WannaCry.NET

WannaCry.NET Ransomware
Fake Clone WannaCry

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 0.1 BTC (сейчас это ~$260), чтобы вернуть файлы. Оригинальное название: WannaCry (разумеется фальшивый). На файле написано: wanna_cry и др. Написан на языке .NET

© Генеалогия: .NET >> WannaCry.NET

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает текстовый файл @Please_Read_Me@.txt, скринлок, встающий обоями и экран блокировки:

Содержание записки @Please_Read_Me@.txt:
Q: What's wrong with my files?
A: Oooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted. If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely! Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption. Please send 0.1 bitcoin to this bitcoin address: 13KBb1G7pkqcJcxpRHg387roBj2NX7Ufyf
Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software. Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don't worry about decryption. We will decrypt your files surely because nobody will trust us if we cheat users.
* If you need our assistance, send a message by clicking < Contact Us > on the decryptor window.

Перевод записки на русский язык:
В: Что не так с моими файлами?
О: Упс, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы. Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы! Давайте начнем расшифровку!
В: Что мне делать?
О: Во-первых, вам нужно заплатить выкуп за услуги расшифровки. Отправьте 0.1 биткоина на этот биткойн-адрес: 13KBb1G7pkqcJcxpRHg387roBj2NX7Ufyf 
Затем найдите файл приложения с именем "@WanaDecryptor@.exe". Это программа дешифровки. Запустите и следуйте инструкциям! (Возможно, вам нужно временно отключить антивирус.)
В: Могу ли я доверять?
О: Не беспокойтесь о расшифровке. Мы расшифруем ваши файлы, т.к. никто не будет нам доверять, если мы обманем пользователей.
* Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us> в окне расшифровки.

Технические детали

WannaCry.NET внешне сделан один-в-один как WannaCry NSA EE, с такими же таймером и требованиями выкупа, но не более. Кодирован в .NET, включает в себя строку WNCRY и не использует никаких эксплойтов NSA. Обычно .NET-Ransomware является признаком того, что автор не имеет опыта кодирования, но к этому фальшивому WannaCry это не относится, т.к. является одним из лучших штаммов .NET-Ransomware, которые мы ранее видели. 

Специалисты ЛК обнаружили несколько индикаторов, оставленных разработчиками-вымогателями для того, чтобы ввести пожелавших заглянуть в код программы. Это строка WNCRY, строка-название проекта WannaCry и строка made in china. 

WannaCry.NET удаляет теневые копии файлов. Инициализирует ключи.
Не запускается без специальных аргументов командной строки. 
Использует C&C в сети Tor. 
Вырубает процессы приложений перед шифрованием файлов. 
Создает список файлов для шифрования. Шифрует файлы.
Показывает окно с требованием выкупа. Сохраняет текстовую записку с вопросами и ответами. 

Закрытый ключ RSA шифруется открытым ключом RSA. Для каждого файла генерируется ключ AES-256 и IV. Ключ и IV зашифровываются сгенерированным ключом RSA «Session» и сохраняются в зашифрованном файле.

Номер BTC-кошелька фиксирован 13KBb1G7pkqcJcxpRHg387roBj2NX7Ufyf для всех инфекций. На данный момент кошелек получил семь платежей, всего 0,51 BTC. Большая часть платежей сделана 26 июня, видимо это был тот день, когда атака достигла максимума. Интересно, что злоумышленники отозвали 0.41 BTC со счета.

Около 90 атакованных организаций получили на свои ПК с обновлениями ПО M.E.Doc ещё и WannaCry.NET, большинство находятся в Украине.

После перепродажи крипто-вымогатель может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Кто стоит за этим крипто-вымогателем?
Сегодня кто-то распространяет (продаёт) этот крипто-вымогатель в Украине под видом WannaCry. Ранее распространялся XData на основе похищенной кодовой базы AES-NI, PSCrypt - на основе GlobeImposter, Petya NSA EE замаскирован под Petya.
Нет чётких доказательств того, что одна и та же группа стоит за всеми этими вредоносными кампаниями в Украине и других странах, но довольно много совпадений, чтобы это не замечать. 
Хочу посоветовать пострадавшим включить голову и извлечь из этих атак уроки. Если продолжать обвинять во всех мнимых и явных нападках Россию и неких российских хакеров, то это значит снова подставить под удар свои серверы, сайты, сети и ПК. 
Атакующим (как и любым другим преступникам) только на руку, чтобы виновными считали совершенно других людей, чтобы обвинения выдвигали против кого-то другого. 

Запомните, кибер-криминал безлик, безнационален, скрытен, но цели его известны: причинить вред и извлечь выгоду. 
Атаки будут продолжаться, кажущаяся тишина временна, т.к. за это время кибер-криминал ищет новые уязвимые места, чтобы ударить ещё точнее, сильнее и разрушительнее. 

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm,.3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup,.bak, .bat, .brd, .bz2, .c, .cgm, .class, .cmd,.cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu,.doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv,.frm, .gpg, .gz, .h, .hwp, .ibd, .iso,.jar, .java, .js, .jsp, .key, .lay,.lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .mp3, .mp4,.mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg,.odp, .ods, .odt,.onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php,.pl, .pot, .potm, .potx,.ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar,.raw, .rb, .rtf, .sch, .sh, .sldm,.sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob,.vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .zip (173 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wc.exe - WannaCry
wd.exe - @WanaDecryptor@.exe
ed.exe - Electronic documents (M.E.Doc)
@Please_Read_Me@.txt
@WanaDecryptor@.bmp

Расположения:
%CurrentFolder%\ed.exe
%SystemDrive%\Documents and Settings\All Users\Desktop\@Please_Read_Me@.txt
%SystemDrive%\Documents and Settings\All Users\Desktop\@WanaDecryptor@.exe
%SystemDrive%\All Users\Music\@Please_Read_Me@.txt
%SystemDrive%\All Users\Music\@WanaDecryptor@.exe
%SystemDrive%\All Users\Pictures\@Please_Read_Me@.txt
%SystemDrive%\All Users\Pictures\@WanaDecryptor@.exe
%SystemDrive%\All Users\Favorites\@Please_Read_Me@.txt
%SystemDrive%\All Users\Favorites\@WanaDecryptor@.exe
%SystemDrive%\All Users\AppData\Roaming\Microsoft\Templates\@Please_Read_Me@.txt
%SystemDrive%\All Users\AppData\Roaming\Microsoft\Templates\@WanaDecryptor@.exe

Записи реестра, связанные с этим Ransomware:
RSA Private Key 
RSA Public Key 
HKEY_CURRENT_USER\Software\WC\"public_key" = "[DATA]"
HKEY_CURRENT_USER\Software\WC\"private_key_encrypted" = "[DATA]"
HKEY_CURRENT_USER\Software\WC\"guid" = "[UNIQUE ID]"
HKEY_CURRENT_USER\Software\WC\"wc_path" = "[PATH TO MALWARE]"
HKEY_CURRENT_USER\Software\WC\"time" = "[SYSTEM TIME]"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://4gxdnocmhl2tzx3z.onion
BTC: 13KBb1G7pkqcJcxpRHg387roBj2NX7Ufyf
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ на Dropper >>
VirusTotal анализ на Dropper >>
Гибридный анализ на GUI >>
VirusTotal анализ на GUI >>
Гибридный анализ на Encrypter >>
VirusTotal анализ на Encrypter >>
Symantec: Ransom.Fakecry >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WannaCry.NET)
 Write-up, Write-up
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 BleepingComputer
 SecureList, Symantec Security Response
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private