Damage Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы получить секретный ключ и вернуть файлы. Название дано по используемому расширению. Написан на Delphi.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: LeChiffre > DamageДля шифрования первых и последних 8-ми Кб файла используется комбинация SHA-1 и Blowfish.
К зашифрованным файлам добавляется расширение .damage
Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа в пострадавшем ПК назывались: damage@india.com[user_pc_name].txt
Содержание записки о выкупе:
TtWGgOd57SvPlkgZ***
==========
end of secret_key
To restore your files - send e-mail to damage@india.com
Перевод записки на русский язык:
TtWGgOd57SvPlkgZ***
==========
конец secret_key
Для возврата файлов - шли e-mail на damage@india.com
Технические детали
Атакует серверы, имеющие поддержку RDP и уязвимости в защите или вообще не имеющие защиты. Устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP. Возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, PsExec и пр.
Почему это возможно?
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер, с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.
Может распространяться также с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Удаляет теневые копии файлов. Пытается получить доступ к приводам, имеющих необычные имена дисков. Прописывается в Автозагрузку системы. Имеет функционал программы-шпиона (отслеживает буфер обмена и нажатия клавиш).
Список файловых расширений, подвергающихся шифрованию:
.avi, .bat,
.bin, .blf, .bmp, .cal, .cat, .cer, .cf, .cfg, .com, .config, .css, .CSV, .cur,
.dat, .db, .din, .doc, .docx, .dos, .EFI, .eot, .FLB, .fr3, .gif, .ico, .if2, .INF,
.inf, .INS, .JPG, .jpg, .jrn, .js, .lan, .LDF, .ldf, .ldi, .log, .LOG1, .LOG2, .lrc,
.man, .md, .mdf, .mib, .mof, .mp3, .mst, .mui, .nlm, .odt, .pdf, .png, .psd, .rar,
.reg, .regtrans-ms, .rel, .rpm, .sql, .svclog, .sys, .tar.gz, .tic, .tpxl_ds, .tpxl_exp,
.tpxl_lp, .tpxl_msg, .tpxl_r, .tpxl_sc, .tpxl_sf, .ttf, .txt, .vbs, .wav, .wbcat,
.wmv, .woff, .wtv, .xls, .xlsx, .xml, .zip (как минимум 85 расширений с повторами в
верхнем регистре).
При шифровании пропускаются файлы с расширениями:
.cab, .dll, .dl_, .exe, .ex_, .ini_how to, .LeChiffre, .lnk, .msi, .ocx, .txt
Файлы, связанные с этим Ransomware:
damage@india.com[user_pc_name].txt
[email_ransom][user_pc_name].txt
<random>.tmp.exe
-.lnk
Расположения:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\-.lnk
C:\Users\Администратор.TPSRV010damage@india.com[TPSRV010].txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
damage@india.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Внимание! Для зашифрованных файлов есть декриптер! Скачать декриптер для Damage >>
Read to links: Topic on kasperskyclub.ru ID Ransomware (ID as Damage) Write-up (n/a) *
Thanks: Thyrex Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.