суббота, 2 декабря 2017 г.

Blind-Napoleon

Blind 2 Ransomware
Blind-Napoleon Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: NAPOLEON DECRYPTER. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Blind Original > Blind-2 (Blind-Napoleon)


Картинка с портретом Наполеона, императора Франции

К зашифрованным файлам добавляется расширение .napoleon
Фактически используется составное расширение .[supp01@airmail.cc].napoleon

Шаблон можно записать так: .[email].napoleon

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

🚩 У любых более новых версий Blind имеется новый длинный ключ, поэтому он идентифицируется Blind-2 и пока не дешифруется. 

Записка с требованием выкупа называется: How_Decrypt_Files.hta
Требования о выкупе, полученные в Windows 7

Требования о выкупе, полученные в Windows XP


Содержание записки о выкупе:
Attention!
Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - NAPOLEON DECRYPTER Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk.
If you want to restore files, write us to the e-mail: supp01@airmail.cc In subject line write encryption and attach your ID in body of your message also attach to email 3 crypted files, (files have to be less than 2 MB)
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week in interest of our security.
Only in case you do not receive a response from the first email address withit 48 hours, please use this alternative email adress: supportdecrypt2@cock.li
Your personal identification number:
622DE26A502745BA55278CF3359F0*****

Перевод записки на русский язык:
Внимание!
Ваши документы, фотографии, базы данных и другие важные файлы были криптографически сильно зашифрованы, без оригинального ключа восстановление невозможно! Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - NAPOLEON DECRYPTER. Использование других инструментов может повредить ваши файлы, в случае использования сторонних программ мы не даем гарантий полного восстановления, поэтому используйте их на свой страх и риск.
Если вы хотите восстановить файлы, напишите нам на email-адрес: supp01@airmail.cc В строке темы пишите "encryption" (шифрование) и вставьте свой идентификатор в тело сообщения, а также приложите к email-письму 3 зашифрованных файла (файлы должны быть меньше 2 Мб)
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить ваши ключи дешифрования на нашем сервере более одной недели в интересах нашей безопасности.
Только в том случае, если вы не получите ответ с первого email-адреса за 48 часов, используйте этот альтернативный email-адрес: supportdecrypt2@cock.li
Ваш личный идентификационный номер:
622DE26A502745BA55278CF3359F0 *****



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

По сравнению c версией Blind Original данная версия Blind-Napoleon имеет новоизменения. 
- Blind-Napoleon удаляет теневые копии, получив необходимые привилегии.
Затем он завершает процессы, связанные с базами данных - Oracle и SQL Server. Затем он проходит через все диски и шифрует найденные файлы. После шифрования появляется всплывающая HTA-записка о выкупе. 
- Blind-Napoleon атакует как стационарные (DRIVE_FIXED), так и удалённые диски (DRIVE_REMOTE)
- Email-адрес, используемая в расширении, жестко закодирована в коде вымогателя.

Подробности о ключах шифрования
- Открытый ключ RSA используется для шифрования случайного ключа, созданного для каждой конкретной жертвы. Случайным ключом является тот, который используется для шифрования файлов, после его использования и уничтожения зашифрованная версия этого ключа сохраняется в идентификаторе жертвы, отображаемом в записке о выкупе. Только нападающие, имеющие закрытый ключ RSA, способны его восстановить.
- Случайный ключ AES (32-бит) генерируется функцией, предоставляемой библиотекой Crypto ++. Он используется под защищенным случайным генератором: CryptGenRandom. Все файлы зашифрованы одним и тем же ключом, однако для каждого из них используется разный вектор инициализации.
- В конце каждого файла находится уникальный 384-ти значный блок буквенно-цифровых символов. Это всего 192 байта, записанные в шестнадцатеричном виде. Скорее всего, этот блок является зашифрованным вектором инициализации для конкретного файла.
Подробнее о шифровании в Blind-Napoleon см. в статье MalwareBytesLabs

Список файловых расширений, подвергающихся шифрованию:
Шифруются ВСЕ ФАЙЛЫ, кроме уже зашифрованных с расширением .napoleon и собственных записок о выкупе.
Это, разумеется, будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_Decrypt_Files.hta
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: supp01@airmail.cc и supportdecrypt2@cock.li
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusBuy анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 декабря 2017:
Пост в Твиттере >>
Тема на форуме >>
Зашифрованный файл имеет в конце 1920-байтный ASCII-код, вероятно, зашифрованный ключ.
Расширение: .skeleton
Составное расширение: .[skeleton@rape.lol].skeleton
Email: skeleton@rape.lol
Файлы: skeleton.exe
Результаты анализов: VT
Записка: How_Decrypt_Files.txt
Содержание записки: 
Hello !
All your files have been encrypted !
If you want restore your files write on email - skeleton@rape.lol
In the subject write - ID-3A7D96F8

Обновление от 25 декабря 2017:
Пост в Твиттере >>
Расширение: .blind2
Составное расширение: .[blind@airmail.cc].blind2
Шаблон расширения: .[<email>].blind2
Email: blind@airmail.cc
Записка: How_Decrypt_Files.txt
Содержание записки: 
Hello !
All your files have been encrypted !
If you want restore your files write on email - blind@airmail.cc
In the subject write - ID-xxxxxxxx




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Blind 2)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Jakub Kroustek‏ 
 Michael Gillespie
 MalwareBytesLabs
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton