WininiCrypt

WininiCrypt Ransomware

ChoDambler Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: crypt. На файле написано: winini.exe и crypt. Написан на языке .NET 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .[cho.dambler@yandex.com]

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_BACK_FILES.html

Записка внешне похожа на ту, что используется в разных вариантах Globe и GlobeImposter, но это не вариация Globe или GlobeImposter, т.к. данный крипто-вымогатель написан на языке .NET

Содержание записки о выкупе:
All your files have been encrypted!
Your personal ID
12345678
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail: cho.danibler@yandex.com
How to obtain Bitcoins
• The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
• https://localbitcoins.com/buy_bitcoins
• Also you can find other places to buy Bitcoins and beginners guide here:
• http:/wwww.coindesk.com/information/how-can-i-buy-bitcoins/
Free decryption as guarantee
• Before paying you can send to us up to 1 files for free decryption.Please note that files must NOT contain valuable information and their total size must be less than 5Mb
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Ваш личный ID
12345678
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК.
Если вы хотите их восстановить, напишите нам на e-mail: cho.danibler@yandex.com
Как получить биткойны
• Самый простой способ купить биткойны - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
• https://localbitcoins.com/buy_bitcoins
• Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
• http://wwww.coindesk.com/information/how-can-i-buy-bitcoins/
Бесплатное дешифрование в качестве гарантии
• Перед оплатой вы можете отправить нам 1 файл для бесплатного дешифрования. Обратите внимание, что файлы НЕ должны содержать ценную информацию, а их общий размер должен быть меньше 5 Мб
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой:
vssadmin Delete Shadows /All /Quiet

Использует легитимную программу зачистки SDelete (файл sdelete.exe), предназначенную как для удаления файлов, так и для зачистки данных на свободных участках жёсткого диска (включая уже удаленные файлы). 

Целевые системы:
Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
winini.exe
HOW_TO_BACK_FILES.html

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
EmaIcho.dambler@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 21 августа 2017:
Пост в Твиттере >>
Записка: HOW_TO_BACK_FILES.html
Расположение: C:\Windows\info.html
Email: cho.dambler@yandex.com
Расширение: .[cho.dambler@yandex.com]
Результаты анализов: VT

Обновление от 23 февраля 2018:
Пост в Твиттере >>
Файл: SetupCrypt.exe
Результаты анализов: VT

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 июня 2018:
Всё еще активен. 
Пример темы на форуме >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WininiCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.