суббота, 19 ноября 2016 г.

ShellLocker

ShellLocker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128/256, а затем требует выкуп в биткоинов, чтобы вернуть файлы. Название оригинальное. Фальш-имена: MicrosoftGenuineAdvantage, Microsoft Genuine Software Check. Написан на .NET Framework. 

© Генеалогия: Exotic > ShellLocker

К зашифрованным файлам добавляется расширение .L0cked
Названия файлов переименовываются на рэндомные. 
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана, который подгружает озображение image.jpg и ставит его обоями рабочего стола. 

Содержание текста о выкупе:
YOUR PC IS LOCKED BY THE SHELLLOCKER!
ALL YOUR PHOTOS, VIDEOS, MUSIC'S ARE ENCRYPTED, YOU HAVE
1VV111 HOURS TO PAY 100 USD IN BITCOINS TO THE ADDRESS
BELOW, AFTER 1VV111 HOURS ALL YOUR FILES WILL BE GONE!
WHEN YOU PAY THE MONEY IT WILL TAKE 30 MINUTES AND YOUR
FILES WILL BE BACK. TRY SOMETHING FUNNY AND YOUR FILES WILL BE GONE.
YOU CAN DELETE THE VIRUS BUT YOUR FILES ARE GONE TOO!
HAVE A NICE DAY

Ошибки:
1VV111  - так в тексте написана цифра 48 искаженными латинскими буквами. Вымогатель знал только две IV (4) и VIII (8), потому и решил, что 48 получается от сочетания IV и VIII. Причем записал их как 1VV111. Правильно число 48 должно быть написано так: XLVIII, где XL - это 40, а VIII - цифра 8. 

Перевод текста на русский язык:
Ваш компьютер заблокирован с помощью Shelllocker!
Все ваши фото, видео, музыку в зашифрованном виде, у вас есть 48 часов, чтобы заплатить 100 долларов в биткоинах по адресу ниже, через 48 часов все ваши файлы исчезнут!
Когда вы заплатите деньги, это займет 30 минут и ваши файлы будут обратно. Подумаете, что шутка и ваших файлов не будет.
Вы можете удалить вирус, но ваши файлы исчезнут тоже!
Хорошего дня

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
.001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .adf, .aep, .aepx, .aet, .aex, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFont, .config, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .dat, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .inx, .ion, .iso, .jar, .java, .jnt, .jnt, .jpeg, .jpg, .json, .k2p, .kdc, .key, .lib, .lng, .lnk, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .SFX, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (234 расширения). 

Как оказалось, даже собственный дикриптер вымогателей не может расшифровать зашифрованные файлы. Уплата выкупа бесполезна! 

Файлы, связанные с этим Ransomware:
image.jpg 
<random_name>.exe
ShellLocker.exe
Document.exe
Documents.cmd
MicrosoftGenuineAdvantage.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
C:\Windows\System32\MSCOREE.DLL.local
C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscoreei.dll
C:\Windows\Microsoft.NET\Framework\Upgrades.2.0.50727\mscoreei.dll
C:\Users\test\AppData\Local\Temp\ShellLocker.vir.config
C:\Users\test\AppData\Local\Temp\ShellLocker.vir
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorwks.dll

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\v2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\InstallRoot
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Upgrades
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\AppPatch
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\CLRLoadLogDir
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\OnlyUseLatestCLR
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Standards\v4.0.30319
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework\Policy\Upgrades
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Upgrades
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\NoGuiFromShim
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles

Сетевые подключения:
хттп://controll-the-world.comli.com (31.170.163.90:80) (США)
хттп://controll-the-world.comli.com/image.jpg 

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >> Ещё >> Ещё >>
Malwr анализ >>
Maldun анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.



Обновление от 3 июля 2017:
Пост в Твиттере >>
<< Скриншот записки о выкупе
Расширение: .L0cked
Email: 5quish@mail.ru




Целевые типы файлов:






 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ShellLocker)
 Write-up on BC
 Video review
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton