пятница, 17 ноября 2017 г.

WannaDie

WannaDie (WanaDie) Ransomware

WannaCry Imposter Ransomware

Wanna_die_decrypt0r Ransomware

(шифровальщик-вымогатель, подражатель, деструктор)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+SHA-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Wana die decrypt0r (Wanna die decrypt0r) и Wana_Decrypt0r. На файле написано: wndi и wndi.exe. Начальное название проекта: CryptoWall. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > WannaCry Imposter 


Изображение принадлежит шифровальщику

Этимология названия:
Как видно из представленных выше названий, сам разработчик вымогателя так и не определился с названием, т.к. сначала он назвал его CryptoWall, желая создать творение, подобное ему. Потом по миру нашумел вымогатель WannaCry, и разработчик захотел творить в эту сторону, но и этот шифровальщик заглох в эфире. Тогда разработчику WannaDie совсем некому стало подражать (ну не BadRabbit-у же, который и дня не продержался!) и он решил выплеснуть накопившуюся энергию в нечто сумбурное. Уж тогда бы лучше назвал свое творение просто WannaMoney. Оно пока не занято другими вымогателями. 😉

К зашифрованным файлам добавляется расширение .wndie

Исследователи также сообщают о неудачных случаях шифрования. Видимо, пока в разработке, или имеет скрытый функционал. 

Активность этого крипто-вымогателя обнаружена в середине ноября 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают экран блокировки и изображение, заменяющее обои рабочего стола, на котором написан другой текст на русском языке и небольшой текстовый файл с надписью на английском.
Комбинированное изображение требований

Окно экрана блокировки
Требования на обоях на Рабочего стола и файлы

Содержание текста о выкупе из окна экрана блокировки:
Файлы зашифрованы, что делать?
ЧТО СЛУЧИЛОСЬ С МОИМ КОМПЬЮТЕРОМ ?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
МОЖНО ЛИ ВОССТАНОВИТЬ ФАЙЛЫ ?
Конечно Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у нас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать "Расшифровать".
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
Каждую минуту мы будем уничтожать по одному нужному вам файлу, чтобы ускорить процесс (оплата-дешифровка).
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течении 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мороприятия для пользователей, которые настолько бедны, что не смогут заплатить за 6 дней.
КАК МНЕ ОПЛАТИТЬ  ?
Оплата принимается только в биткоинах. Для дополнительной информации нажмите "Что такое биткоин?".
Пожалуйста, проверьте текущую цену биткоинов и переведите биткоины на указанную сумму. Для перевода средств нажмите "Перечислить биткоины".
И отправьте правильную сумму на адрес, указанный в этом окне. 
После перевода свяжитесь с консультантом и передайте чек с оплатой.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж.
Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!
С уважением, Wana Die
---
[1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT] [Копировать]
[Введите ключ расшифровки]
[Расшифровать]
---
Оплата будет повышена
Времени осталось
02:7:38:43
---
Ваши файлы будут утеряны
Времени осталось
06:22:45:23
---
Утеря важного файла
Времени осталось
00:0:01:03
---
Что такое биткоин?
Перечислить биткоины
Связаться с помощью
---

Красным выделены ошибки и неправильные речевые обороты, неприсущие правильной русской речи. 😄

Содержание текста о выкупе с изображения на экране:
Ууупс, ваши важные файлы зашифрованы.
Если вы читаете этот текст, но не видите окно "Wanna die decrypt0r", то тогда ваш антивирус удалил дешифратор. Отключите антивирусное программное обеспечение или удалите его с вашего компьютера.
Если вам нужны ваши файлы, вы должны запустить дешифратор программу.
Пожалуйста, найдите файл приложения с именем "@WannaDecrypt0r.exe" в любой папке или восстановите из антивирусного карантина.
Запустите и следуйте инструкциям!

Дополнение
Нижний блок "Утеря важного файла" сообщает об удалении первого стоящего файла. И это не пустые угрозы, файлы действительно удаляются по одному. Таким образом данный вымогатель ещё и выполняет деструктивные действия. 



Технические детали

Судя по глупым ошибкам в тексте о выкупе данный вымогатель или ещё находится в разработке или настолько плохо сделан. Хотя, намеренные ошибки и баги вполне могут быть отвлекающим манёвром, чтобы под прикрытием вымогательства воровать необходимую информацию. Уплата выкупа бесполезна!

Вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует Windows-программу wscript.exe для запуска инфекции. 

При алгоритме AES как ключ шифрования используется SHA256-хэш, которой берётся от исходного пароля, от строки из 8 символов. 

Кажется интересуется содержимым файлов со следующими расширениями:
.dotx, .html, .keychain, .pptx, .tax2014, .tax2015, .xlsb, .xlsm, .xlsx, .xltm, .xltx.  

Из них примечателен интерес к файлам типа .keychain (Mac OS X Keychain File) и .tax2014, .tax2015 (TurboTax). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .csv, .dat, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dt, .DT, .dt, .ged, .hbk, .hbk, .htm, .html, .key, .keychain, .md, .pps, .ppt, .pptx, .sdf, .tar, .tax2014, .tax2015, .txt, .vcf, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (41 расширение).
Это документы и шаблоны MS Office, файлы 1С, текстовые файлы, веб-страницы, базы данных, файлы специализированных программ и пр.

Файлы, связанные с этим Ransomware:
wndi.exe
ReadMe.txt
@WannaDecrypt0r.exe 
Wana_Decrypt0r.exe
@WannaDecrypt0r.png
proc.bat
pros.vbs
perfc.dat
perfd.dat
index.dat
ms.lnk
a.wndi
d.wndi
t.wndi

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\proc.bat
C:\pros.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> или VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaDie)
 Write-up, Topic of Support
 🎥 Video review
 Thanks: 
 Leo (primary example and images)
 Alex Svirid (extensions and consultation)
 Michael Gillespie (identification in IDR)
 GrujaRS (video review, full ransom text and desktop)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton