Vanguard

Vanguard Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью ChaCha20 и Poly1305, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. Фальш-имя: MSOFFICE. Фальш-копирайт: Microsoft Corporation. Написан на языке Go (анг. Go language, Golang). Разработчик: Viktor. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение *нет данных*

Образцы этого крипто-вымогателя нашлись в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, в разработке. 

Записки с требованием выкупа называются: DECRYPT_INSTRUCTIONS.txt

Содержание записки о выкупе:
NOT YOUR LANGUAGE? https://translate.google.com
Your personal files and documents have been encrypted with AES-256 and RSA-2048!
Decrypting your files is only possible with decrypt key stored on our server. 
Price for key is %bitcoin% BTC (Bitcoin).
1. Send %bitcoin% BTC to %bitcoinaddress%
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
https://www.bitcoin.com/buy-bitcoin
2. Wait some time for transaction to process
3. PRIVATE KEY WILL BE DOWNLOADED AND SYSTEM WILL AUTOMATICALLY DECRYPT YOUR FILES!
If you do not pay within %hoursvalid% hours key will become DESTROYED and your files LOST forever!
Removing this software will make recovering files IMPOSSIBLE! Disable your antivirus for safety.

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? https://translate.google.com
Твои личные файлы и документы были зашифрованы с AES-256 и RSA-2048!
Дешифровать файлы можно лишь с ключом дешифровки, хранящегося на нашем сервере.
Цена за ключ %Bitcoin% BTC (Bitcoin).
1. Отправь %Bitcoin% BTC на %bitcoinaddress%
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
https://www.bitcoin.com/buy-bitcoin
2. Подожди немного, пока транзакции обрабатываются 
3. Закрытый ключ загрузится и система автоматически дешифрует твои файлы!
Если ты не платишь за %hoursvalid% часа ключ УНИЧТОЖИТСЯ и твои файлы ПОТЕРЯНЫ навсегда!
Удаление этого софта сделает восстановление файлов НЕВОЗМОЖНЫМ! Отключите антивирус для безопасности.

Другое текстовое сообщение:
Please read DECRYPT_INSTRUCTIONS.txt for more information.

Перевод на русский:
Прочти DECRYPT_INSTRUCTIONS.txt для дополнительной информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Перед запуском шифрования проверяет наличие отладчиков и работу в виртуальной среде. Нерестит много процессов. Изменяет настройки прокси. 

После шифрования удаляет теневые копии файлов командой:
vssadmin.exe vssadmin delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:

.123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .7zip, .aac, .ab4, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .bmp, .bpw, .brd, .bz2, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .cls, .cmd, .cmt, .com, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .dac, .dat, .db, .db3, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .encrypted, .eps, .erbsql, .erf, .exe, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hpp, .htm, .html, .hwp, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .inf, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ms11, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onenotec2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qb, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qed, .r3d, .raf, .rar, .rat, .raw, .rb, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .torrent, .txt, .uop, .uot, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (416 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
vanguard.exe
msword.exe
del.bat
Cab1.tmp
Cab3.tmp
Tar2.tmp
Tar4.tmp

Расположения: 
%Temp%\msword.exe
%Temp%\del.bat
%Temp%\Cab1.tmp
%Temp%\Tar2.tmp
%Temp%\Cab3.tmp
%Temp%\Tar4.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***myexternalip.com (78.47.139.102)
***azxtr3foqyvpz3ob.onion.casa (167.160.185.136)
***secure2.alphassl.com (104.16.29.16)
***www.download.windowsupdate.com (92.122.122.144)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> HA-2 HA-3 HA-4
VirusTotal анализ >>  VT-2 VT-3 VT-4

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Article "ChaCha20 и Poly1305"
 *

 Thanks: 
 Jiri Kropac
 MalwareHunterTeam
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.