четверг, 17 ноября 2016 г.

Dharma

Dharma Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, использует ранее известное индийское слово и понятие. 


Dharma
Это изображение Дхарма не принадлежит шифровальщику

© Генеалогия: CrySiS > Dharma

К зашифрованным файлам добавляется расширение .dharma, но не напрямую, а по шаблону .[email_for_ransom].dharma
Оригинальное имя файла не изменяется. 

Примеры:
original_filename.[bitcoin143@india.com].dharma
original_filename.[worm01@india.com].dharma
original_filename.[pay4help@india.com].dharma

Известные на данный момент расширения по шаблону .[email_for_ransom].dharma
.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README.txt - текстовая записка 
README.jpg - скринлок на обои рабочего стола

Содержание записки о выкупе:
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com

Перевод записки на русский язык:
ВНИМАНИЕ!
На данный момент твоя система не защищена.
Мы можем это исправить и восстановить файлы.
Для восстановления системы напиши на этот адрес:
bitcoin143@india.com

Файлы, зашифрованные Dharma, содержат специальный маркер файлов WORM06

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений и компонентов легитимных программ, в том числе якобы от Microsoft, Adobe и пр., перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

После шифрования теневые копии файлов удаляются командой:
 vssadmin.exe vssadmin delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:
.acrodata, .au3, .bak, .bat, .bin, .bmp, .chm, .dat, .db, .def, .dic, .dll, .doc, .docx, .dot, .dotm, .dotx, .dtd, .e2x, .exe, .flt, .gif, .h, .hpp, .htm, .html, .htt, .hxh, .hxl, .hxn, .hxw, .ico, .idl, .ini, .ion, .jpg, .js, .json, .jsx, .lck, .lib, .lic, .lnk, .log, .mk, .msp, .pl, .pm, .png, .pod, .ppt, .pptx, .py, .pyc, .rar, .rdf, .rtf, .sam, .scf, .sfx, .sig, .sqlite, .sst, .tcc, .tmp, .txt, .wav, .wb2, .wma, .wmdb, .wpd, .wpg, .wpl, .xa, .xbn, .xls, .xlsx, .xml, .xss, .zip … (80 расширений) и другие. 
Документы, базы данных, PDF, фотографии, музыка, видео, архивыб общие сетевые папки и пр. Шифруются также файлы без расширений. 

Файлы, связанные с Dharma Ransomware:
<random_name>.exe
Skanda.exe
worm.exe
adobe.exe
README.txt
C:\DOCUME~1\User\LOCALS~1\Temp\worm.exe
C:\WINDOWS\System32\worm.exe
C:\Documents and Settings\User\Start Menu\Programs\Startup\worm.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\<random_name>.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Ripoff.Acm
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\qiblas.dll
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsa2.tmp\System.dll

Записи реестра, связанные с Dharma Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
Список emai, известных у Dharma Ransomware с расширением .wallet:
3048664056@qq.com
age_empires@aol.com
aligi@zakazaka.group
amagnus@india.com
amanda_sofost@india.com
braker@plague.life
breakdown@india.com
crann@india.com
crann@stopper.me
crannbest@foxmail.com
cryalex@india.com
Cryptime@india.com
crysis@indya.life
danger_rush@aol.com
dderek@india.com
dderek416@gmail.com
ded_pool@aol.com
denied@india.com
destroed_total@aol.com
diablo_diablo2@aol.com
donald_dak@aol.com
dropped@india.com
enterprise_lost@aol.com
fedor2@aol.com
fidel_romposo@aol.com
fire.show@aol.com
first_wolf@aol.com
flashprize@india.com
fly_goods@aol.com
gotham_mouse@aol.com
grand_car@aol.com
gutentag@india.com
HelpRobert@gmx.com
ice_snow@aol.com
info@kraken.cc
injury@india.com
interlock@india.com
joker_lucker@aol.com
kuprin@india.com
last_centurion@aol.com
lavandos@dr.com
legionfromheaven@india.com
m.reptile@aol.com
m.subzero@aol.com
makedonskiy@india.com
mandanos@foxmail.com
matacas@foxmail.com
mission_inposible@aol.com
mission_inpossible@aol.com
mk.baraka@aol.com
mk.cyrax@aol.com
mk.goro@aol.com
mk.jax@aol.com
mk.johnny@aol.com
mk.kabal@aol.com
mk.kitana@aol.com
mk.liukang@aol.com
mk.noobsaibot@aol.com
mk.raiden@aol.com
mk.rain@aol.com
mk.scorpion@aol.com
mk.sektor@aol.com
mk.sharik@aol.com
mk.smoke@aol.com
mk.sonyablade@aol.com
mk.stryker@aol.com
mkgoro@india.com
mkjohnny@india.com
MKKitana@india.com
Mkliukang@india.com
mknoobsaibot@india.com
mkscorpion@india.com
MKSmoke@india.com
mksubzero@india.com
moneymaker2@india.com
nicecrypt@india.com
nomascus@india.com
nort_dog@aol.com
nort_folk@aol.com
obamausa7@aol.com
p_pant@aol.com
reserve-mk.kabal@india.com
sammer_winter@aol.com
shamudin@india.com
sman@india.com
smartsupport@india.com
space_rangers@aol.com
spacelocker@post.com
ssama@india.com
stopper@india.com
supermagnet@india.com
support_files@india.com
tanksfast@aol.com
terrabyte8@india.com
total_zero@aol.com
versus@india.com
walmanager@qq.com
war_lost@aol.com
warlokold@aol.com
webmafia@asia.com
webmafia@india.com
xmen_xmen@aol.com
zaloha@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление из видео-обзора от GrujaRS

