вторник, 31 октября 2017 г.

MBR-ONI

ONI Ransomware

MBR-ONI Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует данные пользователей с помощью DiskCryptor и шифров AES-256 + RSA-2048, а затем требует связаться по email, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле написано: ONI.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .oni

Ранняя активность этого крипто-вымогателя пришлась на начало июля, как вариант GlobeImposter. Другой вариант, модифицирующий MBR, был описан в конце октября 2017 г. Ориентирован на японских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README!!!.html
MBR-ONI Ransomware

Содержание записки о выкупе:
重要な情報!
すべてのファイルは、RSA-2048およびAES-256暗号で暗号化されています。
心配しないで、すべてのファイルを元に戻すことができます。
すべてのファイルを素早く安全に復元できることを保証します。
ファイルを回復する手順については、お問い合わせ。
信頼性を証明するために、2ファイルを無料で解読できます。ファイルと個人IDを私たちにお送りください。
(ファイルサイズ10MB未満、機密情報なし)
連絡先
hyakunoonigayoru@yahoo.co.jp

Перевод записки на русский язык:
Важная информация!
Все файлы зашифрованы с помощью RSA-2048 и AES-256 шифров.
Не волнуйтесь, вы можете восстановить все файлы.
Мы гарантируем, что все файлы можно безопасно восстановить быстро и безопасно.
Для получения инструкций по восстановлению файлов свяжитесь с нами.
Чтобы доказать надежность, вы можете бесплатно расшифровать два файла. Отправьте нам файл и персональный идентификатор.
(Размер файла менее 10 МБ, без конфиденциальной информации)
Контактный адрес
hyakunoonigayoru@yahoo.co.jp


Другим информатором жертвы выступает краткий текст, выводящийся после перезаписи MBR.

Содержание текста:
Your data is ENCRYPTED!
You will not decrypt it without our help? Your id: ***
Contact us: oninoy0ru@***
PASSWORD: _

Перевод текста на русский язык:
Ваши данные ЗАШИФРОВАНЫ!
Вы не сможете расшифровывать их без нашей помощи? Ваш id: ***
Связь с нами: oninoy0ru@***
ПАРОЛЬ: _

Исследователи выяснили, что большинство компьютеров были инфицированы простой версией ONI. Вариант MBR-ONI наблюдался только на нескольких машинах. Эти машины определённо имели серверную службу Active Directory и другой набор активных серверных служб. 

У компьютеров, заражённых вариантом MBR-ONI, кроме того, отображалась одна и та же записка о выкупе с одинаковым идентификатором для всех зараженных машин. У компьютеров, заражённых вариантом ONI генерировался уникальный идентификатор для каждой машины. 



Технические детали

MBR-ONI может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

По данным исследователей заражению компьютеров предшествовала вредоносная кампания копьё-фишинга, в результате которой на компьютеры жертв устанавливались трояны, открывающие удалённый доступ или средство удалённого управления (RAT), в частности, утилита Ammyy Admin. 

Ammyy Admin загружается и запускается на выполнение скриптом (VBScript), запускающимся после включения получателем письма макросов в документе MS Word, находящимся во вложенном в письмо zip-архиве. 

 Для шифрования используется модифицированная версия DiskCryptor. 
✔ Для удалённого проникновения использовалась утилита Ammyy Admin. 
✔ Зачистка журналов вымогателем может свидетельствовать о том, что злоумышленники также использовали эксплойт EternalBlue в сочетании с другими инструментами для распространения по всей сети скомпрометированной компании. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются следующие директории:
COMODO
ESET
Microsoft
Microsoft Help
Windows
Windows App Certification Kit
Windows Defender
Windows Kits
Windows Mail
Windows Media Player
Windows Multimedia Platform
Windows NT
Windows Phone Kits
Windows Phone Silverlight Kits
Windows Photo Viewer
Windows Portable Devices

Файлы, связанные с этим Ransomware:
oni.exe (srvupd.exe) - исполняемый файл вымогателя
xcopy.exe - копия исполняемого файла
!!!README!!!.html - записка о выкупе
qfjgmfgmkj.tmp - специальный временный файл
clean.bat - файл для очистки журналов и данных о присутствии
test.bat - вспомогательный файл для копирования

Расположения:
%Temp%\qfjgmfgmkj.tmp - специальный файл, запрещающий повторную установку данного шифровальщика. 

🚩Возможно, что файл qfjgmfgmkj.tmp можно создать заранее и тем самым защититься от атаки этого шифровальщика. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hyakunoonigayoru@yahoo.co.jp
oninoy0ru@yahoo.co.jp
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (GlobeImposter вариант) >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Cylance blog
 Cybereason blog
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton