CHIP Ransomware
ChipLocker Ransomware
ChipLocker Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-512, а затем требует плату за декриптер, чтобы вернуть файлы. Название от добавляемого расширения. Другие названия: ChipLocker, ChipCrypter.
© Генеалогия: CHIP > DALE > ATLAS
К зашифрованным файлам добавляется расширение .CHIP
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: CHIP_FILES.txt
Разбрасываются по папкам с зашифрованными файлами.
Содержание записки о выкупе:
YOUR ID:424ad***
Hello!
All Your files are encrypted!
For more specific instructions, please visit a support home page:
http://mm6x57ri2coivya6.onion
To see this page follow these steps:
1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - After a successful installation, run the browser
3 - Type in the address bar - http://mm6x57ri2coivya6.onion
4 - Follow the instructions on the site
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES!
Kind regards,
Support Team.
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***
Перевод записки на русский язык:
ВАШ ID:424ad***
Привет!
Все Ваши файлы зашифрованы!
Для подробных инструкций, посетите домащнюю страницу поддержки:
http://mm6x57ri2coivya6.onion
Чтобы увидеть эту страницу сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - После успешной установки запустить браузер
3 - Ввести в адресной строке - http://mm6x57ri2coivya6.onion
4 - Следуйте инструкциям на сайте
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить ваши файлы!
С наилучшими пожеланиями,
Группа поддержки.
ВАШ ID:424ad*** (повторяется 5 раз)
Инструкции на Tor-сайте:
Hello!
Your files are encrypted!
If You want to restore Your system, You need to use a contact form below.
Leave Your ID number (ID number is located in the "CHIP_FILES.TXT") and contact email.
Our appointment coordinators will contact you within 24 hours!
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES!
Перевод на русский язык:
Привет!
Ваши файлы зашифрованы!
Если Вы хотите восстановить систему, Вы должны использовать контактную форму ниже.
Оставьте свой ID номер (ID номер расположен в "CHIP_FILES.TXT") и контактный email.
Наши назначенные координаторы свяжутся с вами в течение 24 часов!
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить свои файлы!
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, в данном случае RIG-Empire, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Когда посетитель просматривает сайт, который был ранее взломан и скомпрометирован с помощью набора эксплойтов RIG-E (Empire), то скрипт будет пытаться использовать уязвимости в системе и установленных программах ПК. Если уязвимость будет найдена и проэксплуатирована, то RIG-E загрузит и установит пейлоад (payload), который в данном случае и является CHIP Ransomware. Эту цепь событий можно увидеть в изображении ниже (из статьи Брэда Данкена).
Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
.db, .doc, .docx, .jpg, .jpeg, .ppt, .pptx, .txt, .wb2, .wpd, .xls, .xlsx, .xml и пр.
Файлы, связанные с этим Ransomware:
rad46480.tmp.exe
CHIP_FILES.txt
C:\MSOCache\All Users\{90140000-0012-0000-0000-0000000FF1CE}-C\CHIP_FILES.txt
Записи реестра, связанные с этим Ransomware:
См. ниже гибридный, malwr и maldun-анализы.
Сетевые подключения:
checkip.dyndns.org (216.146.43.70:80) (США)
cavallinomotorsport.com (27.121.64.183) (Австралия)
imomfs.e89mfe.top (185.153.198.107:80)
mm6x57ri2coivya6.onion
109.236.82.8:80 (Нидерланды)
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Maldun анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Topic on BC + ID Ransomware (ID as CHIP) Malware-Traffic-Analysis Write-up on BC (add. October 19, 2016)
Thanks: mike 1 Michael Gillespie Brad Dunkan Lawrence Abrams CyberSecurity GrujaRS for Video review
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.