Скринлок, встающий обоями рабочего стола обзавелся индийским стилем. Первая фраза в особенности. 
Содержание текста с обоев:
hello my friend
ALL YOUR DATA IS ENCRYPTED
to get your data back and
protect your system, write:
worm01@india.com

Обновление от 28 ноября: Email: worm01@india.com
Расширение: .[worm01@india.com].dharma
Записка: HOW TO DECRYPT YOUR DATA.txt
Содержание записки: 
to decrypt the data write on mail worm01@india.com
Результаты анализов: HA+VT

Обновление от 28 ноября 2016:
Расширение: .dharma 
Полное расширение: .[tombit@india.com].dharma
Email: tombit@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:

Пост в Твиттере >>
Новое расширение: .[lavandos@dr.com].wallet
Email: lavandos@dr.com,  lavandos@india.com
Результаты анализов: VTVT
<= Изображение на обои
*




Обновление от 29 ноября 2016:
Новое расширение: .[amagnus@india.com].wallet
Email: amagnus@india.com
Результаты анализов: VT

Обновление от 29 ноября 2016:
Пост в Твиттере >>
Новое расширение: .[amagnus@india.com].zzzzz

Обновление от 5 декабря 2016:
Новое расширение: .[mkgoro@india.com].xtbl

Обновление от 13 декабря 2016:
Расширение: .wallet
Email: stopper@india.com
Результаты анализов: VT

Обновление от 18 декабря 2016:
Расширение: .wallet
Email: support_files@india.com
Результаты анализов: VT

Обновление от 26 декабря 2016:
Расширение: .wallet
Email: mksubzero@india.com
Результаты анализов: VT

Обновление от 28 декабря 2016:
Расширение: .[Mkliukang@india.com].wallet
Email: Mkliukang@india.com

Обновление от 29 декабря 2016:
Пост в Твиттере >>
Записка: Info.hta
Email: mkgoro@india.com
*
*
*





Обновление от 12 января 2017:
Расширение: .[supermagnet@india.com].wallet
Email: supermagnet@india.com

Обновление от 13 января 2017:
Расширение: .[webmafia@asia.com].wallet
Email: webmafia@asia.com
Результаты анализов: VT

Обновления февраля 2017:
Email: legionfromheaven@india.com
Расширение: .[legionfromheaven@india.com].wallet
Email: wisperado@india.com
Расширения: .[wisperado@india.com].viper1 и .[wisperado@india.com].viper2 
Email: mission_inposible@aol.com
Расширение: .[mission_inposible@aol.com].wallet 

Обновления от 9 марта 2017:
Email: mk.goro@aol.com
Расширение:.[mk.goro@aol.com].wallet

Обновления от 27 марта 2017:
Email: crannbest@foxmail.com
Расширение:.[crannbest@foxmail.com].wallet

Обновление от 7 апреля 2017:
Расширение: .[mk.kitana@aol.com].wallet
Email: mk.kitana@aol.com
Пример файла: Audit letter - XXXXX.doc.id.-XXXXX.[mk.kitana@aol.net]

Обновление от 14 апреля 2017:
Пост в Твиттере >>
Идентификация в ID Ransomware: Dharma (.onion)
Расширение: .onion
Шаблон: config.sys.id -66813FE4.[felix_dies@aol.com].onion

Обновление от 22 апреля 2017:
Расширение: .id-<id>.[mk.sektor@aol.com].wallet
Email: mk.sektor@aol.com
Результаты анализов: VT

Обновление от 4 мая 2017:
Файлы: mandanos.exe и Info.hta
Расположения: 
"%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta"
%WINDIR%\System32\mandanos.exe
C:\crysis\Release\PDB\payload.pdb
Email: mandanos@foxmail.com
Расширение: .[mandanos@foxmail.com].wallet
Примеры зашифрованных файлов:
<file_name>.id-C3B22A85.[mandanos@foxmail.com].wallet
6DF4C247EB188DBE3AA7FEFB8B83F5C21339C17F.id-C3B22A85.[mandanos@foxmail.com].wallet
Удаление теневых копий файлов: 
vssadmin delete shadows /all /quiet
Результаты анализов: HA+VT

Обновление от 14 августа 2017:
Пост в Твиттере >>
Расширение на конце заш-файлов: .cezar
Составное расширение: .[sindragosa@bigmir.net].cesar

