Serpent Danish

Serpent 2017 Ransomware
Serpent Danish Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 0,75 биткоинов, чтобы вернуть файлы. Через 7 дней сумма увеличивается до 2,25 биткоинов. Название оригинальное. Не путайте с PayDOS (Serpent) Ransomware. 

© Генеалогия: Hades Locker (2016) > Serpent Danish (2017)

К зашифрованным файлам добавляется расширение .serpent

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
HOW_TO_DECRYPT_YOUR_FILES_[A-Za-z0-9]{3}.txt
HOW_TO_DECRYPT_YOUR_FILES_[A-Za-z0-9]{3}.html

 

Содержание записок о выкупе:

==== NEED HELP WITH TRANSLATE? USE https://translate.google.com ====

================ PLEASE READ THIS MESSAGE CAREFULLY ================

Your documents, photos, videos, databases and other important files have been encrypted!
The files have been encrypted using AES256 and RSA2048 encryption (unbreakable)
To decrypt your files you need to buy the special software 'Serpent Decrypter'.
You can buy this software on one of the websites below.
xxxx://vdpbkmwbnp.pw/00000000-00000000-00000000-00000000
xxxx://hnxrvobhgm.pw/00000000-00000000-00000000-00000000
If the websites above do not work you can use a special website on the TOR network. Follow the steps below
1. Download the TOR browser https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Inside the TOR browser brower navigate to : 3o4kqe6khkfgx25g.onion/00000000-00000000-00000000-00000000
3. Follow the instructions to buy 'Serpent Decrypter'

================ PLEASE READ THIS MESSAGE CAREFULLY ================

Перевод записок на русский язык:
==== НУЖНА ПОМОЩЬ С ПЕРЕВОДОМ? ИСПОЛЬЗУЙ https://translate.google.com ====
================ ПРОЧТИТЕ ЭТО СООБЩЕНИЕ ВНИМАТЕЛЬНО ================
Ваши документы, фото, видео, базы данных и другие важные файлы были зашифрованы!
Файлы были зашифрованы с помощью AES256 и RSA2048 шифрования (невзламываемые)
Для расшифровки файлов вам нужно приобрести специальный софт 'Serpent Decrypter'.
Вы можете купить этот софт на одном из указанных ниже веб-сайтов.
хххх://vdpbkmwbnp.pw/00000000-00000000-00000000-00000000
хххх://hnxrvobhgm.pw/00000000-00000000-00000000-00000000
Если веб-сайты, что выше, не работают, вы можете посетить специальный сайт в сети TOR. Сделайте следующие шаги
1. Загрузите TOR-браузер https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Из TOR-браузера перейдите на сайт: 3o4kqe6khkfgx25g.onion / 00000000-00000000-00000000-00000000
3. Следуйте инструкциям, чтобы купить 'Serpent Decrypter'
================ ПРОЧТИТЕ ЭТО СООБЩЕНИЕ ВНИМАТЕЛЬНО ================

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Пример письма со ссылкой на вредоносный документ с макросами

Загруженный документ, требующий включить содержимое

Список файловых расширений, подвергающихся шифрованию:

.2011, .2012, .2013, .2014, .2015, .2016, .2017, . 3dm, .7zip, .accd, .accdb, .accde, .accdr, .accdt, .aepx, .agdl, .aiff, .aspx, .back, .backup, .backupdb, .bank, .blend, .btif, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cfdi, .clas, .class, .cntk, .config, .craw, .db-journal, .db_journal, .ddoc, .ddrw, .defx, .design, .djvu, .docb, .docm, .docx, .dotm, .dotx, .dtau, .efsl, .erbsql, .fcpa, .fcpr, .flac, .flvv, .gray, .grey, .groups, .html, .iban, .ibank, .idml, .incpas, .indb, .indd, .indl, .indt, .int?, .intu, .java, .jpeg, .jsda, .kdbx, .kpdx, .laccdb, .lay6, .m2ts, .m3u8, .mbsb, .meta, .mhtm, .mone, .moneywell, .mpeg, .ms11, .myox, .nvram, .pages, .pcif, .php5, .phtml, .plus_muhd, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .prel, .prpr, .psafe3, .pspimage, .ptdb, .qb20, .qbmb, .qbmd, .qcow, .qcow2, .qdfx, .qmtf, .quic, .qwmo, .resx, .s3db, .safe, .sas7bdat, .save, .seam, .sldm, .sldx, .sqli, .sqlite, .sqlitedb, .tax0, .tax1, .tax2, .text, .tiff, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .vbox, .vbpf, .vhdx, .vmdk, .vmsd, .vmxf, .wallet, .xhtm, .xlam, .xlsb, .xlsm, .xlsx, .xltm, .xltx, .ycbcra, .zipx (151 расширение). 

Это документы MS Office, текстовые файлы, базы данных, фотографии, бэкапы, видео, файлы специализированных и прикладных программ и пр.

Файлы, связанные с этим Ransomware:
software.exe
<random>.exe
%AppData%\Local\Temp\puttyx86.exe
%AppData%\Roaming\raesdfgiuytr\iutyfghjkoiuytf.exe
C:\Users\User_name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\raesdfgiuytr.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***185.163.46.150/software.exe***
***tomrerarbejdeolsen.com/1603750.doc***
***3o4kqe6khkfgx25g.onion
***vdpbkmwbnp.pw
***hnxrvobhgm.pw
***n7457xrhg5kibr2c.onion
xxxx://pfmydcsjib.ru
xxxx://jdybchotfn.ru
См. ниже результаты анализов.

Страницы сайта оплаты выкупа

Начальная страница

Другие страницы

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 11 марта 2017:
Пост в Твиттере >>
C2: xxxx://146.71.84.120 порт 8080/register.php
<< Скриншот записки




Обновление от 9 апреля:
Пост в Твиттере >>
Записка: README_TO_RESTORE_FILES.txt
Расширение: .serp

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up
 ID Ransomware (ID as Serpent)
 Tweet on Twitter
 *
 *

 Thanks: 
 Proofpoint
 Michael Gillespie
 Jack, MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.