воскресенье, 27 мая 2018 г.

Aurora

Aurora Ransomware
OneKeyLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью DES, а затем требует выкуп в $100-500 BTC, чтобы вернуть файлы. Оригинальное название: Aurora Ransomware. На файле проекта написано: One key locker.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Aurora

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на конец мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа разбрасывается в 6 экземплярах и называется:
HOW_TO_DECRYPT_YOUR_FILES.txt
HOW_TO_DECRYPT_YOUR_FILES2.txt
HOW_TO_DECRYPT_YOUR_FILES3.txt
HOW_TO_DECRYPT_YOUR_FILES4.txt
HOW_TO_DECRYPT_YOUR_FILES5.txt
HOW_TO_DECRYPT_YOUR_FILES6.txt
Содержание записки о выкупе:
===# aurora ransomware #===
Aurora Ransomware
---
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
anonimus.mr@yahoo.com
And pay 500$ on 3CwxawqJpM4RBNididvHf8LhFA2VfLsRjM wallet
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
===# aurora ransomware #===

Перевод записки на русский язык:
===# aurora ransomware #===
Aurora Ransomware
---
ПРОСТИ! Ваши файлы зашифрованы.
Содержимое файла зашифровано случайным ключом.
Случайный ключ зашифрован открытым ключом RSA (2048 бит).
Мы ОЧЕНЬ РЕКОМЕНДУЕМ вам НЕ использовать "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, сделав восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый ключ RSA.
Чтобы получить закрытый ключ, пишите сюда:
anonimus.mr@yahoo.com
И заплатите 500$ на кошелек 3CwxawqJpM4RBNididvHf8LhFA2VfLsRjM
Если кто-то предлагает вам восстановление файлов, спросите у него тест-расшифровку.
  Только мы можем успешно расшифровать ваши файлы; знайте, это защитит вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
===# aurora ransomware #===



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ На заражённых сайтах определяется JSCoinminer, проводится веб-атака на компьютеры посетителей. 

➤ Проверяются IP-адреса компьютеров, чтобы определить, какой из ПК имеет российский IP. Мы по понятным причинам не проверяли работу шифровальщика на ПК с российскими IP, т.к. это не отменяет вредоносности данного шифровальщика. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_YOUR_FILES.txt
HOW_TO_DECRYPT_YOUR_FILES2.txt
HOW_TO_DECRYPT_YOUR_FILES3.txt
HOW_TO_DECRYPT_YOUR_FILES4.txt
HOW_TO_DECRYPT_YOUR_FILES5.txt
HOW_TO_DECRYPT_YOUR_FILES6.txt
List.exe
hack.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: anonimus.mr@yahoo.com
Email-2: lenboza@protonmail.ch
BTC-1: 3CwxawqJpM4RBNididvHf8LhFA2VfLsRjM
BTC-2: 172fqoLfYkMQXk6tmEqGH3y43gQwAzSSFJ
IP ID: www.geoplugin.net (178.237.36.10:80) - проверка IP
C&C: xxxx://host1681251.hostland.pro (185.26.122.70:80)
C&C: xxxx://host1676568.hostland.pro/hack.exe***
 
Сайты на hostland.pro уже заблокированы. 

Внимание заражённые сайты!
xxxx://kak-pravilno-budet.ru/kak-pravilno-delat/kak-pravilno-delat-vodochnyj-kompress.html - заражённый шифровальщиком сайт + JSCoinminer
xxxx://sovetuem-beremennym.ru/beremennost-posle - заражённый шифровальщиком сайт + JSCoinminer
xxxx://zdorovajasemja.ru/ - заражённый шифровальщиком сайт + JSCoinminer

Подробности по этим фальшивым "российским" сайтам. 
 

Эти сайты относятся к некому хостеру-посреднику ardis.ru, который сам хостуется у hostland.ru и под таким прикрытием управляет кучей вредоносных и опасных сайтов. 
Кто такие Ardis.ru? Адрес в Калининграде, шведское личное имя в названии, представитель компании из Нидерландов... Автоответчик техподдержки говорит, что они работают с 9 утра, но если звонить позже, то они и позже не работают. Странная компания и совершенно НЕ российская. 
Антивирусная защита Norton Security сразу блокирует доступ к этим сайтам:
***kak-pravilno-budet.ru/kak-pravilno-delat/*** - VT анализ
***sovetuem-beremennym.ru/beremennost-posle/*** - VT анализ
***zdorovajasemja.ru/*** - VT анализ
Я поставил вокруг адресов "звёздочки, чтобы поисковики не считали этот адрес. 
Яндекс показывает, что наиболее популярным по запросам пользователей является сайт kak-pravilno-budet.ru
 Информация по этим вредоносным сайтам уже есть у Google и Яндекса. 

☎ Роскомнадзору или Управлению "К" МВД впору заинтересоваться этими сайтами и выяснить, что это за "неправильные" русские сайты и почему они распространяют шифровальщик Aurora и Coinminer под прикрытием ardis.ru


Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>  AR>>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇  MalShare анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 6 июня 2018:
Пост в Твиттере >>
Расширение .Aurora
Записка: #RECOVERY-PC#.txt
Email: big.fish@vfemail.net
BTC: 1GSbmCoKzkHVkSUxqdSH5t8SxJQVnQCeYf
Сумма выкупа: 200$ 
Скриншот записки >>
Содержание записки о выкупе: 
==========================# aurora ransomware #==========================
SORRY! Your files are encrypted.
File contents are encrypted with random key.
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
big.fish@vfemail.net
And send me your id, your id:
***
And pay 200$ on 1GSbmCoKzkHVkSUxqdSH5t8SxJQVnQCeYf wallet
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
==========================# aurora ransomware #==========================



Обновление от 12-14 июня:
Специалисты из CERT-GIB сообщили, что заблокированы вредоносные домены:  
xxxx://kak-pravilno-budet.ru/kak-pravilno-delat/
xxxx://sovetuem-beremennym.ru/
xxxx://zdorovajasemja.ru/
Контакты CERT-GIB Россия: 
Телефон: +7 (495) 988-00-40
Email: response@cert-gib.ru
http://www.cert-gib.ru/





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Aurora)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton