GoldenEye Ransomware
Petya-3 Ransomware
(шифровальщик-вымогатель)
Как удалить? Как расшифровать? Как вернуть данные?
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление.
См. также статьи УК РФ:
ст. 272 "Неправомерный доступ к компьютерной информации"
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Как удалить? Как расшифровать? Как вернуть данные?
Информация о шифровальщике
Этот крипто-вымогатель шифрует данные пользователей с помощью AES (в режиме CBC), а затем требует выкуп в размере ~1.33-1.34 биткоинов, чтобы вернуть файлы. Название оригинальное. Из результатов анализов видно, что есть ещё оригинальное название проекта: ZoomIt. Фактически это новая вариация крипто-вымогателя Petya+Mischa. Фальш-имена: ESET OnlineScanner, EOS_v2. Разработчик: Janus Cybercrime Solutions.
Обнаружения:
DrWeb -> Trojan.MBRlock.265
BitDefender -> Trojan.Ransom.BHE, Trojan.GenericKD.3826045
Malwarebytes -> Ransom.Petya
VBA32 -> Trojan.MBRlock
Symantec -> Ransom.Goldeneye
© Генеалогия: Petya > Petya+Misha > GoldenEye > ☠ PetrWrap, ☠ Petna (Petya NSA EE)
К зашифрованным файлам добавляется расширение .<random_8_chars>
Логотипы GoldenEye Ransomware
Этимология названия:
Название получил от советского космического оружия GoldenEye ("Золотой глаз"), которое фигурирует в одном из фильмов о Джеймсе Бонде ("GoldenEye", 1995).
Порядковое название данной версии: Petya-3 или Petya 3.0
Активность этого крипто-вымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Вредонос вызывает отказ системы и принудительную перезагрузку. После перезагрузки ПК появляется чёрный экран, где как будто отображается процесс проверки жесткого диска на ошибки (CHKDSK). На самом же деле GoldenEye просто шифрует файлы жертвы. Затем появляется экран, информирующий жертву о произошедшем.
Содержание текста с экрана:
You became victim of the GOLDENEYE RANSOMWARE!
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Enter your personal decryption code there:
ngWPic-*****-eKA9eh
If you already purchased your key, please enter it below.
Key: ___
Перевод на русский:
Вы стали жертвой GOLDENEYE RANSOMWARE!
Жёсткие диски вашего компьютера были зашифрованы с алгоритмом шифрования военного класса. Нет никакого способа, чтобы восстановить ваши данные без специального ключа. Вы можете приобрести этот ключ на странице даркнета, показанной на шаге 2.
Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:
1. Загрузите браузер Tor на "https://www.torproject.org/". Если вам нужна помощь, ищите в Google "access onion page".
2. Зайдите на одну из следующих страниц с Tor-браузером:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Введите ваш персональный код дешифрования там:
ngWPic-*****-eKA9eh
Если вы уже приобрели ключ, пожалуйста, введите его ниже.
Ключ: ___
 |
| Страницы сайта оплаты выкупа |
Кроме того, есть текстовые записки с требованием выкупа, они называются YOUR_FILES_ARE_ENCRYPTED.TXT и разбрасываются в документах, на рабочем столе и в других папках с зашифрованными файлами.
Содержание текстовой записки о выкупе:
You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Enter your personal decryption code there: *****
В других записках указаны адреса:
golden5a4eqranh7.onion/Elk4oLEp
goldeny4vs3nyoht.onion/Elk4oLEp
golden5a4eqranh7.onion/xe2r2oo4
goldeny4vs3nyoht.onion/xe2r2oo4
Перевод записки на русский язык:
Вы стали жертвой GOLDENEYE RANSOMWARE!
Файлы на компьютере были зашифрованы с помощью алгоритма шифрования военного класса. Нет способа восстановить ваши данные без специального ключа. Вы можете приобрести этот ключ на странице даркнета, показанной на шаге 2.
Чтобы приобрести ключ и восстановить данные, сделайте следующие три простых шага:
1. Загрузите браузер Tor с "https://www.torproject.org/". Если вам нужна помощь, ищите в Google "access onion page".
2. Зайдите на одну из следующих страниц с Tor-браузером:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Введите ваш персональный код дешифрования здесь: *****
Технические детали
➤ Письмо приходит якобы от rolf.drescher@, что на самом деле неправда. На момент написания статьи сообщалось о пострадавших в Германии и немецкоговорящих пользователях. Пример, см. ниже.
Если пользователь разрешит использование макроса, то сработает сценарий, вредонос будет сохранён в папку Temp и автоматически запущен на исполнение — начнётся процесс шифрования файлов.
➤ Для каждого зашифрованного файла GoldenEye добавляет случайное расширение, состоящее из 8 символов: .<random_8_chars>
➤ В перспективе GoldenEye может начать распространяться и с помощью эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. В том числе может поменять вложение на PDF-EXE-файл. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ Основное отличие GoldenEye от Mischa в том, что предшественник ставился после того, как не мог установиться Petya (MBR буткит), а сегодняшний GoldenEye сначала ставится сам, шифрует файлы, а уже потом пытается установить MBR-буткит для шифрования MFT (Master File Table) диска после перезагрузки ПК с помощью алгоритма Salsa20.
➤ Важное замечание! Вымогатель сделан так, что выкуп нужно уплатить не откладывая и не выключая ПК, иначе вступит в работу MBR-буткит и при перезагрузке или последующем включении ПК начнётся процесс шифрования MFT диска. Не факт, что вымогатель будет ждать, когда вы сделаете платёж, а не вызовет принудительную перезагрузку системы, чтобы причинить гарантированно больший ущерб системе и пользовательским данным. Нельзя доверять вымогателям!
Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .ddspspimage, .default, .der, .dfm, .dib, .directory, .disc, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .fff, .flv, .frm, .gfx, .gif, .gzip, .h, .htm, .html, .idl, .iiq, .indd, .inf, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpegB, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lit, .localstorage, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p12, .p7b, .p7c, .pagesN, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf$, .tga, .tiff, .toast, .ts, .txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip (236 расширений).
Это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.TXT
rad[5_chars].exe (например: radF1016.exe, radBA016.exe, radF3E9A.exe)
netdde.exe
dfrgui.exe
core.dll
elevate_x86.dll
elevate_x64.dll
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения:
goldenhjnqvc211d.onion/ngWPic5x
golden2uqpiqcs6j.onion/ngUPic5x
golden5a4eqranh7.onion/Elk4oLEp
goldeny4vs3nyoht.onion/Elk4oLEp
Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ на EXE>> Ещё >> Ещё >>
VirusTotal анализ на DLL >>
Malwr анализ >>
Malwr анализ >>
Symantec: Ransom.Goldeneye >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Petya Ransomware
Petya+Misha (Petya-2) Ransomware
GoldenEye (Petya-3) Ransomware
PetrWrap Ransomware
Petna (Petya NSA EE, Petna, NotPetya, NonPetya, Nyetya) Ransomware
Bitch (Modified Green Petya) Ransomware
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Образец от 29 мая 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .shRwny89
Записка: YOUR_FILES_ARE_ENCRYPTED.TXT
Tor URL:
hxxxp://golden5a4eqranh7.onion/shRwny89
hxxxp://goldeny4vs3nyoht.onion/shRwny89
Результаты анализов: VT + VT + AR
Обновление от 30 декабря 2019:
Пост в Твиттере >>Расширение: .qBriNoe7
Записка: YOUR_FILES_ARE_ENCRYPTED.TXT
Файл: p2phost.exe
Результаты анализов: VT + AR / VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.15079
BitDefender -> Gen:Variant.Ransom.GoldenEye.12
ESET-NOD32 -> Win32/Diskcoder.Petya.E
Malwarebytes -> Ransom.Petya
Symantec -> ML.Attribute.HighConfidence
---
➤ Образец похож на тот, что был представлен 29 мая 2019 (выше).
You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for
"access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://golden5a4eqranh7.onion/qBriNoe7
xxxx://goldeny4vs3nyoht.onion/qBriNoe7
3. Enter your personal decryption code there: qBriNoe7XQzydFkP9rKWjPBiXM52J7L9JgRi3H52y3nH7XV9yeq57LCFKypxUHuY*** [всего 96 знаков]
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as GoldenEye) Write-up + Write-up
Added later: Write-up on BC (add. on December 7, 2016) Write-up on Malwarebytes (add. on Dec. 15, 2016) Video review
Thanks: Fabian A. Scherschel + CERT-Bund Michael Gillespie, Andrew Ivanov hasherezade Catalin Cimpanu GrujaRS
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.