воскресенье, 26 марта 2017 г.

Dxh26wam (PyCL)

Dxh26wam Ransomware

PyCL Ransomware, Fatboy RaaS

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA-2048, а затем требует выкуп от 0,2 до 0,3 биткоинов, чтобы вернуть файлы. Шифровальщик написан на Python, но графический интерфейс написан на Delphi. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Этимология названия
1) Название Dxh26wam Ransomware в данной моей статье от 26 марта этот шифровальщик получил от его основного exe-файла. См. Hybrid-Analysis
2) Название PyCL Ransomware появилось позже в статье Лоуренса Абрамса от 28 марта, т.к. шифровальщик написан на Python и им используется скрипт cl.py. Всё это позволило исследователю назвать его PyCL. Хотя цвет и интерфейс, используемые в этом шифровальщике-вымогателе демонстрируют некоторое сходство с CTB-Locker, но написан он на другом языке, при этом какие-либо сходства в записках о выкупе или в исполняемых файлах отсутствуют. 
3) Появилось собственное название: Fatboy. 
Так как мой блог и сайт ID.Ransomware.RU - это дайджест, то я публикую все названия, которые мне известны, и дополняю сведения по мере из поступления из разных статей и источников. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypted

Примечательно, что в описанной здесь версии оригинальные файлы не удаляются. Пользователи имеют доступ к своим незашифрованным файлам. 

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на пользователей разных стран, что помогает распространять его по всему миру.


Флаги: Нидерланды, Италия, Франция, Германия, Португалия, Испания, Китай, США

Записки с требованием выкупа называются: How_Decrypt_My_Files
Это не сама записка, а ярлык How Decrypt My Files.lnk, который ведёт на файл index.html, скрытый в директории AppData\Roaming\How_Decrypt_My_Files\

Информатором жертвы также выступает экрана блокировки (файл UI.exe) на 8 языках и куче изображений. 

Dxh26wam

Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
1. Pay amount BTC (about of USD) to address:
2. Transaction will take about 15-30 minutes to confirm.
Decryption will start automatically. Do not: power off computer, run antivirus program, disable internet connection. Failures during key recovery and file decryption may lead to accidental damage on files.
YOUR FILES WILL BE LOST WITHOUT PAYMENT THROUGH: 3 Days 23 Hours 58 Minutes 04 Seconds

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с самым мощным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
1. Сумма платежа BTC (около USD) по адресу: ***
2. Для подтверждения транзакции требуется около 15-30 минут.
Расшифровка начнется автоматически. Не делайте следущего: не выключайте компьютер, не запускайте антивирусную программу, не отключайте интернет-соединение. Неудачи при восстановлении ключей и расшифровке файлов могут привести к случайному повреждению файлов.
ВАШИ ФАЙЛЫ БУДУТ ПОТЕРЯНЫ БЕЗ ПЛАТЕЖА ЧЕРЕЗ: 3 дня 23 часа 58 минут 04 секунд


Тексты на английском, итальянском, немецком и испанском языках

  

Скриншоты страниц:
1. TUTORIAL & GUIDES (Учебник и руководства)
2. BUY BITCOINS WITH CREDIT CARD (Оплата биткоинов с кредиток)
3. SEND BITCOINS (Отправка биткоинов)

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов EITest и RIG EK, веб-инжектов, фальшивых обновлений, перепакованных и заражённых NSIS-инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

PyCL Ransomware распространяется как NSIS-инсталлятор, содержащий пакет Python, используемый для шифрования компьютера и руководства по уплате выкупа. PyCL передает на свой C&C-сервер 170.254.236.102 на каждом этапе работы информацию по отладке и статусу работы. 

Вот список сетевых запросов.
...Issues by NSIS Installer
...On Execution of CL.exe to retrieve key and other info
...Begin generating list of files to encrypt.
...End generating list
...Begin Encrypting Files
...End Encrypting Files
...Check if payment has been made
...Begin Decrypting 
...End Decrypting
...Online tutorial

Теневые копи файлов удаляются командой: 
vssadmin.exe delete shadows /all /quiet

В поисках файлов сканируются все диски и сетевые папки. Dxh26wam шифрует файлы с помощью AES-256 с индивидуальным ключом, все ключи шифруются с RSA-2048. Для каждой жертвы создаётся новый Bitcoin-кошелек для уплаты выкупа. 

Шифровальщик определяет IP-адрес ПК жертвы, страну в которой он относится, а затем использует Big Mac Index для расчёта суммы выкупа. С помощью Big Mac Index определяется паритет покупательной способности (ППС). 


★ Для справки:
Индекс Big Mac основан на теории паритета покупательной способности, по которой валютный курс должен уравнивать стоимость корзины товаров в разных странах (т.е. отношение обменных валютных курсов), но вместо корзины берётся один стандартный бутерброд, выпускаемый компанией McDonald’s.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых директорий:
WINDIR, APPDATA, LOCALAPPDATA, ProgramData, ProgramFiles, PROGRAMW6432, $RECYCLE.BIN, ProgramFiles(x86)

Файлы, связанные с этим Ransomware:
How_Decrypt_My_Files
dxh26wam.exe и <random>.exe
cl.exe
ui.exe
mklnk.cmd
CreateShortcut.vbs
How Decrypt My Files.lnk
index.html
png- и jpg-файлы с инструкциями
pyd-файлы
html- и txt-файлы

Расположения: 
%AppData%\Roaming\cl\
%AppData%\Roaming\cl\API-MS-Win-Core-LocalRegistry-L1-1-0.dll
%AppData%\Roaming\cl\btc_address.txt
%AppData%\Roaming\cl\btc_price.txt
%AppData%\Roaming\cl\bz2.pyd
%AppData%\Roaming\cl\cl.exe
%AppData%\Roaming\cl\CreateShortcut.vbs
%AppData%\Roaming\cl\Crypto.Cipher._AES.pyd
%AppData%\Roaming\cl\Crypto.Cipher._DES.pyd
%AppData%\Roaming\cl\Crypto.Cipher._DES3.pyd
%AppData%\Roaming\cl\Crypto.Hash._SHA256.pyd
%AppData%\Roaming\cl\Crypto.Random.OSRNG.winrandom.pyd
%AppData%\Roaming\cl\Crypto.Util.strxor.pyd
%AppData%\Roaming\cl\Crypto.Util._counter.pyd
%AppData%\Roaming\cl\filelist.txt
%AppData%\Roaming\cl\library.zip
%AppData%\Roaming\cl\mklnk.cmd
%AppData%\Roaming\cl\public_key.txt
%AppData%\Roaming\cl\pyexpat.pyd
%AppData%\Roaming\cl\python27.dll
%AppData%\Roaming\cl\pywintypes27.dll
%AppData%\Roaming\cl\remove.cmd
%AppData%\Roaming\cl\select.pyd
%AppData%\Roaming\cl\server.txt
%AppData%\Roaming\cl\subid.txt
%AppData%\Roaming\cl\ui.exe
%AppData%\Roaming\cl\unicodedata.pyd
%AppData%\Roaming\cl\usd_price.txt
%AppData%\Roaming\cl\user.txt
%AppData%\Roaming\cl\win32api.pyd
%AppData%\Roaming\cl\win32pdh.pyd
%AppData%\Roaming\cl\win32pipe.pyd
%AppData%\Roaming\cl\win32wnet.pyd
%AppData%\Roaming\cl\_ctypes.pyd
%AppData%\Roaming\cl\_hashlib.pyd
%AppData%\Roaming\cl\_nenrgarxmr.list
%AppData%\Roaming\cl\_socket.pyd
%AppData%\Roaming\cl\_ssl.pyd\
%AppData%\Roaming\How_Decrypt_My_Files\
%AppData%\Roaming\How_Decrypt_My_Files\img\
%AppData%\Roaming\How_Decrypt_My_Files\img\1.png
%AppData%\Roaming\How_Decrypt_My_Files\img\2.png
%AppData%\Roaming\How_Decrypt_My_Files\img\4.png
%AppData%\Roaming\How_Decrypt_My_Files\img\5.png
%AppData%\Roaming\How_Decrypt_My_Files\img\6.png
%AppData%\Roaming\How_Decrypt_My_Files\img\arrow.png
%AppData%\Roaming\How_Decrypt_My_Files\img\bitpanda.png
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send1.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send2.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send3.png
%AppData%\Roaming\How_Decrypt_My_Files\img\cex.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinbase.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinhouse.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinmama.png
%AppData%\Roaming\How_Decrypt_My_Files\img\exchange.png
%AppData%\Roaming\How_Decrypt_My_Files\img\help.png
%AppData%\Roaming\How_Decrypt_My_Files\img\ui_main.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\ui_main_end.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\warning.png
%AppData%\Roaming\How_Decrypt_My_Files\index.html
%AppData%\Roaming\How_Decrypt_My_Files\pay_creditcard.html
%AppData%\Roaming\How_Decrypt_My_Files\read_me.txt
%AppData%\Roaming\How_Decrypt_My_Files\send_btc.html
%AppData%\Roaming\How_Decrypt_My_Files\style.css
%UserProfile%\Desktop\How Decrypt My Files.lnk
%TEMP%\nsp9667.tmp\INetC.dll

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cl %AppData%\Roaming\cl\cl.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
170.254.236.102:80 (Уругвай)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT на cl.exe >> + VT на ui.exe >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 5 мая 2017:
Dxh26wam (PyCL) > Fatboy RaaS
Подробный обзор >>
Статья о Fatboy >>
Статья о Big Max Index >>


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up on BC (add. March 29, 2017)
 Video review 
 Thanks: 
 MalwareHunterTeam
 Alex Svirid
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton