Sigrun

Sigrun Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SIGRUN RANSOMWARE и SIGRUN 1.0 RANSOMWARE. На файле может быть написано, что угодно. Для вас подготовлен видеообзор. 

© Генеалогия: ✂ GandCrab > Sigrun

К зашифрованным файлам добавляется расширение .sigrun

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html

Тексты в видимой части аналогичны. Но в html-записке есть еще скрытый текст. Об этом ниже. 

Содержание записки о выкупе (ранний вариант):
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Dear user, all your important files have been encrypted!
Don't worry! Your files still can be restored by us!
In order to restore it you need to contact with us via e-mail.
sigrun_decryptor@protonmail.ch
As a proof we will decrypt 3 files for free!
Please, attach this to your message:
94 04 00 00 50 1a 63 58  dc 54 f5 a7 fa 63 0f e2
13 f5 37 1d e8 4b 68 4d  3d 8a 15 cc 50 47 46 e2
33 0c fa f0 5e ee 21 3e  24 70 f5 55 6e 34 71 b9
2a cd d6 c3 09 07 0b d4  13 77 10 50 35 14 6d af
77 7b aa a4 1b 30 37 bс  3a bd 64 12 79 63 15 9a

Перевод записки на русский язык:
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Уважаемый пользователь, все ваши важные файлы были зашифрованы!
Не волнуйся! Ваши файлы могут быть восстановлены нами!
Чтобы восстановить его, вам нужно связаться с нами по email.
sigrun_decryptor@protonmail.ch
В качестве доказательства мы расшифруем 3 файла бесплатно!
Пожалуйста, приложите это к вашему сообщению:
[1688 байт в HEX]

В HTML-записке имеется скрытый текст на исландском или древнескандинавском. 

Содержание этого текста на исландском или древнескандинавском языке: 
Þá brá ljóma
af Logafjöllum,
en af þeim ljómum
leiftrir kómu,
hávar und hjalmum
á Himinvanga,
brynjur váru þeira
blóði stokknar,
en af geirum
geislar stóðu.

Как оказалось, это поэтическое повествование из "Старшей Эдды". Ссылка >>
Sigrun - персонаж из норвежской мифологии, валькирия. Ссылка >>

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ UAC не обходит, требуется разрешение на запуск. 

➤ Удаляет точки восстановления системы (снапшоты). 

➤ Sigrun проверяет значения в реестре HKEY_CURRENT_USER\Keyboard Layout\Preload и ищет "00000419" (Russian LCID в hex). 

Вывод: русскоязычные системы пользователей не должны быть зашифрованы этим шифровальщиком. Если это произойдёт, то для пострадавших из России и некоторых стран СНГ (с русским основным языком) могут расшифровать бесплатно. Назваться русским, чтобы обмануть, не выйдет. 

Список файловых расширений, подвергающихся шифрованию:
.acl, .acrodata, .avi, .bak, .blog, .bmp, .btapp, .cfg, .conf, .contact, .crl, .css, .dat, .data, .db, .DIC, .doc, .docx, .dot, .dotm, .dotx, .etl, .flv, .gif, .glox, .html, .info, .ini, .jpg, .js, .json, .jsonlz4, .m4a, .metadata, .metadata-v, .mkv, .mp3, .mp4, .mpt, .ods, .ods, .odt, .one, .ots, .pdf, .png, .ppt, .pptx, .pst, .rdf, .rtf, .sdi, .searchconnector-ms, .sqlite, .srs, .swf, .thmx, .timestamp, .url, .wim, .wmv, .wtv, .xml, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Список расширений, которые находятся в "белом списке" и не шифруются:

.admin, .ani, .bat, .cab, .cmd, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .exe, .hlp, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .sigrun, .sigrun_key, .spl, .sys, .theme, .themepack

В белом списке также находятся файлы, которые находятся в следующих директориях:
Windows, ProgramData, Program Files, All Users, Local Settings, Boot, IETldCache, Tor Browser

Также пропускаются шифровальщиком файлы:
desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, ntldr, NTDETECT.COM, Bootfont.bin

Файлы, связанные с этим Ransomware:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html
sigrun.exe
timeout.exe
<random>.exe - случайное название
<random>.sigrun_key

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\

Записи реестра, связанные с этим Ransomware:
SOFTWARE\Valkyrie\data
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sigrun_decryptor@protonmail.ch
xxxxs://files.freemusicarchive.org/***
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Sigrun Ransomware (early version, without the number) - mid-May, 2018
Sigrun 1.0 Ransomware - May 24, 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 мая 2018:
Пост в Твиттере >

Результаты анализов: VT
Записки о выкупе:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html
Изменения в записках:

➤ Содержание txt-записки: 
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Attention! 
All your files documents, photos, databases and other important files are encrypted and have the extension: .sigrun
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files. 
But don't worry! You still can restore it!
In order to restore it you need to contact with us via e-mail.
 -----------------------------------------------
 | Our e-mail is: decrypt_sigrun@protonmail.ch |
 -----------------------------------------------
As a proof we can decrypt 3 files for free!
Please, attach this to your message:
94 04 00 00 84 94 38 1f  4b 16 84 33 9b f1 13 dc
27 c4 b8 bc 93 b5 bb 84  0b 89 ef 49 db f6 22 c5
6f 75 6c 8b 8a f6 11 65  86 9b d5 3f f7 26 b0 75
fc ef 70 0c a8 da f5 90  2a 34 aa f6 24 c8 53 97
a5 5d 27 44 2b 0d 6c 28  16 2e 32 09 7a 39 a8 fa***

➤ Содержание html-записки: 
SIGRUN 1.0 RANSOMWARE
All your important files are encrypted
Your files has been encrypted by sigrun ransomware with unique decryption key.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software. 
We accept Bitcoin and Dash,  you can find exchangers on https://www.bitcoin.com/buy-bitcoin and https://www.dash.org/exchanges/  and others.
You have unique idkey (in a dark blue frame), write it in letter when contact with us.
Also you can decrypt 3 files for test, its guarantee what we can decrypt your files.
IDKEY:
>>> 94 04 00 00 84 94 38 1f 4b 16 84 33 9b f1 13 dc 27 c4 b8 bc 93 b5 bb 84 0b 89 ef 49 db f6 22 c5 6f 75 6c 8b 8a f6 11 65 86 9b d5 3f f7 26 b0 75 fc ef 70 0c a8 da f5 90 2a 34 aa f6 24 c8 53 97 a5 5d 27 44 2b 0d 6c 28 16 2e 32 09 7a 39 a8 fa *** <<<
Contact information:
email: decrypt_sigrun@protonmail.ch 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Для пострадавших из России и некоторых стран СНГ (с русским основным языком) 
могут расшифровать бесплатно. 
*
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Sigrun)
 Write-up, Topic of Support
 🎥 Video review

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 S!Ri, Alex Svirid
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.