Locky-Osiris Ransomware
(шифровальщик-вымогатель, версия 2016 года)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2-3 BTC, чтобы вернуть файлы. Оригинальное название: Locky. По факту это новая итерация Locky. На файле может быть написано что угодно.
© Генеалогия: Locky > Locky-Osiris (версия 2016 года) > Locky-Osiris 2017
К зашифрованным файлам добавляется расширение .osiris
Зашифрованные файлы переименовываются по следующему шаблону:
фактически: [first_8_chars_of_id] - [next_4_chars_of_id] - [next_4_chars_of_id] - [8_hexadecimal_chars] - [12_hexadecimal_chars].osiris
кратко: [8_chars_ID] - [4_chars_ID] - [4_chars_ID] - [8_hex_chars] - [12_hex_chars].osiris
Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется:
DesktopOSIRIS.htm
DesktopOSIRIS.bmp
OSIRIS-<4_chars>.htm
OSIRIS-<4_chars>.bmp
Другим информатором выступает скринлок, встающий обоями рабочего стола.
Комбинации требований о выкупе (htm и bmp)
Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wiki pedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/A5ZQW54T4KN*****
4. Follow the instructions on the site.
!!! Your personal identification ID: A5ZQW54T4KN***** !!!
Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Более подробную информацию о RSA и AES можно найти здесь:
xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Дешифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которая находится на нашем секретном сервере.
Чтобы получить свой закрытый ключ, следуйте по одной из ссылок:
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный ID: A5ZQW54T4KN***** !!!
Другим информатором выступает Tor-сайт вымогателей, для входа на который требуется ввести ID.
Скриншот требований за "Locky Decryptor" с Tor-сайта
Содержание текста страницы на Tor-сайте:
Locky Decryptor™
We present a special software - Locky Decryptor™ -
which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™?
You can make a payment with BitCoins, there are many methods to get them.
You should register BitCoin wallet:
Simplest online wallet or Some other methods of creating wallet
Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
Here are our recommendations:
localbitcoins.com (WU) Buy Bitcoins with Western Union.
coincafe.com Recommended for fast, simple service.
Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
btcdirect.eu The best for Europe.
bitquick.co Buy Bitcoins instantly for cash.
howtobuybitcoins.info An international directory of bitcoin exchanges.
cashintocoins.com Bitcoin for cash.
coinjar.com CoinJar allows direct bitcoin purchases on their site.
anxpro.com
bittylicious.com
Send 3.00 BTC to Bitcoin address:
131xQfmfRhyNQdEYamPUC313FmPYroeRKL
Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
Date Amount BTC Transaction ID Confirmations
not found
Refresh the page and download decryptor.
When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.
Примечательно, что требования о выкупе мультиязычны (30 языков), но отсутствуют языки союзных республик бывшего СССР.
Список языков:
Български
Català
Čeština
Dansk
Deutsch
Ελληνικά
English
Español
Suomi
Français
हिन्दी
Hrvatski
Magyar
Italiano
日本語
한국어
Bahasa Melayu (بهاس ملايو)
Nederlands
Norsk bokmål
Polski
Português
Slovenčina
Српски
Svenska
Türkçe
中文
עברית
العَرَبِية
ไทย
Tiếng Việt
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (js и dll), обманных загрузок, эксплойтов (RigEK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Вложенный файл может иметь нетрадиционные расширения, например, вместо .dll или .js это может быть расширение .spe
После успешной загрузки вредоносный файл, например eftrPKltKvb.spe, активируется через rundll32.exe с помощью команды:
"C:\Windows\System32\rundll32.exe"
C:\Users\User.Name\AppData\Local\Temp\eftrPK~1.spe,0hGQpkMN34kl22tyKmdeTr
Rundll32.exe, запускающий установку Locky
После запуска Locky-Osiris начинает шифровать файлы, а затем отображает требования о выкупе с использованием браузера по умолчанию или Firefox.
В коде текущей версии есть небольшая ошибка, которая неправильно называет записки о выкупе (htm и bmp).
Теневые копии файлов удаляются, но иногда этот процесс работает некорректно, потому теневые копии могут оказаться целы.
Защита от запуска на виртуальных машинах работает с ошибками.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
DesktopOSIRIS.htm
DesktopOSIRIS.bmp
OSIRIS-<4_chars>.htm
OSIRIS-<4_chars>.bmp
<random>.exe
<random>.tmp
Invoice_Inv[random_numbers].xls
Item-Delivery-Details-00659753.doc.wsf
Item-Delivery-Details-00659753.doc.wsf.bin
Расположения:
\DesktopOSIRIS.bmp или OSIRIS.bmp
\DesktopOSIRIS.htm или OSIRIS.htm
C:\Users\User\AppData\Local\Temp\<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
babypbshop.ru/***
partnerbrasilia.com.br/***
www.6c.com.co/counter/***
otpugivatel.by/counter/***
med-lex.com/***
offie.nl/***
и другие
***g46mbrrzpfszonuk.onion
BTC: 131xQfmfRhyNQdEYamPUC313FmPYroeRKLСм. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >> Ещё >> Ещё >>
Другой анализ >>
Степень распространённости: высокая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter + Tweet + Tweet ID Ransomware (ID as Locky) Write-up, Write-up, Topic of Support *
Thanks: MalwareHunterTeam, R0bert R0senb0rg Lawrence Abrams Michael Gillespie *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.