воскресенье, 3 сентября 2017 г.

SynAck

SynAck Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 

👮 Если вы стали жертвой преступления в России, Беларуси, Казахстане или Украине, то вам нужно написать онлайн-заявление в Управление "К" МВД России, Беларуси и соответствующие ведомства МВД Казахстана и Украины (инструкция). 
👮 Если вы стали жертвой преступления в Европе, вам нужно обратиться в местную полицию. При необходимости они сами свяжутся с Европолом или Интерполом.

👮 If you are the victim of a crime in Europe, you need to contact your local or national police. The authorities will contact Europol or Interpol if required. 
👮 Are recommended that anyone citizen of the USA who is affected by this Ransomware file an official complaint with the FBI by going to this URL



Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим ECB), а затем требует выкуп в $ 2100 в BTC, чтобы вернуть файлы. Оригинальное название: SynAck (содержится в строках записки о выкупе и в логине email). Разработчики: SynAck Team.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется случайно расширение, которое можно записать как .<random10>

Примеры зашифрованных файлов: 
document01.txt.wxdrJbgSDa
document02.doc.nUZPveYgIp
document03.zip.SMGfqOEIwE 

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. По данным ЛК пострадавшие в США, Кувейте, Германии и Иране.

Записка с требованием выкупа называется: RESTORE_INFO-[ID].txt и выглядит как RESTORE_INFO-xxxxxxxx.txt
Шаблон записки можно записать так: 
RESTORE_INFO-<A-Z 0-9 {8}>.txt - т.е. английские буквы в верхнем регистре и цифры, восемь знаков

Примеры записок: 
RESTORE_INFO-C3E24FCE.txt
RESTORE_INFO-4ABFA0EF.txt
RESTORE_INFO-3E376EE0.txt


Три варианта записок SynAck

Как оказалось, существует несколько вариантов записок о выкупе. Специалисты выявили различия и представили их в виде таблицы. 
Сравнительная таблица записок SynAck


Содержание записок о выкупе:
Files on your computer are encrypted.
Algorithm: ecc-secp192r1 & aes-ecb-256
To decrypt your files, please contact us using one of these e-mail addresses:
synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
Please include the following text in your message: 
zMp9IPE******************
....................................................................
Syn---- >
Ack---- >
===
Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
To decrypt your files, please contact us using this e-mail address:
tyughjvbn13@scryptmail.com
If for unknown reasons you did not receive any answer on e-mail,
write to BitMessage (using site xxxxs://bitmsg.me/):
BM-2cStoatQC4mDNWDHAoo2C1nYZJXhDsjCLj
Please do not perform any manipulations with encrypted files.
If you want to try to restore your files manually, do backups first.
And please do not remove files with text notes, because they contain important information required for file restoring.
Please include the following text in your message:
0R/Bau5ip******************
....................................................................
Syn---- >
Ack---- >
===
Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
To decrypt your files, please contact us using this e-mail address:
bubkjdws@scryptmail.com
If for unknown reasons you did not receive any answer on e-mail,
write to BitMessage (using site xxxxs://bitmsg.me/):
BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k
Please do not perform any manipulations with encrypted files.
If you want to try to restore your files manually, do backups first.
And please do not remove files with text notes, because they contain important information required for file restoring.
Please include the following text in your message:
QOfVQofGO******************

Перевод записок на русский язык:
Файлы на вашем компьютере зашифрованы.
Алгоритм: ecc-secp192r1 & aes-ecb-256
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя один из этих email-адресов:
synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
Пожалуйста, добавьте следующий текст в сообщение:
zMp9IPE******************
....................................................................
Syn---- >
Ack---- >
===
Файлы зашифрованы, использован алгоритм: ecies-secp192r1 & aes-ecb-256.
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя этот email-адрес:
tyughjvbn13@scryptmail.com
Если по неизвестным причинам вы не получили никакого ответа по email,
напишите в BitMessage (используя сайт xxxxs://bitmsg.me/):
BM-2cStoatQC4mDNWDHAoo2C1nYZJXhDsjCLj
Не делайте никаких манипуляций с зашифрованными файлами.
Если вы хотите попытаться восстановить файлы вручную, сначала сделайте резервную копию.
И, пожалуйста, не удаляйте файлы с текстовыми записками, потому что они содержат важную информацию, необходимую для восстановления файла.
Пожалуйста, добавьте следующий текст в сообщение:
0R/Bau5ip******************
....................................................................
Syn---- >
Ack---- >
===
Файлы зашифрованы, использован алгоритм: ecies-secp192r1 & aes-ecb-256.
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя этот email-адрес:
bubkjdws@scryptmail.com
Если по неизвестным причинам вы не получили никакого ответа по email,
напишите в BitMessage (используя сайт xxxxs://bitmsg.me/):
BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k
Не делайте никаких манипуляций с зашифрованными файлами.
Если вы хотите попытаться восстановить файлы вручную, сначала сделайте резервную копию.
И, пожалуйста, не удаляйте файлы с текстовыми записками, потому что они содержат важную информацию, необходимую для восстановления файла.
Пожалуйста, добавьте следующий текст в сообщение:
QOfVQofGO******************

По разумным причинам, текстовой код записок в этой статье обрезан. 

Один из пострадавших, связавшись с вымогателями, предоставил их ответ.

Ответ вымогателей: 
The cost of the decoder is $ 2100
We accept money only in bitcoins since this is the most anonymous currency in the world.
To buy bitcoins, we recommend using one of these services: https://www.bestchange.com or localbitcoins.com
To create a purse, this: blockchain.info
Transfer funds to this address: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
After payment send us a link to the transaction or the address of your wallet and after receiving 3 confirmations we will send you a decoder.

Перевод ответа на русский язык: 
Стоимость декодера составляет 2100 долларов
Мы принимаем деньги только в биткоинах, т.к. это самая анонимная валюта в мире.
Чтобы купить биткоины, мы рекомендуем использовать одну из этих услуг: https://www.bestchange.com или localbitcoins.com
Чтобы создать кошелек, идите на: blockchain.info
Перечислите средства на этот адрес: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
После оплаты отправьте нам ссылку на транзакцию или адрес вашего кошелька, и после получения 3-х подтверждений мы вышлем вам декодер.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ SynAck атакует главным образом англоговорящих пользователей и использует для этого брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла. Вероятнее всего используется установка через незащищенную конфигурацию RDP. Затем запускается самозачистка. 

➤ На ранней стадии выполнения SynAck проверяет работу ПК по своему списку стран, в том числе по раскладке клавиатуры. Если он находит соответствие своему белому списку стран, то засыпает на 300 секунд, а затем вызывает функцию ExitProcess для предотвращения шифрования файлов, принадлежащих жертве из этих стран.

➤ SynAck очищает все системные журналы событий.

➤ SynAck в новой версии модифицирует экран входа пользователя Windows следующим образом.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Пропускаются исполняемые файлы: .exe и другие. 

Файлы, связанные с этим Ransomware:
RESTORE_INFO-[ID].txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
См. ниже результаты анализов.

Индикаторы заражения (IoC):
0x6F772EB660BC05FC26DF86C98CA49ABC

0x911D5905CBE1DD462F171B7167CD15B9

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 марта 2018:

Email: synack@scryptmail.com

synack@countermail.com
Записка (шаблон): ==READ==THIS==PLEASE==[id{8}].txt
Пример: ==READ==THIS==PLEASE==xxxxxxxx.txt
<< Скриншот записки
Содержание записки:
SynAck FES
(Files Encryption Software)
Dear client, we apoligize for inconvinience with your files.
So we make a business offer to order file recovery service from us.
We do not extort money, files restore is an optional service.
Also we will do auditing of your network FOR FREE if you order file recovery service.
Some details about SynAck FES:
This software uses ecies-secp192r1 algorithm to create unique pair of private and public keys for the session.
Each file is encrypted with random key using aes-ecb-256 algorithm.
We strongly recommend you not to use third-party decryptors because they can damage your files.
But if you want to try to restore your files by yourself, make sure you have made backup copies of encrypted files.
And please do not remove files with text notes, because they contain important information required for file restoring.
If you want to order file recovery service, please contact our support using one of the following e-mail addresses:
synack@scryptmail.com
synack@countermail.com
If you have not get a response in 24 hours, please do not panic and write on BitMessage (using site https://bitmsg.me/):
BM-2cTp9eosgjWs8SV14kYCDzPN3HJkwYk1LQ
Keep in mind that there are fake services offering decryption; do not believe them or you will lose your money.
Anyway, there is one method you can use for proof: ask to decrypt some files for free.
No one except us will be able to do that.
!!!!! PLEASE INCLUDE THE FOLLOWING TEXT IN YOUR MESSAGE !!!!
***6 lines and a quarter of random text***
Best regards,
SynAck Team.
=== SynAck FES ===
Пост на форуме >>


Обновление от 7 мая 2018:
SynAck стал использовать вредоносную технологию Doppelgänging, т.е. известную с декабря 2017 года технику внедрения вредоносного кода, которая способна обойти антивирусную защиту. Эта вредоносная техника работает через транзакции NTFS и потому позволяет избежать использования подозрительных процессов в памяти. Вредонос не сохраняется на диске, потому невидим для антивирусных продуктов и уже получил название "бестелесный вредонос". 
Атаки SynAck носят целевой характер и уже зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа: 3000 долларов.
SynAck использует ECIES, гибридную схема шифрования на открытых ключах, основанную на эллиптических кривых. 

Обновление от 11 мая 2018:
Результаты анализов: HA + VT + VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SynAck)
 Write-up, Topic of Support
 Добавлено позднее:
 Статья ЛК о технике Doppelgänging >> (от 21 мая 2018 года)
 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 Catalin Cimpanu 
 (victim in the topic of support)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton