понедельник, 19 февраля 2018 г.

Annabelle

Annabelle Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES256 (режим CBC) с жёстко запрограммированным ключом и вектором инициализации, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Annabelle. На файле написано: Annabelle.exe и UpdateBackup.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Stupid / FTSCoder >> Annabelle

Этимология названия:
Разработчик использовал куклу Annabelle из одноимённой кино-франшизы (фильм-ужасов, производство США).

К зашифрованным файлам добавляется расширение .ANNABELLE

Образец этого крипто-вымогателя был найден во второй половине февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your Personal ID: HIuMVtQbk
Frequently Asked Questions
What happened to my files?
All your files are encrypted and secured with a strong key. There is no way to get them back without your personal key.
How can I get my personal key?
Well you need to pay for it. You need to visit one of the special site below & then you need to enter your personal ID (you find it on the top) & buy it. Actually it costs exactly 0.1 Bitcoins.
Darknet Site: xxxx://annabelle85x9tbxiyki.onion/tbxlyki
Darknet Site: xxxx://annabelle59j3mbtyyki.onion/mbtyyki
How can I get access to the site?
You easily need to download the Torbrowser, you can get it from this site:
xxxxs://www.torproiect.org/
What is goin to happen if I'm not going to pay?
If you are not going to pay, then the countdown will easily ran out and then your system will be broken. If you are going to restart, then the countdown will ran out a much faster. So, its not a good idea to do it.
I got the key, what should I do now?
Now you need to enter your personal key in the textbox below. Then you will get access to the decryption program.
- The darknet sites are not existing, its just an example text. The other things are right, except the darknet thing. Its possible to get the key, but if I going to do a new trojan, or new version of this then I will add real ways to get the key :) If you wanna that I going to do a 2.0 or a new trojan, then write it below in the comments. Thanks
If you wanna chat with me, contact me easily in discord: iCoreX#1337

Перевод текста на русский язык:
Ваш личный ID: HIuMVtQbk
Часто задаваемые вопросы
Что случилось с моими файлами?
Все ваши файлы зашифрованы и защищены сильным ключом. Нет способа вернуть их без вашего личного ключа.
Как я могу получить свой личный ключ?
Вам нужно заплатить за это. Вам нужно посетить один из специальных сайтов ниже, а затем вам нужно ввести свой личный ID (вы найдете его сверху) и купить его. На самом деле он стоит ровно 0,1 биткойнов.
Даркнет Сайт: xxxx://annabelle85x9tbxiyki.onion/tbxlyki
Даркнет Сайт: xxxx://annabelle59j3mbtyyki.onion/mbtyyki
Как я могу получить доступ к сайту?
Вам просто нужно скачать Tor-browser, можете получить его с этого сайта:
xxxxs://www.torproiect.org/
Что произойдет, если я не буду платить?
Если вы не собираетесь платить, тогда обратный отсчет просто закончится, а затем ваша система будет сломана. Если вы сделаете перезапуск, то обратный отсчёт пойдет намного быстрее. Итак, это не очень хорошая идея.
Я получил ключ, что мне теперь делать?
Теперь вам нужно ввести свой личный ключ в текстовое поле ниже. Затем вы получите доступ к программе дешифрования.
- Даркнет-сайты не существуют, это всего лишь пример текста. Другие вещи справа, кроме даркнет. Его можно получить ключом, но если я соберусь сделать новый троянец или новую версию этого, я добавлю реальные способы получить ключ :) Если вы хотите, чтобы я сделал 2.0 или новый троянец, тогда напишите это ниже в комментариях. Спасибо.
Если вы хотите пообщаться со мной, свяжитесь со мной легко в discord: iCoreX # 1337



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Использует сервис myip.dnsomatic.com для определения IP компьютера жертвы. 
➤ Завершает работу Msconfig, Диспетчер задач, браузеров, утилит Process Hacker, Process Explorer и т.д.
 Использует IFEO для отключения запуска множества приложений (Notepad, Internet Explorer, Edge, Chrome, Opera, Firefox, bcdedit и др.) и запуска собственных. 
 Заменяет Userinit. 
 Пытается распространяться через съёмные накопители с помощью файлов autorun.inf.
 Пытается запугать жертву визуально и текстами. 

 Удаляет теневые копии файлов командой: 
vssadmin delete shadows /all /quiet

 Использует shutdown.exe для перезагрузки ПК с командой 
"C:\Windows\System32\shutdown.exe" -r -t 00 -f

 До перезагрузки ещё выводит следующее сообщение:
Содержание текста: 
Warning! Do you got .NET Framework'4.5' (not 4.0)? If you are not running it with .NET Framework'4.5' then the TROJAN wont work! If you got .NET Framework '4.5' then press on 'yes' if not then on 'no'!

Перевод текста на русский язык:
Предупреждение! У вас есть .NET Framework'4.5' (не 4.0)? Если вы запустили это без .NET Framework'4.5', то ТРОЯН не сработает! Если у вас есть .NET Framework '4.5', жмите 'yes', если нет, то 'no'!

 После перезагрузки вывод экран блокировки с таймером и IP-адресом. Таймер отсчитывает время в секундах, через некоторое время появляются другие элементы на экране. 


 Если таймер досчитает до конца, то вызывается BSOD, а затем модифицирует MBR, чтобы показать следующий экран.


Список файловых расширений, подвергающихся шифрованию:
.jpg, .lnk, .png, .rtf, 
Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
nbnbnbnbnbnb.exe (Annabelle.exe)
<random>.exe - случайное название
autorun.inf
Copter.flv.exe
MBRiCoreX.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://myip.dnsomatic.com/
xxxx://annabelle85x9tbxiyki.onion/tbxlyki
xxxx://annabelle59j3mbtyyki.onion/mbtyyki
См. ниже результаты анализов.

Результаты анализов:
ANY.RUN анализ и обзор >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщики:
1. Скачать StupidDecrypter для дешифровки >>
Читайте инструкцию перед использованием
---
2. Скачать Annabelle Decryptor для дешифровки >>
Читайте инструкцию перед использованием
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Bart
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton