GrujaRSorium Ransomware
(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GrujaRSorium. На файле написано: GrujaRSorium.exe. Написан на C#.
Подробности о шифровании в комментариях после статьи.
© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnic, SymmyWare, GrujaRSorium, Epoblockl
Родство GrujaRSorium подтверждено IntezerAnalyze
К зашифрованным файлам добавляются расширения:
.aes
.aesed
.GrujaRS - в модифицированной версии
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает изображение, отбрасываемое на Рабочий стол.
all your files have been encrypted, if you want to restore it, send 1 encrypted file to it email:
no_restore_it@aol.com
ATTENTION!! You have 1 week to contact us, after 1 week, decrypting has been inposible
* - realy not restore!
Перевод записки на русский язык:
все ваши файлы зашифрованы, если вы хотите их восстановить, отправьте один зашифрованный файл на email:
no_restore_it@aol.com
ВНИМАНИЕ!! У вас есть 1 неделя, чтобы связаться с нами, после 1 недели расшифровка будет невозможна
* - реально не восстанавливать!
Запиской от злоумышленников также выступает следующее диалоговое окно.
Содержание записки о выкупе:
All files have been encrypted using unique 32 chars , and AES-256 + RSA-4096 (encryption has not never)! Your files DESTROYED! GrujaRS ******
Перевод записки на русский язык:
Все файлы были зашифрованы с уникальными 32 символами, и AES-256 + RSA-4096 (шифрования не было)! Ваши файлы ПОВРЕЖДЕНЫ! GrujaRS ******
В этой записке разработчик оскорбительно отзывается об исследователе вредоносных программ GrujaRS, из-за чего он и изменил свою первоначальную программу на одноименную и первоначальные расширения .aes и .aesed на .GrujaRS
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию:
.7z, .asp, .aspx,
.avi, .bc6, .bc7, .bkf, .bkp, .cas, .csv, .d3dbsp, .doc, .docx, .fos, .gdb, .gho,
.hkdb, .hplg, .html, .hvpl, .ibank, .icxs, .itdb, .itl, .itm, .m4a, .map, .mdb,
.mdbackup, .mddata, .mov, .mp4, .odt, .php, .pkpass, .png, .ppt, .pptx, .psd, .qdf,
.qic, .rar, .sb, .sid, .sidd, .sidn, .sie, .sis, .sql, .sum, .svg, .syncdb, .t12,
.t13, .tax, .txt, .vdf, .wma, .wmo, .wmv, .xls, .xlsx, .xml, .zip, .ztmp (65 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware:
GrujaRSorium.exe (WmiPrvSE.exe)
<random>.exe - случайное название
GrujaRS.png
GrujaRSorium.pdb
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: no_restore_it@aol.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >> HA>>
𝚺 VirusTotal анализ >> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: единичные случаи.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support 🎥 Video Review >>
- видеообзор от реального CyberSecurity GrujaRS
Thanks: Georg Nation, CyberSecurity GrujaRS Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
Его писали на C#
ОтветитьУдалитьТакже мое исследование нашлт два аспекта
ОтветитьУдалить1. Ключи RSA и AES выбрасываются
2. Aes и aesed модификация работает такова, RSA шифрует его до расширения .aes
2.1. .aesed становится когда этот файл шифруется в AES
https://www.hybrid-analysis.com/sample/3acf7fb87f7a63f87f526e4687f3b63ae9ad8b49258e397ba5c8246d38f0ea50/5be970067ca3e178fd315a93 Образец Sample #Ransomware #RC5 #BorlandDelphi7
ОтветитьУдалитьНе могу просмотреть, он не проанализирован.
УдалитьОбразец / Sample
ОтветитьУдалитьEpoblockl.exe - гениалогия - неизвестна
Hybrid Analysis / Гибридный анализ: https://www.hybrid-analysis.com/sample/d9b529aa3cc2025c0890ded467fb56f446174ab99256d7b0c3af50b49fb504fa
VirusTotal analysis / VirusTotal анализ: https://www.virustotal.com/ru/file/d9b529aa3cc2025c0890ded467fb56f446174ab99256d7b0c3af50b49fb504fa/analysis/1542123589/
Не смог увидеть никакой информации.
УдалитьСейчас скину норм семпл
Удалитьhttps://www.hybrid-analysis.com/sample/032d634ef17ed5850ef6d6b43e8fe567c3d20b48e2779fd64f5a37faea2f0d34 бери
УдалитьОК. Нормуль. Спасибо.
Удалить