MAFIA

MAFIA Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем оставляет короткую записку с номерами, причем неизвестно, как пострадавшие должны связаться с вымогателями, чтобы заплатить выкуп и вернуть файлы. Оригинальное название. На файле написано: winlogin.exe или что-то иное. Разработчик: Jin Woo (진우).

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .MAFIA или .mafia


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в первой половине августа 2018 г. Ориентирован на корейскоязычных пользователей, что не мешает распространять его по всему миру. Так как контакты с вымогателем отсутствуют, то, по всей видимости, пока недоработан. 

Записка с требованием выкупа называется: Information.html

Содержание записки о выкупе:
고유넘버 : 853e11f617b2b91ae549e7f50718262
고유넘버 : 6fe795f490c7732ac5e6186ca493718b

Перевод записки на русский язык:
Уникальный номер : 853e11f617b2b91ae549e7f50718262
Уникальный номер : 6fe795f490c7732ac5e6186ca493718b

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Пытается остановить службу AppCheck, с помощью команды:
sc stop AppCheck

AppCheck - это программа защиты от Ransomware, описание которой находится в другом моём блоге "Проект Anti-Ransomware".

➤ MAFIA для шифрования файлов использует OpenSSL. выполняя его с алгоритмом AES-256 в режиме CBC. 

➤ Из-за использования OpenSSL процесс шифрования протекает медленно и пользователь может завершить его процесс (обычно называемый winlogin.exe) или отключить ПК. 

➤ MAFIA использует прокси-сервер Tor для связи C2, куда пытается отправить ключ шифрования и IV, используя HTTP GET-запрос, который поможет исследователям расшифровать файлы, если сетевой трафик будет перехвачен в этот момент. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .a00, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ait, .alz, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkp, .bkp, .blend, .bmp, .bpw, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .csv, .dac, .db3.dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .egg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flv, .fpx, .fxg, .gif, .gray, .grey, .gry, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rtf, .rw1, .rw2, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vob, .wallet, .wav, .wb2, .wmv, .wpd, .wps, .x3f, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip (300 расширений)
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, прикладных программ, архивы и пр.

Файлы, связанные с этим Ransomware:
Information.html - оригинальный файл записки
Information.html.mafia - после шифрования файл получает расширение Information.html, но не шифруется
winlogin.exe
<random>.exe - случайное название
f4b25591ae53504ef5923344a9f03563 - группа из 5-ти бинарных файлов
da23c8a7be5d83ae3e6b7b3291fdb880 
0776e348313c7680db86ed924cff10b8 
6487edd9b1e7cf6be4a9b1ac57424548 
119228fb8f4333b1c10ff03543c6c0ea

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: http://onion.pet/ - прокси-сервер Tor 
C2 для 3-х бинарных файлов: wibkilmskir4rlxz.onion.plus
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Вы можете скачать декриптер от Майкла Джиллеспи >>

Attention!
Files can be decrypted!
You can download MAFIADecrypter of Michael Gillespie >> 

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as MAFIA)
 Write-up, Topic of Support
 * 

 Thanks: 
 Bart, MalwareHunterTeam, Michael Gillespie, 
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.