RanRan, ZXZ

ZXZ Ransomware

RanRan Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RC4, а затем требует выполнить необычные действия, чтобы вернуть файлы. Название дано по расширению и записке. Второе дали исследователи из Palo Alto. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .zXz

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Саудовской Аравии. 

Записки с требованием выкупа называются: zXz.html

Содержание записки о выкупе:
!!! Congratulations!!!
Welcome to my Ransomware!
Cannot you find the files youneed?
is the content of the files that you have watched not readable?
I want to play a game with you.Let me explain the rules:
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret internet server and nobody can decrypt your files until you pay and obtain the private key.
But, don't worry !
it is normal because the files names, as well as the data in your files have been encrypted.
Do not: power off computer, run antivirus program, disable internet connection. Failures during key recovery and file decryption may lead to accidental damage on files.
In order to have relationship with us, and pay the ransom;must go the following steps.
1. Launch a subdomain named
***REDACTED***
2. Make a txt file named:
Ransomware.txt including:
Hacked!
"Your email address"
We will text you ASAP.

Перевод записки на русский язык:
!!! Поздравления!!!
Добро пожаловать в мой Ransomware!
Вы не можете найти файлы, которые используете?
Содержимое файлов, которые вы смотрели не читается?
Я хочу сыграть в игру с вами. Позвольте мне объяснить правила:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с использованием самого мощного шифрования и уникального ключа, созданного для этого компьютера.
Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы до тех пор, пока вы не заплатите и не получите секретный ключ.
Но, не волнуйтесь!
Это нормально, потому что имена файлов, а также данные в ваших файлах были зашифрованы.
Не делайте этого: выключить компьютер, запустить антивирусную программу, отключить интернет-соединение. Неудачи при восстановлении ключей и расшифровка файлов могут привести к случайному повреждению файлов.
Чтобы иметь с нами отношения и заплатить выкуп, мы должны выполнить следующие шаги.
1. Создайте поддомен с именем
*** УДАЛЕНО ***
2. Создайте txt-файл с именем:
Ransomware.txt включая:
Hacked!
"Ваш email-адрес"
Мы отправим вам текст как можно быстро.

В отличие от многих других известных и популярных вымогателей, RanRan не просит прямого платежа. Вместо этого потерпевший должен создать поддомен на своем сайте, где разместить файл Ransomware.txt. Размещенный файл должен включать в себя слово "Hacked" и email-адрес. В нём нужно написать политическое заявление против лидера одной из стран Среднего Востока. Мишенью в этих атаках является Салман ибн Абдул-Азиз Аль Сауд, король Саудовской Аравии. 

После шифрования тексты открываются, но имеют нечитаемый вид в неизвестной кодировке. Примечательно, что оригиналы некоторых файлов не удаляются. Подробнее в статье от Palo Alto. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Возможен целенаправленный взлом с использованием программ для удаленного доступа. 

Отслеживает появление в процессах диспетчера задач Windows и завершает его работу. Также завершает работу следующих процессов и служб:
MSSQLSERVER
SQLWriter
MSSQL$CONTOSO1
SQLServerAgent
MSSQL$SQLEXPRESS
Microsoft Exchange Information Store
OracleASMService+ASM
OracleCSService
OracleServiceORCL
OracleOraDb10g_home1TNSListener
usermanager
outlook
exchange
sql

Ranran использует многоуровневую схему шифрования. В результате чего на компьютере жертвы могут появиться следующие восемь файлов: 
VictemKey_0_5
VictemKey_5_30
VictemKey_30_100
VictemKey_100_300
VictemKey_300_700
VictemKey_700_2000
VictemKey_2000_3000
VictemKey_3000

Список файловых расширений, подвергающихся шифрованию:
.3gp, .7z, .accdb, .ace, .ai, .ashx, .asmx, .asp, .aspx, .bad, .bak, .bat, .bdp, .bdr, .bkf, .bmp, .c, .cfg, .cmd, .cmsc, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docx, .dwg, .dxf, .edb, .edx, .efp, .eml, .epf, .ese, .exe, .flv, .fmb, .gz, .img, .ipdb, .iso, .issue, .jar, .java, .jpg, .kdbx, .kmz, .ldf, .lic, .log, .max, .mdb, .mdf, .me, .mkv, .mpp, .mtb, .olb, .ost, .pdf, .png, .pps, .ppsx, .ppt, .pptx, .psc, .psd, .pst, .rar, .rdp, .resx, .rmvb, .rtf, .sdb, .sln, .soap, .sql, .stm, .svc, .swf, .tar, .txt, .vdw, .vdx, .vmdk, .vsd, .war, .webm, .xls, .xlsm, .xlsx, .xlt, .zip (95 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр., находящиеся на сервере и всех компьютерах локальной сети. 

Файлы, связанные с этим Ransomware:
services.exe
zXz.html
pass
VictemKey_0_5
VictemKey_5_30
VictemKey_30_100
VictemKey_100_300
VictemKey_300_700
VictemKey_700_2000
VictemKey_2000_3000

VictemKey_3000

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Load = {root drive}:\services.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Ссылка на декриптер от Palo Alto >>

 Read to links: 
 Topic on BC
 ID Ransomware (ID as zXz)
 Write-up (add. March 8, 2017)
Write-up by TrendMicro (add. January 23, 2017)
Write-up by PaloAlto (add. March 8, 2017)

 Thanks: 
 Michael Gillespie
 Robert Falcone, Josh Grunzweig (Palo Alto)
 Marvelous Pelin (Trend Micro)
 *

© Amigo-A (Andrew Ivanov): All blog articles.