пятница, 10 февраля 2017 г.

Wcry

Wcry Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. Название дано от используемого расширения. Фальш-имя: Message Application.

© Генеалогия: Wcry > WannaCry > WanaCrypt0r 2.0

К зашифрованным файлам добавляется расширение .wcry

Активность этого крипто-вымогателя пришлась на первую половину февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа выступает экран блокировки "Notification"

Содержание текста с экрана:
Your files have been safely encrypted!
Most of your files are encrypted with strong AES-128 ciphers.
To decrypt files you need to obtain the private keys, and it is the only possible way.
To obtain the keys you should pay with bitcoin.
The cost will double by the specified time.
What to do, How to do
1. Send 0.1 BTC to 1G7bggAjH8pJaUfUoC9kRAcSCoev6djwFZ
You will be able to download the private key within 12 hours.
2. How to DECRYPT your files
1) Click "Start Decrypt".
2) First, you should send a download request with your Bitcoin wallet address.
(Important: You must know your actual wallet address from where your payment be sent.)
3) Sleep.
4) After 5-6 hours you will have the key and can decrypt your files. Go!
5) That’s all.
3. About BITCOIN
1) For more information about bitcoin, please visit https://en.wikipedia.org/wiki/Bitcoin
2) Here are our recommendations to purchase bitcoin:
***
Any attempt to corrupt or remove this software will result in immediate elimination of the private keys by the servers. 
button 'Start Decrypt'

Перевод текста с экрана на русский язык:
Ваши файлы безопасно зашифрованы!
Большинство ваших файлов зашифрованы с мощным шифром AES-128.
Для расшифровки файлов вам нужно получить закрытые ключи, и это единственный путь.
Для получения ключей вы должны заплатить биткоины.
Стоимость удвоится через указанное время.
Что делать, как делать
1. Отправить 0,1 BTC на 1G7bggAjH8pJaUfUoC9kRAcSCoev6djwFZ
Вы сможете загрузить закрытый ключ в течение 12 часов.
2. Как дешифровать файлы
1) Нажмите кнопку "Запуск расшифровки".
2) Сначала вы должны отправить запрос на загрузку с адреса вашего Bitcoin-кошелька.
(Важно: Вы должны знать адрес своего бумажника, откуда ваш платеж будет отправлен.)
3) Сон.
4) Через 5-6 часов вы получите ключ и можете расшифровать файлы. Иди!
5) Вот и все.
3. О Bitcoin
1) Для получения дополнительной информации о Bitcoin, пожалуйста, посетите https://en.wikipedia.org/wiki/Bitcoin
2) Вот наши рекомендации по покупке биткоинов:
***
Любая попытка прервать работу или удалить этот софт приведет к немедленной ликвидации серверами закрытых ключей.
Кнопка "Запуск расшифровки"

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .ai, .ARC, .asc, .asf, .asp, .avi, .backup, .bak, .bmp, .brd, .c, .cgm, .class, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .n, .nef, .odb, .odg, .odp, .ods, .odt, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sin, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .stw, .suo, .swf, .sxc, .sxd, .sxm, .sxw, .tar, .tarbz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (160 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы прикладных программ и пр.

Файлы, связанные с этим Ransomware:
Message.EXE
<random>.exe
wcry.exe
taskschs.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***rphjmypwmfvx6v2e.onion (C2)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaCryptor)
 Write-up
 *
 Thanks: 
 S!Ri, MalwareHunterTeam
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

1 комментарий:

  1. Добрый день. Дайте пожалуйста рабочий сэмпл

    ОтветитьУдалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *