CryptoLuck Ransomware
(шифровальщик-вымогатель)
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .<hex_id>_luck
Этот шаблон можно записать так: file_name.[A-F 0-9]{8}_luck
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Пример зашифрованных файлов и записка о выкупе
Записки с требованием выкупа называются:
@WARNING_FILES_ARE_ENCRYPTED.<id>.txt, например,
@WARNING_FILES_ARE_ENCRYPTED.04FF8160.txt, или
@WARNING_FILES_ARE_ENCRYPTED.0054B131.txt
Содержание записки о выкупе:
ATTENTION !
YOUR PERSONAL FILES ARE ENCRYPTED!
PERSONAL ID: 04FF8160
Your important files encryption produced on this computer: photos, videos, documents, etc. Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
If you see this text but don't see Decryptor Wizard window - please, disable any Firewalls and antivirus products, and download Decryptor Wizard on this URL: hxxx://dropmefiles.com/304718
You have 72 hours for payment.
After this time the private key will be destroyed.
For more info and support, please, contact us at this email address:
YAFUNN@YAHOO.COM
Перевод записки на русский язык:
ВНИМАНИЕ!
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!
ПЕРСОНАЛЬНЫЙ ID: 04FF8160
Важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Шифрование произведено с использованием уникального открытого ключа RSA-2048 созданного для этого компьютера. Для расшифровки файлов вам нужно получить закрытый ключ.
Если вы видите этот текст, но не видите окно Decryptor Wizard - пожалуйста, отключите все брандмауэры и антивирусные продукты, и загрузите Decryptor Wizard с этого адреса hxxx://dropmefiles.com/304718
У вас есть 72 часа для оплаты.
После этого времени закрытый ключ будет уничтожен.
Для инфы и помощи, пожалуйста, напишите нам по этому email:
YAFUNN@YAHOO.COM
Есть другая версия записки о выкупе, где текст тот же, но вместо загрузки декриптора предлагается сразу перевести деньги на биткоин-кошелек. Почта: bortanofe@hotmail.com
Информатором жертвы, кроме текстовой записки о выкупе, выступают также скринлок, встающий обобями рабочего стола и блокировщик экрана, он же упомянутый в тексте Decryptor Wizard.
У разных жертв замечены разные email вымогателей:
YAFUNN@YAHOO.COM
FRAMOZES@YANDEX.RU
bortanofe@hotmail.com
Возможно, что есть и другие адреса.
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов (в данном случае с помощью набора эксплойтов RIG-E), фальшивых обновлений, перепакованных и заражённых инсталляторов.
ПК жертв заражается с помощью подписанного файла GoogleUpdate.exe.
См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
В систему вредонос устаналивается с помощью самораспаковывающегося архива (RAR SFX), в котором содержатся следующий файлы: crp.cfg, GoogleUpdate.exe, goopdate.dll. Файлы будут извлечены в директорию %AppData%\76ff, а файл GoogleUpdate.exe будет автоматически выполнен, согласно заданным в SFX-файле инструкциям, затем для работы он использует вредоносный файл goopdate.dll.
Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr,
.4db, .4dd, .7z, .7zip, .accdb, .accdt, .aep, .aes, .ai, .apk, .arch00, .arj, .arw,
.asset, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .cas,
.cdr, .cer, .cfr, .cr2, .crp, .crt, .crw, .csv, .d3dbsp, .das, .dazip, .db0, .dba,
.dbf, .dbx, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx,
.dwfx, .dwg, .dwk, .dxf, .dxg, .eml, .epk, .eps, .erf, .esm, .fdb, .ff, .flv, .forge,
.fos, .fpk, .fsh, .gdb, .gho, .gpg, .gxk, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs,
.idx, .ifx, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js,
.kdb, .kdbx, .kdc, .key, .kf, .ksd, .layout, .lbf, .litemod, .lrf, .ltx, .lvl,
.m2, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mpd,
.mpp, .mpqge, .mrwref, .msg, .myo, .nba, .nbf, .ncf, .nrw, .nsf, .ntl, .nv2, .odb,
.odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf,
.pef, .pem, .pfx, .pgp, .pkpass, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj,
.psd, .psk, .pst, .psw, .ptx, .py, .qba, .qbb, .qbo, .qbw, .qdf, .qfx, .qic, .qif,
.r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .saj,
.sav, .sb, .sdc, .sdf, .sid, .sidd, .sidn, .sie, .sis, .sko, .slm, .snx, .sql,
.sr2, .srf, .srw, .sum, .svg, .sxc, .syncdb, .t12, .t13, .tar, .tax, .tbl, .tib,
.tor, .txt, .upk, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet,
.wb2, .wdb, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx,
.xxx, .zip, .ztmp (237 расширений).
При шифрововании пропускаются файлы, расположенные в следующих директориях:
Windows, Program Files,Program Files (x86), ProgramData, AppData, Application Data, Temporary Internet Files, Temp, Games, nvidia, intel, $Recycle.Bin, Cookies
Файлы, связанные с этим Ransomware:
<random_name>.exe
%TEMP%\<random_name>.tmp
@WARNING_FILES_ARE_ENCRYPTED.<id>.txt
%AppData%\@WARNING_FILES_ARE_ENCRYPTED.0054B131.txt
%AppData%\@WARNING_FILES_ARE_ENCRYPTED.04FF8160.txt и пр.
%AppData%\info_[vicitm_id].info
%AppData%\76ff\
%AppData%\76ff\crp.cfg
%AppData%\Roaming\76ff\GoogleUpdate.exe
%AppData%\76ff\GoogleUpdate.exe
%AppData%\76ff\goopdate.dll
%APPDATA%\76ff\goopdate.bak
%AppData%\ <random_chars>_04FF8160.qr.png
info_04FF8160.info
Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate.exe %AppData%\76ff\GoogleUpdate.exe
HKCU\Software\sosad_[victim_id]
Сетевые подключения:
hxxx://two.investigatorhk.top
hxxx://pandares.top/two/index.php (162.144.180.55:80, США)
hxxx://dropmefiles.com/304718
hxxx://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUr***
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Tweet on Twitter Write-up on BC ID Ransomware (ID as CryptoLuck) *
Thanks: Jack (malwareforme) Lawrence Abrams Michael Gillespie *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.