суббота, 19 ноября 2016 г.

ShellLocker

ShellLocker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128/256, а затем требует выкуп в биткоинов, чтобы вернуть файлы. Название оригинальное. Фальш-имена: MicrosoftGenuineAdvantage, Microsoft Genuine Software Check. Написан на .NET Framework. 

© Генеалогия: Exotic > ShellLocker

К зашифрованным файлам добавляется расширение .L0cked
Названия файлов переименовываются на рэндомные. 
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана, который подгружает озображение image.jpg и ставит его обоями рабочего стола. 

Содержание текста о выкупе:
YOUR PC IS LOCKED BY THE SHELLLOCKER!
ALL YOUR PHOTOS, VIDEOS, MUSIC'S ARE ENCRYPTED, YOU HAVE
1VV111 HOURS TO PAY 100 USD IN BITCOINS TO THE ADDRESS
BELOW, AFTER 1VV111 HOURS ALL YOUR FILES WILL BE GONE!
WHEN YOU PAY THE MONEY IT WILL TAKE 30 MINUTES AND YOUR
FILES WILL BE BACK. TRY SOMETHING FUNNY AND YOUR FILES WILL BE GONE.
YOU CAN DELETE THE VIRUS BUT YOUR FILES ARE GONE TOO!
HAVE A NICE DAY

Ошибки:
1VV111  - так в тексте написана цифра 48 искаженными латинскими буквами. Вымогатель знал только две IV (4) и VIII (8), потому и решил, что 48 получается от сочетания IV и VIII. Причем записал их как 1VV111. Правильно число 48 должно быть написано так: XLVIII, где XL - это 40, а VIII - цифра 8. 

Перевод текста на русский язык:
Ваш компьютер заблокирован с помощью Shelllocker!
Все ваши фото, видео, музыку в зашифрованном виде, у вас есть 48 часов, чтобы заплатить 100 долларов в биткоинах по адресу ниже, через 48 часов все ваши файлы исчезнут!
Когда вы заплатите деньги, это займет 30 минут и ваши файлы будут обратно. Подумаете, что шутка и ваших файлов не будет.
Вы можете удалить вирус, но ваши файлы исчезнут тоже!
Хорошего дня

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
.001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .adf, .aep, .aepx, .aet, .aex, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFont, .config, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .dat, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .inx, .ion, .iso, .jar, .java, .jnt, .jnt, .jpeg, .jpg, .json, .k2p, .kdc, .key, .lib, .lng, .lnk, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .SFX, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (234 расширения). 

Как оказалось, даже собственный дикриптер вымогателей не может расшифровать зашифрованные файлы. Уплата выкупа бесполезна! 

Файлы, связанные с этим Ransomware:
image.jpg 
<random_name>.exe
ShellLocker.exe
Document.exe
Documents.cmd
MicrosoftGenuineAdvantage.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
C:\Windows\System32\MSCOREE.DLL.local
C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscoreei.dll
C:\Windows\Microsoft.NET\Framework\Upgrades.2.0.50727\mscoreei.dll
C:\Users\test\AppData\Local\Temp\ShellLocker.vir.config
C:\Users\test\AppData\Local\Temp\ShellLocker.vir
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorwks.dll

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\v2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\InstallRoot
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Upgrades
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\AppPatch
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\CLRLoadLogDir
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\OnlyUseLatestCLR
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Standards\v4.0.30319
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework\Policy\Upgrades
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Upgrades
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\NoGuiFromShim
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles

Сетевые подключения:
хттп://controll-the-world.comli.com (31.170.163.90:80) (США)
хттп://controll-the-world.comli.com/image.jpg 

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >> Ещё >> Ещё >>
Malwr анализ >>
Maldun анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.



Обновление от 3 июля 2017:
Пост в Твиттере >>
<< Скриншот записки о выкупе
Расширение: .L0cked
Email: 5quish@mail.ru




Целевые типы файлов:






 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ShellLocker)
 Write-up on BC
 Video review
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton