Winnix Cryptor

Winnix Cryptor Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). Сумма выкупа: 2-4 биткоина, чтобы вернуть файлы. Название дано вымогателями. Разработка: Winnix Cryptor Team. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение .wnx.

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. Ориентирован на англоязычных пользователей. В ноябре-декабре вредоносная кампания с Winnix Cryptor докатилась до России. 

Записки с требованием выкупа называются: YOUR FILES ARE ENCRYPTED!.txt

Содержание записки о выкупе:
Your files are encrypted!
Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key.
The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure.
In order to decrypt the files send your bitcoins to the following address:
13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by
After you complete your payment, send an email to 6214ssxpvo@sigaint.org with YOUR ID as subject (ID is in the end of the file) and you'll receive private key, needed software and step by step guide in 1 business day.
Offer is valid for 5 business days (expiration date is in the end of the file). AFTER TIME IS UP, PRICE DOUBLES.
No discounts, no other payment methods.
How to buy bitcoins?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Do not forget about the transaction commission in the Bitcoin network (= 0.0005).
Here are our recommendations:
LocalBitcoins.com – the fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com – the simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu – the best for Europe;
CEX.IO – Visa / MasterCard;
CoinMama.com – Visa / MasterCard;
HowToBuyBitcoins.info – discover quickly how to buy and sell bitcoins in your local currency.
More questions?
Send an email to 6214ssxpvo@sigaint.org
ID: ***
EXP DATE: Sept. 12 2016
--
Winnix Cryptor Team

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваши файлы безопасно зашифрованы на этом компьютере: фото, документы, базы данных и т.д. Шифрование произведено с использованием уникального открытого ключа, сгенерированного для этого компьютера. Для расшифровки файлов вам нужно получить секретный ключ.
Единственный способ, чтобы получить секретный ключ, надо заплатить 4 BTC. Вы сохранили его на квалифицированного системного администратора, который мог бы сделать вашу сеть безопасной и надежной.
Для того, чтобы расшифровать файлы отправьте биткоины по данному адресу:
13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by
После завершения оплаты, отправьте письмо на email 6214ssxpvo@sigaint.org со своим идентификатором как тема (ID находится в конце файла), и вы получите секретный ключ, необходимую программу и пошаговое руководство в течение 1 рабочего дня.
Предложение действует в течение 5 рабочих дней (дата окончания срока есть в конце этого файла). ПО ИСТЕЧЕНИИ ВРЕМЕНИ ЦЕНА УДВОИТСЯ.
Скидок и никаких других способов оплаты нет.
Как купить биткойны?
1. Создайте Bitcoin-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткоинов
Не забывайте о комиссии транзакции в Bitcoin-сети (= 0,0005).
Вот наши рекомендации:
LocalBitcoins.com - самый быстрый и простой способ купить и продать биткойны;
CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткойны;
BTCDirect.eu - лучший для Европы;
CEX.IO - Visa / MasterCard;
CoinMama.com - Visa / MasterCard;
HowToBuyBitcoins.info - быстро найти, как купить и продать биткойны в местной валюте.
Ещё есть вопросы?
Отправь по email 6214ssxpvo@sigaint.org
ID: ***
СРОК: 12 сентября 2016
--
Winnix Cryptor Team

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Не исключён взлом по протоколу удаленного рабочего стола (RDP), с помощью вредоносных плагинов для систем управления сайтов, имеющих скрытый функционал бэкдора, или с помощью загрузки файлов через специальные инструменты удалённого управления, RAT и ботнеты.

Активно работает с планировщиком заданий, производит зачистку своих действий и очищает логи Windows. После шифрования теневые копии файлов удаляются. 

Список файловых расширений, подвергающихся шифрованию:

.1cd, .7z, .avhd, .backup, .bak, .blb, .bls, .cdr, .cdx, .cer, .cf, .db6, .dbase, .dbf, .dbv, .djvu, .doc, .docx, .dt, .edb, .fdb, .gdb, .jpeg, .jpg, .key, .ldf, .lgf, .lgp, .mcx, .md, .mdb, .mdf, .mlg, .mrimg, .nx, .ora, .pdf, .pps, .ppsx, .ppt, .pptx, .psd, .pst, .rar, .sql, .tar, .tbl, .tib, .trn, .udb, .vhd, .vhdx, .vib, .xls, .xlsx, .zip (56 расширений). 
Это документы MS Office, PDF, 1С Бухгалтерия, базы данных, изображения, архивы, файлы образов и другие файлы.

Пропускаются файлы с расширениями: .exe, .dll, .lnk, .bat, .ini, .msi, .scf.

Файлы, связанные с Winnix Cryptor Ransomware:
YOUR FILES ARE ENCRYPTED!.txt
gpg.exe - утилита GnuPG
%WINDIR%\tracing\<Disk_letter>.bat - несколько файлов для каждого диска: C.bat, D.bat и пр.;
%WINDIR%\tracing\0system.bat - конфиг-файл шифровальщика;
%WINDIR%\tracing\addwin.bat - добавление заданий по шифрованию файлов;
%WINDIR%\tracing\delwin.bat - зачистка заданий по шифрованию файлов;
%WINDIR%\logs.cmd - ежечасная очистка логов Windows;
%WINDIR%\tracing\ClearAllWinEventLogs.cmd - дубль-очистка логов Windows;
%WINDIR%\tracing\winnix_pub.asc - публичный ключ, созданный на стороне вымогателей;
%WINDIR%\system32\config\systemprofile\Application Data\gnupg\secring.gpg - секретный ключ, на компьютере уничтожается (перезаписывается мусором), дубликат находится у вымогателей, без него дешифровка невозможна;
и другие файлы. 

Командный файл <Disk_letter>.bat импортирует публичный ключ в GnuPG и запускает процесс шифрования файлов на каждом диске. 

Задав каждому bat-файлу отдельный диск, злоумышленники защитили компоненты вредоноса, т.к. если работа одного из них по какой-то причине будет прервана, то другие продолжат шифрование на другом диске. 

Записи реестра, связанные с Winnix Cryptor Ransomware:
См. результаты анализов. 

Сетевые подключения:
См. результаты анализов. 

Результаты анализов:
Гибридный анализ >>   Ещё >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *

 Thanks: 
 Michael Gillespie
 al1963 (for tips by encryption)
 mike 1 (for addition by bat-files)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.