Обновление от 23 августа 2017:
Пост в Твиттере >>
Расширение: bg.3pg.id-04C9470B.[sindragosa@bigmir.net].arena
Предыдущее расширение: .cezar
Записка: FILES ENCRYPTED.txt
Содержание:
all your data has been locked us
You want to return?
write email sindragosa@bigmir.net

Обновление от 25 августа 2017:
Исполняемый файлы типа: 
MSHTA.EXE-A970B441 
MSHTA.EXE-A732B422
Расширение заш-файлов: по шаблону .id-<id>.[email].arena, среди них известны: 
.id-<id>.[chivas@aolonline.top].arena
.id-<id>.[m.heisenberg@aol.com].arena
Записки: FILES ENCRYPTED.txt и info.hta
Содержание txt-записки см. выше (23 августа) с новым email
<< Содержание hta-записки
Email: chivas@aolonline.top
m.heisenberg@aol.com
Результаты анализов: HA+VT
Write-up on BC >>


Обновление от 12 сентября 2017:
Расширение: .[suppyes@cock.li].arena
Email: suppyes@cock.li

Обновление от 29 сентября 2017:
Шаблон расширения: .id-<id>.[email].cesar
Пример расширения: .id-48B2B43F.[chivas@aolonline.top].cesar
Email: chivas@aolonline.top


Обновление от 11 октября 2017:
Расширение: .id-AE16E5FE.[luckyman@cock.li].arena
Email: luckyman@cock.li и realluckyman@bigmir.net
Пример темы на форуме >>
Записка: FILES ENCRYPTED.txt
Содержание записки:
all your data has been locked us
You want to return?
write email luckyman@cock.li or realluckyman@bigmir.net

Обновление от 11 октября 2017:
Расширение: .id-<id>.[decrypt2010btc@cock.li].cesar
Email: decrypt2010btc@cock.li и bestbitforch@airmail.cc
Записка: FILES ENCRYPTED.txt
Содержание записки: 
all your data has been locked us
You want to return?
write email decrypt2010btc@cock.li or bestbitforch@airmail.cc

Обновление от 18 и 24 октября 2017:
Шаблон расширения: .id-<id>.[email].cesar
Примеры расширений: 
.id-84D098AE.[Gladius_adeptus@aol.com].cesar
.id-94BF6034.[Oleander_mortis@aol.com].cesar
Email: Gladius_adeptus@aol.com и Oleander_mortis@aol.com


Обновление от 30 октября 2017:
Пост в Твиттере >>
Расширение: .arena 
Составное расширение: .id-ECA2BBC2.[batmanbitka1@cock.li].arena
Email: batmanbitkal@cock.li и batmanbitkal@tutanota.com
Записка: FILES ENCRYPTED.txt
Видеообзор от GrujaRS >>


 


Обновление от 2 ноября 2017:Расширение: .arena 
Составное расширение: .id-49509AB8.[support@decrypt.ws].arena
Email: support@decrypt.ws
Тема на форуме >>
Домен decrypt.ws - это не публичная email-служба, как можно подумать. Этоn домен сейчас прикреплен к Hostland.ru, но зарегистрирован в Германии (телефонный код +49). Ранее домен decrypt.ws засветился всвязи с деятельностью криптовымогателя Paradise Ransomware

Обновления октября-ноября 2017:
Email: instertcoin@usa.com
emailme@italymail.com
horaceingram@mail.com

Обновление от 6 ноября 2017:
Расширение: .arena 
Составное расширение: .id-6889E5E1.[mikecoins@qq.com].arena
Email: mikecoins@qq.com и dd@airmail.cc
Сумма выкупа: 0.73 BTC
Результаты анализов: VT
Записка: FILES ENCRYPTED.txt
Содержание записки: 
all your data has been locked us
You want to return?
write email mikecoins@qq.com or dd@airmail.cc

Обновление от 7 ноября 2017:
Расширение: .id-<id>.[VanDamme@aolonline.top].arena

Обновление от 7 ноября 2017:
Пост в Твиттере >>
Подробная статья на BC >> (добавлена позже)
Расширение: .cobra
Составное расширение: .id-E229B4BF.[cranbery@colorendgrace.com].cobra
Шаблон составного расширения: .id-<id>.[email_ransom].cobra
Пример зашифрованного файла: Document Word.doc.id-E229B4BF.[cranbery@colorendgrace.com].cobra
Email: cranbery@colorendgrace.com
Записки: Files encrypted!!.txt и info.hta
Идентификация: ID под Dharma (.cezar)
Результаты анализов: VT
Скриншоты записок. 



Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются.

 Read to links: 
 Topic on DC, Video review
 ID Ransomware (ID as Dharma: .dharma, .wallet, .onion, .cezar)
 Write-up on BC, Write-up on BC (add. May 18, 2017)
 Thanks: 
 Michael Gillespie
 R0bert R0senb0rg
 Lawrence Abrams
 GrujaRS
 ...and others.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton