PolyglotCryptor Ransomware
PyCL Ransomware
Aliases: Dxh26wam, Fatboy
Fatboy RaaS
(шифровальщик-вымогатель, RaaS)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп от 0,2 до 0,3 биткоинов, чтобы вернуть файлы. Шифровальщик написан на Python, но графический интерфейс написан на Delphi.
Этимология названия
1) Название Dxh26wam Ransomware в данной моей статье от 26 марта этот шифровальщик получил от его основного exe-файла. См. Hybrid-Analysis.
2) Название PyCL Ransomware появилось позже в статье Лоуренса Абрамса от 28 марта, т.к. шифровальщик написан на Python и им используется скрипт cl.py. Всё это позволило исследователю назвать его PyCL. Хотя цвет и интерфейс, используемые в этом шифровальщике-вымогателе демонстрируют некоторое сходство с CTB-Locker, но написан он на другом языке, при этом какие-либо сходства в записках о выкупе или в исполняемых файлах отсутствуют.
3) Появилось собственное название: Fatboy.
Так как мой блог и сайт ID.Ransomware.RU - это дайджест, то я публикую все названия, которые мне известны, и дополняю сведения по мере из поступления из разных статей и источников.
© Генеалогия: ✂️ MarsJoke (Polyglot) > PyCL (PolyglotCryptor)
К зашифрованным файлам добавляется расширение .crypted
✔ Примечательно, что в описанной здесь ранней версии оригинальные файлы не удаляются. Пользователи имеют доступ к своим незашифрованным файлам. Вероятно, это будет исправлено в более новых версиях.
Ранняя активность этого крипто-вымогателя (или только RaaS) пришлась на конец марта 2017 г. Ориентирован на пользователей разных стран, что помогает распространять его по всему миру.
Флаги: Нидерланды, Италия, Франция, Германия, Португалия, Испания, Китай, США
Записки с требованием выкупа называются: How_Decrypt_My_Files
Это не сама записка, а ярлык How Decrypt My Files.lnk, который ведёт на файл index.html, скрытый в директории AppData\Roaming\How_Decrypt_My_Files\
Информатором жертвы также выступает экрана блокировки (файл UI.exe) на 8 языках и куче изображений.
Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
1. Pay amount BTC (about of USD) to address:
2. Transaction will take about 15-30 minutes to confirm.
Decryption will start automatically. Do not: power off computer, run antivirus program, disable internet connection. Failures during key recovery and file decryption may lead to accidental damage on files.
YOUR FILES WILL BE LOST WITHOUT PAYMENT THROUGH: 3 Days 23 Hours 58 Minutes 04 Seconds
Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с самым мощным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
1. Сумма платежа BTC (около USD) по адресу: ***
2. Для подтверждения транзакции требуется около 15-30 минут.
Расшифровка начнется автоматически. Не делайте следущего: не выключайте компьютер, не запускайте антивирусную программу, не отключайте интернет-соединение. Неудачи при восстановлении ключей и расшифровке файлов могут привести к случайному повреждению файлов.
ВАШИ ФАЙЛЫ БУДУТ ПОТЕРЯНЫ БЕЗ ПЛАТЕЖА ЧЕРЕЗ: 3 дня 23 часа 58 минут 04 секунд
Тексты на английском, итальянском, немецком и испанском языках
Скриншоты страниц:
1. TUTORIAL & GUIDES (Учебник и руководства)
2. BUY BITCOINS WITH CREDIT CARD (Оплата биткоинов с кредиток)
3. SEND BITCOINS (Отправка биткоинов)
Технические детали
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов EITest и RIG EK, веб-инжектов, фальшивых обновлений, перепакованных и заражённых NSIS-инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Этот Ransomware распространяется как NSIS-инсталлятор, содержащий пакет Python, используемый для шифрования компьютера и руководства по уплате выкупа. Шифровальщик передает на свой C&C-сервер 170.254.236.102 на каждом этапе работы информацию по отладке и статусу работы.
Вот список сетевых запросов.
...Issues by NSIS Installer
...On Execution of CL.exe to retrieve key and other info
...Begin generating list of files to encrypt.
...End generating list
...Begin Encrypting Files
...End Encrypting Files
...Check if payment has been made
...Begin Decrypting
...End Decrypting
...Online tutorial
Теневые копи файлов удаляются командой:
vssadmin.exe delete shadows /all /quiet
В поисках файлов сканируются все диски и сетевые папки. Dxh26wam шифрует файлы с помощью AES-256 с индивидуальным ключом, все ключи шифруются с RSA-2048. Для каждой жертвы создаётся новый Bitcoin-кошелек для уплаты выкупа.
Шифровальщик определяет IP-адрес ПК жертвы, страну в которой он относится, а затем использует Big Mac Index для расчёта суммы выкупа. С помощью Big Mac Index определяется паритет покупательной способности (ППС).
★ Для справки:
Индекс Big Mac основан на теории паритета покупательной способности, по которой валютный курс должен уравнивать стоимость корзины товаров в разных странах (т.е. отношение обменных валютных курсов), но вместо корзины берётся один стандартный бутерброд, выпускаемый компанией McDonald’s.
Этот Ransomware распространяется как NSIS-инсталлятор, содержащий пакет Python, используемый для шифрования компьютера и руководства по уплате выкупа. Шифровальщик передает на свой C&C-сервер 170.254.236.102 на каждом этапе работы информацию по отладке и статусу работы.
Вот список сетевых запросов.
...Issues by NSIS Installer
...On Execution of CL.exe to retrieve key and other info
...Begin generating list of files to encrypt.
...End generating list
...Begin Encrypting Files
...End Encrypting Files
...Check if payment has been made
...Begin Decrypting
...End Decrypting
...Online tutorial
Теневые копи файлов удаляются командой:
vssadmin.exe delete shadows /all /quiet
В поисках файлов сканируются все диски и сетевые папки. Dxh26wam шифрует файлы с помощью AES-256 с индивидуальным ключом, все ключи шифруются с RSA-2048. Для каждой жертвы создаётся новый Bitcoin-кошелек для уплаты выкупа.
Шифровальщик определяет IP-адрес ПК жертвы, страну в которой он относится, а затем использует Big Mac Index для расчёта суммы выкупа. С помощью Big Mac Index определяется паритет покупательной способности (ППС).
★ Для справки:
Индекс Big Mac основан на теории паритета покупательной способности, по которой валютный курс должен уравнивать стоимость корзины товаров в разных странах (т.е. отношение обменных валютных курсов), но вместо корзины берётся один стандартный бутерброд, выпускаемый компанией McDonald’s.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Список пропускаемых директорий:
WINDIR, APPDATA, LOCALAPPDATA, ProgramData, ProgramFiles, PROGRAMW6432, $RECYCLE.BIN, ProgramFiles(x86)
Файлы, связанные с этим Ransomware:
How_Decrypt_My_Files
dxh26wam.exe и <random>.exe
cl.exe
ui.exe
mklnk.cmd
CreateShortcut.vbs
How Decrypt My Files.lnk
index.html
png- и jpg-файлы с инструкциями
pyd-файлы
html- и txt-файлы
Расположения:
%AppData%\Roaming\cl\
%AppData%\Roaming\cl\API-MS-Win-Core-LocalRegistry-L1-1-0.dll
%AppData%\Roaming\cl\btc_address.txt
%AppData%\Roaming\cl\btc_price.txt
%AppData%\Roaming\cl\bz2.pyd
%AppData%\Roaming\cl\cl.exe
%AppData%\Roaming\cl\CreateShortcut.vbs
%AppData%\Roaming\cl\Crypto.Cipher._AES.pyd
%AppData%\Roaming\cl\Crypto.Cipher._DES.pyd
%AppData%\Roaming\cl\Crypto.Cipher._DES3.pyd
%AppData%\Roaming\cl\Crypto.Hash._SHA256.pyd
%AppData%\Roaming\cl\Crypto.Random.OSRNG.winrandom.pyd
%AppData%\Roaming\cl\Crypto.Util.strxor.pyd
%AppData%\Roaming\cl\Crypto.Util._counter.pyd
%AppData%\Roaming\cl\filelist.txt
%AppData%\Roaming\cl\library.zip
%AppData%\Roaming\cl\mklnk.cmd
%AppData%\Roaming\cl\public_key.txt
%AppData%\Roaming\cl\pyexpat.pyd
%AppData%\Roaming\cl\python27.dll
%AppData%\Roaming\cl\pywintypes27.dll
%AppData%\Roaming\cl\remove.cmd
%AppData%\Roaming\cl\select.pyd
%AppData%\Roaming\cl\server.txt
%AppData%\Roaming\cl\subid.txt
%AppData%\Roaming\cl\ui.exe
%AppData%\Roaming\cl\unicodedata.pyd
%AppData%\Roaming\cl\usd_price.txt
%AppData%\Roaming\cl\user.txt
%AppData%\Roaming\cl\win32api.pyd
%AppData%\Roaming\cl\win32pdh.pyd
%AppData%\Roaming\cl\win32pipe.pyd
%AppData%\Roaming\cl\win32wnet.pyd
%AppData%\Roaming\cl\_ctypes.pyd
%AppData%\Roaming\cl\_hashlib.pyd
%AppData%\Roaming\cl\_nenrgarxmr.list
%AppData%\Roaming\cl\_socket.pyd
%AppData%\Roaming\cl\_ssl.pyd\
%AppData%\Roaming\How_Decrypt_My_Files\
%AppData%\Roaming\How_Decrypt_My_Files\img\
%AppData%\Roaming\How_Decrypt_My_Files\img\1.png
%AppData%\Roaming\How_Decrypt_My_Files\img\2.png
%AppData%\Roaming\How_Decrypt_My_Files\img\4.png
%AppData%\Roaming\How_Decrypt_My_Files\img\5.png
%AppData%\Roaming\How_Decrypt_My_Files\img\6.png
%AppData%\Roaming\How_Decrypt_My_Files\img\arrow.png
%AppData%\Roaming\How_Decrypt_My_Files\img\bitpanda.png
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send1.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send2.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send3.png
%AppData%\Roaming\How_Decrypt_My_Files\img\cex.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinbase.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinhouse.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinmama.png
%AppData%\Roaming\How_Decrypt_My_Files\img\exchange.png
%AppData%\Roaming\How_Decrypt_My_Files\img\help.png
%AppData%\Roaming\How_Decrypt_My_Files\img\ui_main.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\ui_main_end.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\warning.png
%AppData%\Roaming\How_Decrypt_My_Files\index.html
%AppData%\Roaming\How_Decrypt_My_Files\pay_creditcard.html
%AppData%\Roaming\How_Decrypt_My_Files\read_me.txt
%AppData%\Roaming\How_Decrypt_My_Files\send_btc.html
%AppData%\Roaming\How_Decrypt_My_Files\style.css
%UserProfile%\Desktop\How Decrypt My Files.lnk
%TEMP%\nsp9667.tmp\INetC.dll
Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cl %AppData%\Roaming\cl\cl.exe
См. ниже результаты анализов.
Сетевые подключения и связи:
170.254.236.102:80 (Уругвай)
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT на cl.exe >> + VT на ui.exe >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Активное распространение началось после начала продаж RaaS. Может распространяться по всему миру.
Обновление от 5 мая 2017:
Dxh26wam (PyCL) > Fatboy RaaS
Подробный обзор >>
Статья о Fatboy >>
Статья о Big Max Index >>
Dxh26wam (PyCL) > Fatboy RaaS
Подробный обзор >>
Статья о Fatboy >>
Статья о Big Max Index >>
Реальный вариант от 5 июня 2017:
Расширение: .crypted
BTC: 141HBQKuATwde5ermbigvcSn12XCYJRqmM
BTC: 141HBQKuATwde5ermbigvcSn12XCYJRqmM
Сумма выкупа: 0.07 BTC ($169.17). Сообщение пришло из Франции.
Согласно графику курса биткоинов этот случай вымогательства пришелся на начало июня 2017 года. См. соотношение: 1BTC ~ $2417 без учета Big Mac Index, описанного выше. После того, как пострадавшие прислали файлы, оказалось, что дата шифрования файлов - 5 июня 2017 года.
Запиской с требованием выкупа выступает экран блокировки.
Ориентирован на пользователей, говорящих на следующих языках: английском, китайском, испанском, немецком, португальском, итальянском, французском, голландском.
© Amigo-A (Andrew Ivanov): All blog articles.
Содержание записки о выкупе:
Перевод записки на русский язык:
VOS FICHIERS PERSONNELS SONT CRYPTÉS
Vos documents, photos, bases de données et autres fichiers importants ont été cryptés avec le plus fort cryptage et la clé unique, générés pour cet ordinateur. La clé de déchiffrement privée est stockée sur un serveur Internet secret et personne ne peut décrypter vos fichiers jusqu'à ce que vous payez et obtenez la clé privée.
1. Payer le montant 0.07 BTC (environ 169.17 USD) à l'adresse:
[141HBQKuATwde5ermbigvcSn12XCYJRqmM] [Proceed to Payment]
2. La transaction prendra environ 15-30 minutes pour confirmer. [Decrypt Demo File]
Le déchiffrement démarre automatiquement. Ne pas: éteindre l'ordinateur, exécuter un programme antivirus, désactiver la connexion Internet. Les défaillances pendant la récupération des clés et le déchiffrement des fichiers peuvent entraîner des dommages accidentels sur les fichiers.
VOS FICHIERS SERONT PERDUS SANS PAIEMENT PAR: 3 days 23 Hours 51 Minutes 59 Seconds
Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши документы, фотографии, базы данных и другие важные файлы зашифрованы с самым надежным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
1. Оплатите 0.07 BTC (около 169.17 долларов) на адрес:
[141HBQKuATwde5ermbigvcSn12XCYJRqmM] [Перейти к оплате]
2. Подтверждение транзакции займет около 15-30 минут. [Расшифровать демо файл]
Расшифровка начнется автоматически. Нельзя: выключать компьютер, запускать антивирус, отключать интернет-соединение. Сбои при восстановлении ключей и расшифровке файлов могут привести к повреждению файлов.
ВАШИ ФАЙЛЫ БЕЗ ОПЛАТЫ БУДУТ УТРАЧЕНЫ: 3 дня 23 часа 51 минута 59 секунд
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as PyCL) Write-up on BC (added March 29, 2017) Video review
Thanks: MalwareHunterTeam, Michael Gillespie Alex Svirid, GrujaRS, Emmanuel_ADC-Soft, S!Ri Andrew Ivanov (article author)
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.