipx (228 расширений).

Список типов файлов, подвергающихся шифрованию c добавлением расширения .Venusp:
 .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .aaf, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aep, .aepx, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .class, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .csv, .ctt, .cty, .cwf, .dal, .dap, .dat, .db, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .eat, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .game, .gif, .grf, .grle, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idml, .idx, .img, .indb, .indd, .indl, .indt, .ini, .ink, .inx, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plb, .plc, .pli, .pm, .pmd, .png, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prproj, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sldm, .sldx, .slot, .slt, .snp, .so, .spr, .spv, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sv5, .svg, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls,  .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xpt, .xqx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (510 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр. Но странно, что расширения дублируются. 

Шифровальщик пропускает директории: 
Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

Файлы, связанные с Ransomware:

C:\Users\User_name\U2FsdGVkX1DKeR.vluni
C:\Users\User_name\bg.jpg
C:\Users\User_name\Desktop\ReadMe.txt
VenusLocker.exe
code2.exe
_.doc.exe
물품스펙.doc
<random>.exe
<random>.tmp
<random>.doc.exe
<random>.exe.tmp

Примечательно, что шифровальщик использует файл U2FsdGVKX1DKeR.vluni как показатель того, что система уже заражена. Потому, если заранее положить такой файл в нужное место, то шифрование не состоится или будет прервано в самом начале.  

Сетевые подключения и связи:
xxxxs://158.255.5.153/create.php
xxxx://i.imgur.com/Jk67LrS.jpg
xxxx://ip-api.com/csv?fields=country (81.4.121.206:80) (Нидерланды)
xxxx://www.download.windowsupdate.com (13.107.4.50:80)
xxxxs://www.digicert.com/ssl-cps-repository.htm
xxxx://crl3.digicert.com
xxxx://cacerts.digicert.com
xxxx://ocsp.digicert.com
158.255.5.153:443 (Россия)
и другие, см. гибридный анализ. 

Подробный анализ и обзор от MalwareBytes >>>

Результаты анализов:

Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: средняя

VenusLocker больше не распространяется.
Подробные сведения собраны и указаны ниже.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 февраля 2017:
Email: crazyman@keemail.me
URL: ***185.106.122.2/keysave.php - C2
Результаты анализов: HA+VT



Обновление от 21 декабря 2017:
Криминальная группа переключилась на майнинг криптовалюты Monero (Monero Mining). Подробнее >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review by GrujaRS CyberSecurity
 <- 21 августа 2016
 <-23 декабря 2016
 Thanks: 
 Michael Gillespie
 MalwareBytes
 Mosh on Nyxbone
 GrujaRS CyberSecurity



© Amigo-A (Andrew Ivanov): All blog articles. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *