пятница, 21 октября 2016 г.

ASN1 Encoder

ASN1 Encoder Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,25-0,5 биткоинов, чтобы вернуть файлы. Название получил из-за использования ASN1-ключа. Оригинальное название: segui.

© Генеалогия: неизвестна

К зашифрованным файлам расширение не добавляется.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на итальянских пользователей.

Записки с требованием выкупа называются: !!!!!readme!!!!!.htm

Содержание записки о выкупе на итальянском:
Tutti i file sono stati cifrati!
1. Scaricare e installare Tor Browser (consigliata) o utilizzare il browser standard.
2. Seguire il link che stato generato per voi.
3. Nella pagina successiva si vedr un portafoglio Bitcoin a pagare, dopo si paga, si otterr la chiave per decifrare i file.
4. Evidenziare (CTRL + A) e copia (CTRL + C) la chiave nella clipboard, decodifica inizier.
5. Per favore, non aprire i file durante la decrittografia - ha aperto i file non possono essere decifrati.
http://dxostywsduvmn6ra.onion/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000
http://dxostywsduvmn6ra.onion.cab/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000

Перевод записки на русский язык:
Все файлы зашифрованы!
1. Скачайте и установите Tor Browser (рекомендуется) или используйте стандартный браузер.
2. Перейдите по ссылке, которая была создана для вас.
3. На следующей странице вы увидите Bitcoin-кошелек, чтобы заплатить, после оплаты вы получите ключ для расшифровки файлов.
4. Выделите (CTRL + A) и скопируйте (CTRL + C) ключ в буфер обмена чтобы начать декодирование.
5. Пожалуйста, не открывайте файлы при расшифровке - открытые файлы не будут расшифрованы. 
хттп://dxostywsduvmn6ra.onion/if.php***
хттп://dxostywsduvmn6ra.onion.cab/if.php***

По ссылкам открывается onion-сайт со следующим содержанием.
Сначала сумма выкупа была 0,25, а сейчас уже 0,5. В скобках по-прежнему стоит 0. Это говорит о том, что пострадавшая сторона не заплатила выкуп, и он удвоился. 

Содержание текста с сайта:
Your files were encrypted!
0.5(0) BTC -> 1ATXMvsbKRrGpNFbKrJAQXgT8XEbaHjSAi (0:21:31:28)
For getting decryption key you must to pay amount, written above, to bitcoin address, written above. Amount in brackets indicates already paid amount. For buy bitcoin online, google it now. This page will refreshed every 120 seconds. If you already paid, please, wait for page refreshing.
If sofware was deleted, download it now. Absense of payment during next five days will double amount.
Chat with support now

Красным цветом выделены слова с ошибками. 

Перевод на русский язык:
Ваши файлы зашифрованы!
Для получения ключа дешифрования вы должны заплатить сумму, написанную выше, на Bitcoin-адрес, написанный выше. Сумма в скобках указывает на уже оплаченную сумму. Чтобы купить Bitcoin в Интернете, гугли сейчас. Эта страница будет обновляться каждые 120 секунд. Если вы уже оплатили, пожалуйста, подождите обновления страницы.
Если программа была удалена, скачайте её снова. Без оплаты в течение следующих пяти дней сумма удвоится.
Чат с поддержкой

Ещё текст записки:
YOUR FILES WERE ENCRYPTED!
1. Download and install TOR browser (recommended) or use your standard browser.
2. Follow the link that was generated for you.
3. On the next page you will see a Bitcoin wallet to pay, after you pay, you will get the key for decrypting your files.
4. Highlight (CTRL + A) and copy (CTRL + C) the key in clipboard, decoding will start.
5. Please, do not open files during decryption - opened files can not be decrypted

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, эксплойта RIG.

После шифрования удаляются теневые копии файлов командой:
vssadmin.exe delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:
В первую очередь файлы документов, изображений и прочие. 

Файлы, связанные с ASN1 Encoder Ransomware:
<random_name>.exe - вредоносное вложение;
!!!!!readme!!!!!.htm - записка о выкупе;
segui.exe - декриптор от вымогателей. 
%APPDATA%\db05dbac.exe
%TEMP%\nskE285.tmp\System.dll
%TEMP%\stockhorns.dll
и другие. 

Записи реестра, связанные с ASN1 Encoder Ransomware:
См. ниже результата анализов. 

Сетевые подключения:
хттп://nsis.sf.net/NSIS_Error
www.torproject.org/download/download.html
dxostywsduvmn6ra.onion

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 25 ноября 2016:
Пост в Твиттере
Записка: !!!!!readme!!!!!.htm 
Результаты анализов: VT

Обновление от 25 ноября 2016:
Файлы: !!!!!readme!!!!!.htm  Readme.txt
%APPDATA%\43eea007.exe  <random>.exe
43eea007.exe.dat  <random>.exe.bat
Результаты анализов: VT, HA
Блокировщик экрана: 



Обновление от 2 марта 2017:
Пост в Твиттере >>
Записка: !!!!!readme!!!!!.htm
Сумма выкупа: 0.5 BTC
Расширения: нет
Распространение: эксплойт RIG




Обновление от 18 июля 2017:

Пост в Твиттере >>
Записка: !!!!!readme!!!!!.htm
Результаты анализов: VT
<< Скриншот записки







 Read to links: 
 Topic on BC
 ID Ramsomware
 *
 Thanks: 
 Michael Gillespie
 Malware Breakdown
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *