AES-NI Ransomware: April Edition
SPECIAL VERSION: NSA EXPLOIT EDITION
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: AES-NI. Способы оплаты выкупа: индивидуальные для каждого клиента.
© Генеалогия: AES-NI >> AES-NI: April Edition
К зашифрованным файлам добавляется расширение .aes_ni
Появление этой обновлённой версии пришлось на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Для России, Беларуси и некоторых других стран из бывшего Союза шифровальщик не работает. Но если такое случится, то для пострадавших из этих стран СНГ расшифровка бесплатная!!!
Геолокация определяется благодаря обращению к легитимному сайту ipinfo.io.
Записки с требованием выкупа размещаются во всех папках с зашифрованными файлами и называются: !!! READ THIS - IMPORTANT !!!.txt
Смешение элементов букв названия произошло в моём блокноте.
В оригинале надпись в ASII представлена в нормальном виде.
Содержание записки о выкупе:
Additional message:
After payment, clients receive full consultation and recommendations for improving safety.
Перевод записки на русский язык:
ПРОСТИТЕ! Ваши файлы зашифрованы.
Содержимое файла зашифровано со случайным ключом (AES-256, режим ECB).
Случайный ключ зашифрован с помощью открытого ключа RSA (2048 бит).
Мы НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ НЕ использовать какие-то "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, сделав восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не связываться с компаниями, занимающимися восстановлением данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый ключ RSA.
Чтобы получить закрытый ключ, напишите сюда:
0xc030@protonmail.ch
Также есть более быстрый способ связаться с нами.
Если вы знакомы с Jabber, пишите нам на JID: zooolo@darknet.nz (это Jabber, а не email-адрес!)
Вы можете получить учетную запись Jabber, например, по адресу https://www.xmpp.jp/signup
ВАЖНО: В некоторых случаях исследователи Malware могут блокировать наши email.
Если вы не получили ответа по email в течение 48 часов,
Пожалуйста, не паникуйте и пишите на адрес BitMsg (https://bitmsg.me):
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
Или создайте тему на https://www.bleepingcomputer.com/, и мы найдем вас там.
Также будет лучше, если вы загрузите браузер Tor здесь: https://www.torproject.org/download/download-easy.html.en
Загрузите, установите и запустите; затем посетите наш сайт (из браузера Tor): http://kzg2xa3nsydva3p2.onion/index.php
Пожалуйста, не заходите на этот сайт с обычного браузера: он просто не откроется. Вам нужен Tor Browser для открытия сайтов .onion.
Там есть форма, вы можете написать нам туда, если все email заблокированы, и мы свяжемся с вами очень быстро.
Если кто-то предлагает вам восстановить файлы, попросите его сделать тест-расшифровку.
Только мы можем успешно расшифровать ваши файлы; знайте, это может защитить вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
Вы ДОЛЖНЫ указать этот идентификатор в своем сообщении:
ПК # EB53D6F20CF4C8BDCFD536DE4B29906C
Также вы ДОЛЖНЫ отправить все файлы «.key.aes_ni» из C: \ ProgramData, если они есть.
Дополнительное сообщение:
После оплаты клиенты получают полную консультацию и рекомендации по улучшению безопасности.
Страница "AES-NI support form" в Tor-сети:
Используется для атак на корпоративный сектор, серверные версии Windows и веб-серверы. Может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (специальная эксплойтная версия), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
AES-NI определяет локальный язык и страну пользователей, подключаясь в адресу ipinfo.io, поэтому шифровальщик не работает у пользователей из России и стран СНГ (защита от запуска).
Использует антиреверсинг, определяет запуск в песочнице.
Очищает все журналы событий Windows с помощью команды wevtutil.exe.
Завершает работу следующих процессов:
Acronis VSS Provider
AcronisAgent
AcronisFS
AcronisPXE
AcrSch2Svc
AdobeARMservice
Altaro.Agent.exe
Altaro.HyperV.WAN.RemoteService.exe
Altaro.SubAgent.exe
Altaro.UI.Service.exe
AMS
Apache2.2
Apache2.4
ARSM
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
BCFMonitorService
bedbg
Browser
cbVSCService11
CertPropSvc
CertSvc
CobianBackup11
ComarchAutomatSynchronizacji
ComarchML
ComarchUpdateAgentService
CrashPlanService
dashboardMD Sync
DataCollectorSvc
dbupdate
dbupdatem
DbxSvc
DLOAdminSvcu
DLOMaintenanceSvc
DomainManagerProviderSvc
EDBSRVR
eXchange POP3 6.0
FBSServer
FBSWorker
FirebirdGuardianDefaultInstance
FirebirdServerDefaultInstance
GenetecSecurityCenterMobileServer
GenetecServer
GenetecWatchdog
KAORCMP999467066507407
LMIRfsDriver
LogisticsServicesHost800
MELCS
memcached Server
MEMTAS
MEPOCS
MEPOPS
MESMTPCS
MicroMD AutoDeploy
MicroMD Connection Service
MICROMD72ONCOEMR
MMS
MsDtsServer
MsDtsServer100
MSExchangeADTopology
MSExchangeAntispamUpdate
MSExchangeEdgeSync
MSExchangeFBA
MSExchangeFDS
MSExchangeImap4
MSExchangeIS
MSExchangeMailboxAssistants
MSExchangeMailSubmission
MSExchangeMonitoring
MSExchangePop3
MSExchangeRep
MSExchangeRepl
MSExchangeSA
MSExchangeSearch
MSExchangeServiceHost
MSExchangeTransport
MSExchangeTransportLogSearch
msftesql$SBSMONITORING
msftesql-Exchange
MSSQL$ACRONIS
MSSQL$BKUPEXEC
MSSQL$MICROSOFT##SSEE
MSSQL$MICROSOFT##WID
MSSQL$PROBA
MSSQL$SBSMONITORING
MSSQL$SHAREPOINT
MSSQL$SQL2005
MSSQL$SQLEXPRESS
MSSQL$VEEAMSQL2008R2
MSSQLFDLauncher
MSSQLFDLauncher$PROBA
MSSQLFDLauncher$SBSMONITORING
MSSQLFDLauncher$SHAREPOINT
MSSQLSERVER
MSSQLServerADHelper
MSSQLServerADHelper100
MSSQLServerOLAPService
MSSQLSERVR
MySQL
MySQL56
NAVSERVER
ONCOEMR2MICROMD7
PleskControlPanel
PleskSQLServer
plesksrv
PopPassD
postgresql-8.4
postgresql-9.5
PRIMAVERAWindowsService
PrimaveraWS800
PrimaveraWS900
QBFCService
QBVSS
QuickBooksDB23
QuickBooksDB25
RBMS_OptimaBI
RBSS_OptimaBI
RemoteSystemMonitorService
ReportServer
SBOClientAgent
ServerService
sesvc
ShadowProtectSvc
SPAdminV4
spiceworks
SPSearch4
SPTimerV3
SPTrace
SPTraceV4
SPWriter
SPWriterV4
SQLAgent$PROBA
SQLAgent$SBSMONITORING
SQLAgent$SHAREPOINT
SQLAgent$SQLEXPRESS
SQLAgent$VEEAMSQL2008R2
SQLBrowser
SQLSERVERAGENT
SQLWriter
stc_raw_agent
StorageNode
swprv
TeamViewer
TTESCheduleServer800
vds
Veeam Backup and Replication Service
Veeam Backup Catalog Data Service
VeeamCatalogSvc
VeeamCloudSvc
VeeamDeploymentService
VeeamMountSvc
VeeamNFSSvc
VeeamTransportSvc
vmicvss
vmms
VSNAPVSS
VSS
W32Time
W3SVC
WinVNC4
wsbexchange
WSearch
WseComputerBackupSvc
WseEmailSvc
WseHealthSvc
WseMediaSvc
WseMgmtSvc
WseNtfSvc
WseStorageSvc
WSS_ComputerBackupProviderSvc
WSS_ComputerBackupSvc
zBackupAssistService
ZWCService
Особенности версии:
Особенности версии:
- наличие в AES-NI региональных ограничений;
- вписывает ИД ключа и оригинальное имя файла в зашифрованный файл (добавлено 20-25 марта).
Шифруются все файлы, кроме тех, что имеют расширения:
.dll, .exe, .lnk, .mui, .sys
Пропускаются папки Windows, Desktop, Drivers и Temp на дисках.
Таким образом документы MS Office, PDF, базы данных, фотографии, музыка, видео, архивы наверняка будут зашифрованы, а система будет работать.
Файлы, связанные с этим Ransomware:
!!! READ THIS - IMPORTANT !!!.txt
файлы .key.aes_ni
<random>.tmp.exe
decoder.exe
Расположения:
C:\ProgramData\.key.aes_ni
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://kzg2xa3nsydva3p2.onion/index.php
***3nsydva3p2.onion/gate.php***
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
0xc030@protonmail.ch и другие.
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ для SPECIAL VERSION: NSA EXPLOIT EDITION >>
VirusTotal анализ для SPECIAL VERSION: NSA EXPLOIT EDITION >>
Malwr анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Почему это произошло?
Настройки безопасности Windows по умолчанию никуда не годятся. RDP такой, какой нужен хакерам.
В вашей организации кабинет директора, офис с компьютерами запираются же на ключ, есть охрана.
Так почему же на сервере открытая настежь дверь с табличкой "Заходи, кто хочешь, бери, что хочешь"?
Хакерам и их программам для взлома даже ничего ломать не нужно — просто зайти в открытую дверь...
*****************************
Обновление от 16 апреля 2017:
Версия без бильда: SPECIAL VERSION: NSA EXPLOIT EDITION
Записка: !!! READ THIS - IMPORTANT !!!.txt
Расширение: .aes_ni_0day
Файлы файлы .key.aes_ni_0day
Email: 0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
Для пострадавших из России, Беларуси и других стран СНГ расшифровка бесплатная!!!
Содержание записки:
=====# aes-ni ransomware #=====
AES-NI
SPECIAL VERSION: NSA EXPLOIT EDITION
INTRO: If you are reading it, your server was attacked with NSA exploits.
Make World Safe Again.
SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
please do not panic and write to BitMsg (https://bitmsg.me) address:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
or create topic on https://www.bleepingcomputer.com/ and we will find you there.
If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
You MUST refer this ID in your message:
RECOVERI2#97B0C34050C1C00F7A2977CB25******
Also you MUST send all ".key.aes_ni_0day" files from C:\ProgramData if there are any.
=====# aes-ni ransomware #=====
*****************************
Обновление апреля/мая 2017:
Почта только для пострадавших из России и некоторых стран бывшего Союза:
michell_nulled@protonmail.ch
aes-ni@scryptmail.com
Дублируйте запрос на оба адреса.
Обновление 20 июня 2017:
КЛЮЧИ и ДЕКРИПТЕР от РАЗРАБОТЧИКА AES-NI для ДЕШИФРОВКИ
------------------------------------------------------
IN ENGLISH
-------------------------
keys: https://www.sendspace.com/file/8co1k2
pass: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Decrypter and private keys
https://www.sendspace.com/file/n3ha1w
password: 6bvlWD9yz3yBtQyOhtAqFheg
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 private master key for offline AES-NI keys.
https://www.sendspace.com/file/fz133k
pass: 85W0vhRkPbqcvaTafHknhMRP
---
We wish you a successful decrypting!
---------------------------------------------------
НА РУССКОМ ЯЗЫКЕ
-------------------------
ключи: https://www.sendspace.com/file/8co1k2
пароль: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Декриптер и закрытые ключи
https://www.sendspace.com/file/n3ha1w
пароль: 6bvlWD9yz3yBtQyOhtAqFheg
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 закрытый мастер-ключ оффлайн ключей AES-NI.
https://www.sendspace.com/file/fz133k
пароль: 85W0vhRkPbqcvaTafHknhMRP
---
Желаем вам успешной дешифровки!
------------------------------------------------------
Read to links: Tweet on Twitter (n/a) ID Ransomware (ID as AES-NI) Write-up, Topic (n/a) *
Thanks: AES-NI Thyrex * *
© Amigo-A (Andrew Ivanov): All blog articles.
Здравствуйте! Пострадал от этого щифровальщика. Как рпасшифровать. Что значит "Для пострадавших из СНГ расшифровка бесплатная!!!" Спасибо за ответ.
ОтветитьУдалитьнапишите им на указанную почту, подтвердите, что Вы из России
УдалитьДа, используйте контакты из обновления от 16 апреля 2017. Некоторые ранние блокированы почтовиками. Или используйте BitMesenger. Адрес указан.
УдалитьСообщите мне, как пострадали: открыли вложение или сервер был взломан.
УдалитьЕще один контакт, ранее не опубликованный: Michell_Nulled@protonmail.ch
Удалитьсервер был взломан судя по всему, после пропал интернет, перезагузил а там "ntldr is missing" на чёрном фоне... думал винт подох подключил к другому компу... и на тебе "ntldr.aes_ni" в корне диска С. Удивительно но сам диск по размеру (в свойствах на диске С) - 1Гб,
ОтветитьУдалитьОтветил вам по email.
Удалитьсломали старенький 2003 сервер, скорее всего по дыре в иис
ОтветитьУдалитьвсе защифровано и подписано - Michell_Nulled
можно ли что либо сделать или только платить?
Да, можно, см. выше в комментариях от 19 апреля почту с тем же Michell_Nulled.
УдалитьНапишите на неё. Для пострадавших из России, Беларуси и других стран СНГ расшифровка бесплатная!
все выше указанные почту уже заблокированны за абузу "хороших людец" которые лишают возможности клиент получение их файловю
ОтветитьУдалитьпока жива почта aes-ni@scryptmail.com
Адрес в BM еще работает?
Удалитьключи и декрипт можно найти тут
ОтветитьУдалитьhttps://www.bleepingcomputer.com/forums/t/635140/aes-ni-ransomware-aes256-aes-ni-read-this-importanttxt-support-topic/page-12
keys: https://www.sendspace.com/file/8co1k2
ОтветитьУдалитьpass: dT3FfWkaOKaWGLk
MD5 269802A70BEC0D74DA42D74DB7EEDE6F
https://www.bleepingcomputer.com/forums/t/635140/aes-ni-ransomware-aes256-aes-ni-read-this-importanttxt-support-topic/page-13
ОтветитьУдалить