Если вы не видите здесь изображений, то используйте VPN.

вторник, 15 мая 2018 г.

Sepsis

Sepsis Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Sepsis Ransomware (написано в заголовке записки о выкупе). На файле написано: svchost.exe.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .SEPSIS
Фактически используется составное расширение .[Sepsis@protonmail.com].SEPSIS

Активность этого крипто-вымогателя пришлась на первую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Info.hta

Содержание записки о выкупе:
Welcome to Sepsis Ransomware!
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Sepsis@protonmail.com
Write this ID in the title of your message 16E734E0
In case of no answer in 24 hours write us to theese e-mails: sepsis@airmail.cc
The price depends on how fast you write to us. You have to pay for decryption in Bitcoins. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://locabitcoins.com/buy bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Добро пожаловать в Sepsis Ransomware!
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на e-mail Sepsis@protonmail.com
Напишите этот идентификатор из заголовка сообщения 16E734E0
В случае отсутствия ответа в течение 24 часов напишите нам на этот email: sepsis@airmail.cc
Цена зависит от того, как быстро вы напишете нам. Вы должны заплатить за дешифрование в биткоинах. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед уплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 10 Мб (не архивированный), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://locabitcoins.com/buy биткойны
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к полной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Из ресурсов видно, что используется одна составная команда:
/c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.AAPP, .BAT, .CAT, .CHM, .CHS, .CHT, .CNT, .CZE, .DAN, .DAT, .DEU, .DLL, .DOC, .DOCX, .ENU, .EPS, .EUQ, .ESP, .EXE, .FLT, .FRA, .GIF, .HLP, .HRV, .HTM, .HTML, .HUN, .HXK, .HXS, .HXT, .IDX_DLL, .INI, .ION, .ITA, .JPG, .JPN, .KOR, .LOG, .LOG1, .LOG2, .MSI, .NLD, .NOR, .OLB, .PDF, .PNG, .POL, .PTB, .RUM, .RUS, .SFX, .SKY, .SLV, .SUO, .SVE, .SYS, .TTF, .TUR, .TXT, .UKR, .WPG, .XLS, .XSL (63 расширения в верхнем регистре).
.aapp, .bat, .cat, .chm, .cxs, .cht, .cnt, .cze, .dan, .dat, .deu, .dll, .doc, .docx, .enu, .eps, .esp, .euq, .exe, .flt, .fra, .gif, .hlp, .hrv, .htm, .htm, .hun, .hxk, .hxs, .hxt, .idx_dll, .ini, .ion, .ita, .jpg, .jpn, .kor, .log, .log1, .log2, .msi, .nld, .nor, .olb, .pdf, .png, .pol, .ptb, .rum, .rus, .sfx, .sky, .slv, .suo, .sve, .sys, .ttf, .tur, .txt, .ukr, .wpg, .xls, .xsl (63 расширения в нижнем регистре).

Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., файлы без расширений, в том числе файл BOOTNXT.

Файлы, связанные с этим Ransomware:
Info.hta
svchost.exe
SadeghSample_5afc4a7c9931365644caeb64.exe
wr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Windows\svchost.exe

Жестко закодированный мьютекс: 
HJG><JkFWYIguiohgt89573gujhuy78^*(&(^&^$
䩈㹇䨼䙫套杉極桯瑧㤸㜵朳橵畨㝹常⠪⠦♞⑞

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sepsis@protonmail.com
sepsis@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Sepsis)
 Write-up, Topic of Support
 🎥 Video review
 <- Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *