вторник, 27 июня 2017 г.

Shifr RaaS, Gojdue

Shifr RaaS Ransomware

Gojdue, ShurL0ckr, Cypher

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель распространяется как RaaS и шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.01 до 1 BTC, чтобы вернуть файлы. Оригинальное название: Simple ransomware. Написан на языке Go. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Windows_Security (WS Go) > Shifr RaaS (Gojdue, ShurL0ckr, Cypher)

К зашифрованным файлам добавляется расширение .shifr
Ранняя активность этого крипто-вымогателя пришлась на конец июня 2017 г. Потом продолжилась в связи с распространением вымогателя как RaaS. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT_FILES.html

Содержание записки о выкупе:
Your files have been encrypted.
To decrypt your files, follow instructions here.

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Для дешифровки файлов следуйте инструкциям.


Shifr RaaS

Сообщение на форуме:
Simple ransomware - no reg, 10% commision
This is ransomware. Once launched on the computer it will encrypt files and demand ransom. Other features of the service:
- No registration required.
- Ransom from 0.01 BTC to 1 BTC.
- Automatic payouts.


Страница после включения VPN
Shifr RaaS
Та же страница из кэша поисковой системы


Технические детали

Распространяется как RaaS на форумах Даркнета. После попадания в другие руки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .arw, .bay, .cdr .cr2, .crw, .csv, .dcr, .dng, .doc, .docx, .dwg, .dxf, .erf, .jpeg, .jpg, .kdc, .mef, .mrw, .nef, .nrw, .orf, .pdf, .pef, .png, .ppt, .pptx, .psd, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .svg, .tiff, .txt, .xls, .xlsx (42 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, и пр. файлы. 

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_FILES.html
<random>.exe
decrypter.exe
encryption_key
lock_file
uuid_file

Расположения:
\AppData\Roaming\uuid_file
\AppData\Roaming\lock_file
\AppData\Roaming\encryption_key
\Desktop\HOW_TO_DECRYPT_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://sinister.ly/Thread-RAAS-Simple-ransomware-no-reg-10-commision
xxxx://v5t5z6a55ksmt3oh.onion.to/decrypt/f2f6d2aa-06e0-43f9-9ebd-853af768e29e
xxxx://v5t5z6a55ksmt3oh.onion.to/new_c/
xxxx://v5t5z6a55ksmt3oh.onion.to/
xxxx://v5t5z6a55ksmt3oh.onion/
***download.windowsupdate.com
Email: simple_ransomware@xmpp.jp
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7-8 февраля и видеообзор от 20 февраля:
🎥 Видеообзор от CyberSecurity GrujaRS >>
Посты в Твиттере: MalwareHunterTeam‏  + GrujaRS 
Новые названия: ShurL0ckr Ransomware и Cypher Ransomware
Новое расширение: .cypher
Файл: encryption_key 
Расположение: %APPDATA%\encryption_key
Ориентация на Windows x64.
Список целевых расширений: .arw, .bay, .cdr, .cr2, .crw, .csv, .dcr, .dng, .doc, .dwg, .dxf, .erf, .jpg, .kdc, .mef, .mrw, .nef, .nrw, .orf, .pdf, .pef, .png, .ppt, .psd, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .svg, .txt, .xls (37 расширений). 
➤ ShurL0ckr обходит механизмы обнаружения облачных платформ. Инфицированные ShurL0ckr-ом файлы пропускаются антивирусной защитой, загружаются в облако, а затем распространяются на другие компьютеры. 
➤ ShurL0ckr продаётся RaaS другим преступникам, получающим комиссию от каждого выкупа. Сумма выкупа на местах: от 0.01 BTC до 1 BTC
➤ Исследователи провели анализ и выяснили, что у четырех популярных приложений, глобально представляющих технологию облачного харанения - OneDrive, Google Drive, Box и Dropbox - был самый высокий уровень заражения.
- Microsoft OneDrive- 55%; 
- Google Drive - 43%;
- Dropbox и Box - по 33%.
👉 Отсюда можно сделать выводы, что облачные приложения становятся всё более привлекательным механизмом распространения вредоносного ПО, а большинство провайдеров облачных хранилищ не обеспечивают защиту от вредоносных программ и угроз нулевого дня. Стоит ли им доверять? Выбор за вами. 
Результаты анализов: HA + VT + HA + VT + HA + VT
Новая статья от McAfee >> (добавлена 16 февраля)
URL: kdvm5fd6tn6jsbwh.onion.to (185.100.85.150:443 Румыния)---


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Shifr)
 Write-up, Topic of Support
 🎥 Video review by CyberSecurity GrujaRS >>

 Thanks: 
 BleepingComputer, Catalin Cimpanu
 Michael Gillespie
 MalwareHunterTeam
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton