WannaDie

WannaDie (WanaDie) Ransomware

WannaCry Imposter Ransomware

Wanna_die_decrypt0r Ransomware

(шифровальщик-вымогатель, подражатель, деструктор)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+SHA-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Wana die decrypt0r (Wanna die decrypt0r) и Wana_Decrypt0r. На файле написано: wndi и wndi.exe. Начальное название проекта: CryptoWall. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > WannaCry Imposter 

Изображение принадлежит шифровальщику

Этимология названия:
Как видно из представленных выше названий, сам разработчик вымогателя так и не определился с названием, т.к. сначала он назвал его CryptoWall, желая создать творение, подобное ему. Потом по миру нашумел вымогатель WannaCry, и разработчик захотел творить в эту сторону, но и этот шифровальщик заглох в эфире. Тогда разработчику WannaDie совсем некому стало подражать (ну не BadRabbit-у же, который и дня не продержался!) и он решил выплеснуть накопившуюся энергию в нечто сумбурное. Уж тогда бы лучше назвал свое творение просто WannaMoney. Оно пока не занято другими вымогателями. 😉

К зашифрованным файлам добавляется расширение .wndie

Исследователи также сообщают о неудачных случаях шифрования. Видимо, пока в разработке, или имеет скрытый функционал. 

Активность этого крипто-вымогателя обнаружена в середине ноября 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают экран блокировки и изображение, заменяющее обои рабочего стола, на котором написан другой текст на русском языке и небольшой текстовый файл с надписью на английском.

Комбинированное изображение требований

Окно экрана блокировки

Требования на обоях на Рабочего стола и файлы

Содержание текста о выкупе из окна экрана блокировки:
Файлы зашифрованы, что делать?
ЧТО СЛУЧИЛОСЬ С МОИМ КОМПЬЮТЕРОМ ?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
МОЖНО ЛИ ВОССТАНОВИТЬ ФАЙЛЫ ?
Конечно Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у нас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать "Расшифровать".
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
Каждую минуту мы будем уничтожать по одному нужному вам файлу, чтобы ускорить процесс (оплата-дешифровка).
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течении 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мороприятия для пользователей, которые настолько бедны, что не смогут заплатить за 6 дней.
КАК МНЕ ОПЛАТИТЬ  ?
Оплата принимается только в биткоинах. Для дополнительной информации нажмите "Что такое биткоин?".
Пожалуйста, проверьте текущую цену биткоинов и переведите биткоины на указанную сумму. Для перевода средств нажмите "Перечислить биткоины".
И отправьте правильную сумму на адрес, указанный в этом окне. 
После перевода свяжитесь с консультантом и передайте чек с оплатой.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж.
Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!
С уважением, Wana Die

---
[1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT] [Копировать]
[Введите ключ расшифровки]
[Расшифровать]
---
Оплата будет повышена
Времени осталось
02:7:38:43
---
Ваши файлы будут утеряны
Времени осталось
06:22:45:23
---
Утеря важного файла
Времени осталось
00:0:01:03
---
Что такое биткоин?
Перечислить биткоины
Связаться с помощью
---

Красным выделены ошибки и неправильные речевые обороты, неприсущие правильной русской речи. 😄

Содержание текста о выкупе с изображения на экране:
Ууупс, ваши важные файлы зашифрованы.
Если вы читаете этот текст, но не видите окно "Wanna die decrypt0r", то тогда ваш антивирус удалил дешифратор. Отключите антивирусное программное обеспечение или удалите его с вашего компьютера.
Если вам нужны ваши файлы, вы должны запустить дешифратор программу.
Пожалуйста, найдите файл приложения с именем "@WannaDecrypt0r.exe" в любой папке или восстановите из антивирусного карантина.
Запустите и следуйте инструкциям!

Дополнение
Нижний блок "Утеря важного файла" сообщает об удалении первого стоящего файла. И это не пустые угрозы, файлы действительно удаляются по одному. Таким образом данный вымогатель ещё и выполняет деструктивные действия. 

Технические детали

Судя по глупым ошибкам в тексте о выкупе данный вымогатель или ещё находится в разработке или настолько плохо сделан. Хотя, намеренные ошибки и баги вполне могут быть отвлекающим манёвром, чтобы под прикрытием вымогательства воровать необходимую информацию. Уплата выкупа бесполезна!

Вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует Windows-программу wscript.exe для запуска инфекции. 

При алгоритме AES как ключ шифрования используется SHA256-хэш, которой берётся от исходного пароля, от строки из 8 символов. 

Кажется интересуется содержимым файлов со следующими расширениями:

.dotx, .html, .keychain, .pptx, .tax2014, .tax2015, .xlsb, .xlsm, .xlsx, .xltm, .xltx.  

Из них примечателен интерес к файлам типа .keychain (Mac OS X Keychain File) и .tax2014, .tax2015 (TurboTax). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .csv, .dat, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dt, .DT, .dt, .ged, .hbk, .hbk, .htm, .html, .key, .keychain, .md, .pps, .ppt, .pptx, .sdf, .tar, .tax2014, .tax2015, .txt, .vcf, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (41 расширение).
Это документы и шаблоны MS Office, файлы 1С, текстовые файлы, веб-страницы, базы данных, файлы специализированных программ и пр.

Файлы, связанные с этим Ransomware:
wndi.exe
ReadMe.txt
@WannaDecrypt0r.exe 
Wana_Decrypt0r.exe
@WannaDecrypt0r.png
proc.bat
pros.vbs
perfc.dat
perfd.dat
index.dat
ms.lnk
a.wndi
d.wndi
t.wndi

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\proc.bat
C:\pros.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> или VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaDie)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Leo (primary example and images)
 Alex Svirid (extensions and consultation)
 Michael Gillespie (identification in IDR)
 GrujaRS (video review, full ransom text and desktop)
 

© Amigo-A (Andrew Ivanov): All blog articles.