четверг, 27 октября 2016 г.

Winnix Cryptor

Winnix Cryptor Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). Сумма выкупа: 2-4 биткоина, чтобы вернуть файлы. Название дано вымогателями. Разработка: Winnix Cryptor Team. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение .wnx.

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. Ориентирован на англоязычных пользователей. В ноябре-декабре вредоносная кампания с Winnix Cryptor докатилась до России. 

Записки с требованием выкупа называются: YOUR FILES ARE ENCRYPTED!.txt

Содержание записки о выкупе:
Your files are encrypted!
Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key.
The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure.
In order to decrypt the files send your bitcoins to the following address:
13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by
After you complete your payment, send an email to 6214ssxpvo@sigaint.org with YOUR ID as subject (ID is in the end of the file) and you'll receive private key, needed software and step by step guide in 1 business day.
Offer is valid for 5 business days (expiration date is in the end of the file). AFTER TIME IS UP, PRICE DOUBLES.
No discounts, no other payment methods.
How to buy bitcoins?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Do not forget about the transaction commission in the Bitcoin network (= 0.0005).
Here are our recommendations:
LocalBitcoins.com – the fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com – the simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu – the best for Europe;
CEX.IO – Visa / MasterCard;
CoinMama.com – Visa / MasterCard;
HowToBuyBitcoins.info – discover quickly how to buy and sell bitcoins in your local currency.
More questions?
Send an email to 6214ssxpvo@sigaint.org
ID: ***
EXP DATE: Sept. 12 2016
--
Winnix Cryptor Team

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваши файлы безопасно зашифрованы на этом компьютере: фото, документы, базы данных и т.д. Шифрование произведено с использованием уникального открытого ключа, сгенерированного для этого компьютера. Для расшифровки файлов вам нужно получить секретный ключ.
Единственный способ, чтобы получить секретный ключ, надо заплатить 4 BTC. Вы сохранили его на квалифицированного системного администратора, который мог бы сделать вашу сеть безопасной и надежной.
Для того, чтобы расшифровать файлы отправьте биткоины по данному адресу:
13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by
После завершения оплаты, отправьте письмо на email 6214ssxpvo@sigaint.org со своим идентификатором как тема (ID находится в конце файла), и вы получите секретный ключ, необходимую программу и пошаговое руководство в течение 1 рабочего дня.
Предложение действует в течение 5 рабочих дней (дата окончания срока есть в конце этого файла). ПО ИСТЕЧЕНИИ ВРЕМЕНИ ЦЕНА УДВОИТСЯ.
Скидок и никаких других способов оплаты нет.
Как купить биткойны?
1. Создайте Bitcoin-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткоинов
Не забывайте о комиссии транзакции в Bitcoin-сети (= 0,0005).
Вот наши рекомендации:
LocalBitcoins.com - самый быстрый и простой способ купить и продать биткойны;
CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткойны;
BTCDirect.eu - лучший для Европы;
CEX.IO - Visa / MasterCard;
CoinMama.com - Visa / MasterCard;
HowToBuyBitcoins.info - быстро найти, как купить и продать биткойны в местной валюте.
Ещё есть вопросы?
Отправь по email 6214ssxpvo@sigaint.org
ID: ***
СРОК: 12 сентября 2016
--
Winnix Cryptor Team

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Не исключён взлом по протоколу удаленного рабочего стола (RDP), с помощью вредоносных плагинов для систем управления сайтов, имеющих скрытый функционал бэкдора, или с помощью загрузки файлов через специальные инструменты удалённого управления, RAT и ботнеты.

Активно работает с планировщиком заданий, производит зачистку своих действий и очищает логи Windows. После шифрования теневые копии файлов удаляются. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .avhd, .backup, .bak, .blb, .bls, .cdr, .cdx, .cer, .cf, .db6, .dbase, .dbf, .dbv, .djvu, .doc, .docx, .dt, .edb, .fdb, .gdb, .jpeg, .jpg, .key, .ldf, .lgf, .lgp, .mcx, .md, .mdb, .mdf, .mlg, .mrimg, .nx, .ora, .pdf, .pps, .ppsx, .ppt, .pptx, .psd, .pst, .rar, .sql, .tar, .tbl, .tib, .trn, .udb, .vhd, .vhdx, .vib, .xls, .xlsx, .zip (56 расширений). 
Это документы MS Office, PDF, 1С Бухгалтерия, базы данных, изображения, архивы, файлы образов и другие файлы.

Пропускаются файлы с расширениями: .exe, .dll, .lnk, .bat, .ini, .msi, .scf.

Файлы, связанные с Winnix Cryptor Ransomware:
YOUR FILES ARE ENCRYPTED!.txt
gpg.exe - утилита GnuPG
%WINDIR%\tracing\<Disk_letter>.bat - несколько файлов для каждого диска: C.bat, D.bat и пр.;
%WINDIR%\tracing\0system.bat - конфиг-файл шифровальщика;
%WINDIR%\tracing\addwin.bat - добавление заданий по шифрованию файлов;
%WINDIR%\tracing\delwin.bat - зачистка заданий по шифрованию файлов;
%WINDIR%\logs.cmd - ежечасная очистка логов Windows;
%WINDIR%\tracing\ClearAllWinEventLogs.cmd - дубль-очистка логов Windows;
%WINDIR%\tracing\winnix_pub.asc - публичный ключ, созданный на стороне вымогателей;
%WINDIR%\system32\config\systemprofile\Application Data\gnupg\secring.gpg - секретный ключ, на компьютере уничтожается (перезаписывается мусором), дубликат находится у вымогателей, без него дешифровка невозможна;
и другие файлы. 

Командный файл <Disk_letter>.bat импортирует публичный ключ в GnuPG и запускает процесс шифрования файлов на каждом диске. 

Задав каждому bat-файлу отдельный диск, злоумышленники защитили компоненты вредоноса, т.к. если работа одного из них по какой-то причине будет прервана, то другие продолжат шифрование на другом диске. 

Записи реестра, связанные с Winnix Cryptor Ransomware:

См. результаты анализов. 

Сетевые подключения:
См. результаты анализов. 

Результаты анализов:
Гибридный анализ >>   Ещё >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Michael Gillespie
 al1963 (for tips by encryption)
 mike 1 (for addition by bat-files)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *