Если вы не видите здесь изображений, то используйте VPN.

среда, 30 января 2019 г.

Xorist-Mcafee

Xorist-Mcafee Ransomware

(шифровальщик-НЕ-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью TEA, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: werfault.exe и Mcafee.exe.

© Генеалогия: Xorist >> Xorist-Mcafee

К зашифрованным файлам добавляется расширение: .Mcafee


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января 2019 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записка без требования выкупа называется: HOW TO DECRYPT FILES

Содержание записки о выкупе:
Usted fue encriptado por Mcafee que ironia no?

Перевод записки на русский язык:
Вы были зашифрованы Mcafee, чем ни ирония?



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (57 расширений).  
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES
werfault.exe, Mcafee.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%WINDIR%\SysWOW64\werfault.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: нет.
BTC: нет.
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, S!Ri
 Andrew Ivanov (author), Thyrex
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 29 января 2019 г.

Desync

Desync Ransomware

Unnamed Desync Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные локальной сети предприятий с помощью AES (режим ECB), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Desync.exe, final.exe.

Обнаружения: 
DrWeb -> Trojan.Encoder.30165
BitDefender -> Trojan.GenericKD.32729192
McAfee -> Ransom-Desync!871C3954914B
Symantec -> Trojan Horse

© Генеалогия: Indrik ? > Desync



К зашифрованным файлам добавляется расширение: .DESYNC


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # HOW TO DECRYPT YOUR FILES #.txt

Содержание записки о выкупе:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
*** PLEASE READ THIS FILE IF YOU WANT TO GET BACK YOUR FILES ***
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
All your files are encrypted on your network using a powerful and highly sophisticated encryption algorithm.
No way to recover your files without buy special decryption service that we have made for you!
If you are looking for internet. You will see nothing except scam websites want you to install their software and waste your money for them.
Any change in encrypted files completely breaks your file for every.
Will free guarantee our decryption service, we have to offer you 'ONE FREE FILE DECRYPTION'
You can send us one of any of your encrypted files in the first contact with us.
But, if you want to recover all your files need to make payment.
Now go to your email and send your 'PERSONAL IDENTIFIER' to following e-mail address:
desync@airmail.cc
Don't forget to send e-mail us only with your work e-mail address, else we never reply you.
-----BEGIN PERSONAL IDENTIFIER-----
[redacted 0x100 bytes in base64]
-----END PERSONAL IDENTIFIER-----

Перевод записки на русский язык:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
*** ПОЖАЛУЙСТА, ПРОЧИТАЙТЕ ЭТОТ ФАЙЛ, ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ СВОИ ФАЙЛЫ ***
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Все ваши файлы зашифрованы в вашей сети с использованием мощного и очень сложного алгоритма шифрования.
Невозможно восстановить ваши файлы без покупки специальной услуги дешифрования, которую мы сделаем для вас!
Если вы посмотрите интернет. Вы не увидите ничего, кроме мошеннических сайтов, которые хотят, чтобы вы установили их программу и тратили на них деньги.
Любое изменение в зашифрованных файлах полностью разрушает ваш файл для каждого.
Мы бесплатно гарантируем нашу услугу дешифрования, мы должны предложить вам 'РАСШИФРОВАТЬ ОДИН ФАЙЛ БЕСПЛАТНО'
Вы можете отправить нам один из ваших зашифрованных файлов при первом контакте с нами.
Но, если вы хотите восстановить все ваши файлы, надо произвести оплату.
Теперь перейдите на свой email и отправьте свой 'ЛИЧНЫЙ ИДЕНТИФИКАТОР' на следующий email-адрес:
desync@airmail.cc
Не забудьте отправить нам email только с вашим рабочим email-адресом, иначе мы никогда не ответим вам.
----- НАЧАЛО ЛИЧНОГО ИДЕНТИФИКАТОРА -----
[здесь 0x100 байтов в base64]
----- КОНЕЦ ЛИЧНОГО ИДЕНТИФИКАТОРА -----



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# HOW TO DECRYPT YOUR FILES #.txt
Desync.exe
final.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 

Global\Indrik

Сетевые подключения и связи:
Email: desync@airmail.cc
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 11-18 ноября 2019:
Топик на форуме >>
Расширение: .DESYNC
Записка: # HOW TO DECRYPT YOUR FILES #.txt
Email: yeahdesync@airmail.cc
Файл: Desync.exe
Результаты анализов: VT + VMR
BitDefender -> Trojan.GenericKD.32729192
McAfee -> Ransom-Desync!871C3954914B
Symantec -> Trojan Horse
➤ Содержание записки: 
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
*** PLEASE READ THIS FILE IF YOU WANT TO GET BACK YOUR FILES ***
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
All your files are encrypted on your network using a powerful and highly sophisticated encryption algorithm.
No way to recover your files without buy special decryption service that we have made for you!
If you are looking for internet. You will see nothing except scam websites want you to install their software and waste your money for them.
Any change in encrypted files completely breaks your file for every.
Will free guarantee our decryption service, we have to offer you 'ONE FREE FILE DECRYPTION'
You can send us one of any of your encrypted files in the first contact with us.
But, if you want to recover all your files need to make payment.
Full decryption cost is $500 in Bitcoin.
Now go to your email and send your 'PERSONAL IDENTIFIER' to following e-mail address:
yeahdesync@airmail.cc
-----BEGIN PERSONAL IDENTIFIER-----
**********
-----END PERSONAL IDENTIFIER-----





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Desync)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 28 января 2019 г.

MewWare, Unit09

Unit09 Ransomware

MewWare Ransomware

(фейк-шифровальщик, стиратель, деструктор)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $10 в BTC, чтобы вернуть файлы. Оригинальное название: MewWare. На файле написано: MewWare.exe. На самом деле файлы перезаписываются случайными байтами и не подлежат восстановлению. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .UNIT09


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января 2019 г. Штамп времени: 25 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: $!READ ME.txt

Содержание записки о выкупе:
Dear <user_name>, Thanks for being a part of UNIT-109
But sadly its time to go. Send $10 in BTC to 1P9NNpNtbhsKaxr2oGkSaqUQb1kB4trS5U
Your files will be unrecoverable after 72 hours. Be quick ;)
-[redacted 0x4D bytes, ending in "(keep going)"]

Перевод записки на русский язык:
Уважаемый <user_name>, спасибо, что вы стали частью UNIT-109
Но, к сожалению, пора идти. Отправьте $10 в BTC на 1P9NNpNtbhsKaxr2oGkSaqUQb1kB4trS5U
Ваши файлы не вернуть после 72 часов. Быстрее ;)
- [изменено 0x4D байт, на конце "(keep going)"]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.access, .bfc, .cab, .certs, .cfg, .cgm, .chm, .cnt, .cnv, .config, .cpl, .dat, .data, .dll, .dpc, .eftx, .elm, .eps, .exe, .flt, .fnt, .gif, .hlp, .htm, .html, .inf, .its, .ja, .jar, .jfc, .jpg, .lex, .libraries, .manifest, .mid, .mml, .mmw, .mof, .msg, .msi, .mst, .pf, .png, .policy, .properties, .rll, .security, .src, .template, .thmx, .tlb, .ttf, .txt, .wav, .wmf, .wpg, .xml, .xrm-ms, .xsl, и другие.  
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.


На самом деле файлы перезаписываются случайными байтами и не подлежат восстановлению. Уплата выкупа бесполезна! 

Файлы, связанные с этим Ransomware:
$!READ ME.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC: 1P9NNpNtbhsKaxr2oGkSaqUQb1kB4trS5U
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Unit09)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Jakub Kroustek
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LockerGoga, Worker32

LockerGoga Ransomware

Worker32 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компьютеров предприятий и организаций с помощью AES-256 + RSA-1024 (хотя в записке написано RSA-4096), а затем требует написать на email вымогателей, чтобы узнать сумму выкупа, заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: worker32, но в записке не указано. На файле написано: Service Worker и worker32. За распространением LockerGoga стоят кибер-группировки из Украины, которые могут действовать и из других стран. 

Обнаружение: 
DrWeb -> Trojan.Encoder.27551, Trojan.Encoder.27163
BitDefender -> Trojan.GenericKD.31675815, Trojan.Ransom.LockerGoga.A, Gen:Variant.Ransom.LockerGoga.4

© Генеалогия: Vurten, Everbe, GusCrypter + Generic Ransomware > LockerGoga (Worker32) > MegaCortex
Родство подтверждено сервисом Intezer Analyze >>


Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Возможно, что распространяется из Румынии или Польши, т.к. первый образец был загружен на проверку из Румынии 24 января 2019, а в каждой записке один из контактов — польский. Потом появились сведения о пострадавших из Нидерландов, Франции. В течение 2019 года продолжал использоваться для атак на компьютерную сеть предприятий и организаций в Европе. Вероятно потом был заменен на MegaCortex или использовался параллельно. Без сомнения вымогатели из этого проекта не остановятся на одном проекте и будут делать новые проекты и совершать новые атаки. 

Записка с требованием выкупа называется: README-NOW.txt

 


Содержание записки о выкупе:
Greetings!
There was a significant flaw in the security system of your company.
You should be thankful that the flaw was exploited by serious people and not some rookies.
They would have damaged all of your data by mistake or for fun.
Your files are encrypted with the strongest military algorithms RSA4096 and AES-256.
Without our special decoder it is impossible to restore the data.
Attempts to restore your data with third party software as Photorec, RannohDecryptor etc.
will lead to irreversible destruction of your data.
To confirm our honest intentions.
Send us 2-3 different random files and you will get them decrypted.
It can be from different computers on your network to be sure that our decoder decrypts everything.
Sample files we unlock for free (files should not be related to any kind of backups).
We exclusively have decryption software for your situation
DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME the encrypted files.
DO NOT MOVE the encrypted files.
This may lead to the impossibility of recovery of the certain files.
To get information on the price of the decoder contact us at:
CottleAkela@protonmail.com;QyavauZehyco1994@o2.pl
The payment has to be made in Bitcoins.
The final price depends on how fast you contact us.
As soon as we receive the payment you will get the decryption tool and
instructions on how to improve your systems security

Перевод записки на русский язык:
Привет!
В системе безопасности вашей компании был существенный недостаток.
Вы должны быть благодарны, что недостаток был использован серьезными людьми, а не какими-то новичками.
Они бы испортили все ваши данные по ошибке или ради интереса.
Ваши файлы зашифрованы с самыми надежными военными алгоритмами RSA4096 и AES-256.
Без нашего специального декодера невозможно восстановить данные.
Попытки восстановить ваши данные с помощью сторонних программ, таких как Photorec, RannohDecryptor и т.д. приведет к необратимому уничтожению ваших данных.
Чтобы подтвердить наши честные намерения.
Отправьте нам 2-3 разных случайных файла, и вы получите их расшифрованными.
Это может быть с разных компьютеров в вашей сети, чтобы быть уверенным, что наш декодер расшифрует все.
Образцы файлов, которые мы разблокируем бесплатно (файлы не должны быть связаны с какими-либо резервными копиями).
У нас есть эксклюзивное программное обеспечение для вашей ситуации
НЕ ПЕРЕЗАГРУЖАЙТЕ ИЛИ НЕ ВЫКЛЮЧАЙТЕ - файлы могут быть повреждены.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ зашифрованные файлы.
НЕ ПЕРЕМЕЩАЙТЕ зашифрованные файлы.
Это может привести к невозможности восстановления определенных файлов.
Для получения информации о цене декодера свяжитесь с нами по:
CottleAkela@protonmail.com; QyavauZehyco1994@o2.pl
Оплата должна быть произведена в биткоинах.
Окончательная цена зависит от того, как быстро вы обратитесь к нам.
Как только мы получим платеж, вы получите инструмент для расшифровки и
инструкции о том, как улучшить безопасность ваших систем



Технические детали

Ориентирован на предприятия, организации и крупный бизнес. Пытается нанести максимальный урон и зашифровать все устройства локальной сети. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, чёрного SEO и прочих методов
. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Как только сеть взломана, злоумышленники устанавливают инструмент тестирования на проникновение под названием Cobalt Strike, с помощью которого они развертывают "маяки" на скомпрометированном устройстве для создания оболочек, выполнения сценариев PowerShell, повышения привилегий или запуска нового сеанса для создания прослушивателя в системе жертвы. Эти субъекты будут находиться в сети в течение нескольких месяцев ("тихий период"). Во время тихого периода тайно внедряются трояны, инфо-стилеры, чтобы отслеживать и похищать информацию. После сбора всех ценных данных, злоумышленники разворачивают шифровальщик LockerGoga и более новые варианты.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


 Текст записки о выкупе заимствован из Bitpaymer Ransomware. По сообщению Майкла Джиллеспи, на этом сходство с Bitpaymer заканчивается. Программный и криптографический код совсем другой. 

➤ UAC не обходит. Требуется разрешение на запуск. 

 Вредоносный файл был подписан действительным сертификатом на MIKL Limited (консалтинговая фирма, зарегистрированная в Великобритании 17 декабря 2014 года). Сертификат, выданный центром сертификации Comodo (приобретенный Francisco Partners и известный под новым брендом Sectigo) для подписи кода, уже аннулирован. Другие подписаны с использованием сертификатов, выданных на KITTY'S LTD и ALISA LTD Sectigo.


По сообщениям исследователей код первых версий шифровальщика плохо отлажен и не имеет защиты от обнаружения. Так в тесте, который сделали специалисты из BleepingComputer, образец вымогателя запускался сам с аргументом -w, а также порождал новый процесс для каждого зашифрованного файла. Это вызвало очень медленный процесс шифрования. В новых версиях LockerGoga это могло быть исправлено. 

➤ Сгенерированные ключи шифрования AES зашифрованы встроенным открытым ключом RSA и прикреплены в конце каждого зашифрованного файла. В последующих примерах используется маркер "GOGAXXXX" (здесь X - это жестко закодированное значение в двоичных файлах Ransomware, т.е. 1510, 1440, 1320) для хранения этой и другой дополнительной информации, такой как размер исходного файла.


➤ Если шифровальщик запускается с аргументом командной строки -w, то он нацелен на все типы файлов, чтобы причинить максимальный ущерб. 

 LockerGoga переименовывает файлы прежде, чем шифровать. Такое поведение позже наблюдалось в MegaCortex Ransomware, что также говорит в пользу их связи. Другие шифровальщики сначала шифруют файлы. Возможно, это нужно для того, чтобы предотвратить расход ресурсов и повторное шифрование одних и тех же файлов. 

 После шифрования LockerGoga запускает файл cipher.exe, чтобы очистить свободное пространство диска и предотвратить восстановление файлов с помощью программ для восстановления данных. Когда файлы удаляются в системе, иногда они все еще доступны в свободном пространстве жесткого диска и теоретически могут быть восстановлены с помощью программ для восстановления данных.

➤ Использует функционал Windows Restart Manager (менеджер перезагрузки), чтобы получить доступ к наибольшему количеству файлов и зашифровать их. 

Список файловых расширений, прописанных в коде, которые наверняка будут зашифрованы:
.cs, .db, .doc, .docb, .docx, .dot, .dotb, .dotx, .js, .pdf, .posx, .pot, .potx, .pps, .ppsx, .ppt, .pptx, .py, .sldx, .sql, .ts, .wkb, .wbk, .xlm, .xls, .xlsb, .xlsx, .xlt, .xltx, .xlw, .xml (31 расширение документов).
Это документы MS Office и PDF, но при максимальном ущербе пострадают все текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы приложений и системы, и многое другое.

Файлы, связанные с этим Ransomware:
README-NOW.txt
worker32.exe
svch0st.6287.exe 
svch0st.11077.exe
svch0st.30099.exe
<random>.exe - случайное название, например, tgytutrc8.exe
rijndael_simd.cpp
cipher.exe - файл для зачистки свободного места

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp

Названия проектов в разных версиях:
X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp
E:\crypto-locker\cryptopp\src\rijndael_simd.cpp
E:\goga\cryptopp\src\rijndael_simd.cpp

Мьютексы:
MX-tgytutrc
MX-tgytutrc
MX-zzbdrimp
Добавление мьютекса позволяет гарантировать, что одновременно работает только одна из копий шифровальщика.

Пострадавшие компании:
Altran Technologies (сообщение) - 30 января 2019
Norsk Hydro ASA (webtv, webtv) - 19-20 марта 2019
U.K.'s Police Federation (сообщение) - 21 марта 2019
Hexion and Momentive (сообщениесообщение) - 22-23 марта 2019

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: AbbsChevis@protonmail.com, IjuqodiSunovib98@o2.pl
Email-2: CottleAkela@protonmail.com, QyavauZehyco1994@o2.pl
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>  JOE>> JOE>>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ДОПОЛНЕНИЕ ПО НОВЫМ ВАРИАНТАМ ===

Для шифрования LockerGoga использует не Windows Crypto API CryptEncrypt, а собственную реализацию (CryptoPP + Boost).


LockerGoga создает новый процесс из текущего исполняемого файла с аргументом "-m" (как "главный процесс"), используется библиотека Boost.Process для управления процессами. Шифрование файлов выполняется в нескольких процессах. Главный процесс собирает все файлы и распределяет задачи шифрования своим дочерним (подчиненным) процессам. 


Дочерний процесс декодирует путь к файлу из разделяемой памяти, генерирует пару ключ / IV с использованием RNG, шифрует файл с использованием AES / Rijndael, шифрует ключ / пару с помощью открытого ключа и добавляет зашифрованный ключ / IV к зашифрованному файлу.

Преимущество этой архитектуры в том, что шифрование выполняется намного быстрее, т.к. используются все ядра процессора ПК. 

Обычно шифрование всех файлов может занимать часы. Если вымогатель обнаружен достаточно быстро, некоторые документы могут быть спасены. Но в случае с LockerGoga это не поможет, поскольку шифрование выполняется очень эффективно. Ранее мы не видели других вымогателей, использующих распределенную архитектуру шифрования. 

Пока файлы шифруются, инициируется выход пользователя из системы.


Теперь пользователи не смогут войти в систему, т.к. пароль пользователя и администратора перезаписывает следующим паролем HuHuHUHoHo283283@dJD:


LockerGoga отличается от обычных Ransomware следующими пунктами:
- Подписывается чужим, но действующим на момент атаки сертификатом
- Использует многопроцессную архитектуру для более быстрого шифрования файлов
- Блокирует учетную запись пользователя и администратора в дополнение к шифрованию файла
- Постоянно улучшается (существует несколько версий одного и того же варианта этого Ransomware).




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== АРЕСТЫ === ARRESTS ===

Октябрь 2021 года:

Ноябрь 2023:
Ссылка на статью >>




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 февраля 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: READ-ME-NOW.txt 
Результаты анализов: VT + HA + VMR /  VT + HA + VMR

Обновление от 2 марта 2019:
Топик на форуме >>
Расширение: .locked
Email: JinMaglaya@protonmail.com, YpilokOmoadae1994@o2.pl
Записка: README_LOCKED.txt


➤ Содержание записки:
Greetings!
There was a significant flaw in the security system of your company.
You should be thankful that the flaw was exploited by serious people and not some rookies.
They would have damaged all of your data by mistake or for fun.
Your files are encrypted with the strongest military algorithms RSA4096 and AES-256.
Without our special decoder it is impossible to restore the data. 
Attempts to restore your data with third party software as Photorec, RannohDecryptor etc.
will lead to irreversible destruction of your data.
To confirm our honest intentions.
Send us 2-3 different random files and you will get them decrypted.
It can be from different computers on your network to be sure that our decoder decrypts everything.
Sample files we unlock for free (files should not be related to any kind of backups).
We exclusively have decryption software for your situation
DO NOT RESET OR SHUTDOWN - files may be damaged.
DO NOT RENAME the encrypted files.
DO NOT MOVE the encrypted files.
This may lead to the impossibility of recovery of the certain files.
The payment has to be made in Bitcoins.
The final price depends on how fast you contact us.
As soon as we receive the payment you will get the decryption tool and
instructions on how to improve your systems security
To get information on the price of the decoder contact us at:
JinMaglaya@protonmail.com
YpilokOmoadae1994@o2.pl


Обновление от 8 марта 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: README_LOCKED.txt
Email: SuzuMcpherson@protonmail.com, Asuxid0ruraep1999@o2.pl
Результаты анализов: VT



Обновление от 19 марта 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .locked
Записка: README_LOCKED.txt
Email-1: DharmaParrack@protonmail.com, wyattpettigrew8922555@mail.com
Email-2: MayarChenot@protonmail.com, QicifomuEjijika@o2.pl
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.27551
BitDefender -> Gen:Variant.Ransom.LockerGoga.4
Результаты анализов: VT + AR + JSB + VT + HA + VT



Обновление от 22 марта 2019:
Пост в Твиттере >>



Сертификат ALISA LTD отозван. 
Email: MayarChenot@protonmail.com
QicifomuEjijika@o2.pl
Результаты анализов: VT + HA + VMR


Обновление от 23 марта 2019:
➤ Известные email-адреса: 
AbbsChevis@protonmail.com
AperywsQaroci@o2.pl
AsuxidOruraep1999@o2.pl
CottleAkela@protonmail.com
CouwetIzotofo@o2.pl
DharmaParrack@protonmail.com
DutyuEnugev89@o2.pl
IjuqodiSunovib98@o2.pl
MayarChenot@protonmail.com
PhanthavongsaNeveyah@protonmail.com
QicifomuEjijika@o2.pl
QyavauZehyco1994@o2.pl
RezawyreEdipi1998@o2.pl
RomanchukEyla@protonmail.com
SayanWalsworth96@protonmail.com
SchreiberEleonora@protonmail.com
SuzuMcpherson@protonmail.com
wyattpettigrew8922555@mail.com

Обновление от 22-23 марта:
Результаты анализов: VT + HA / VT + HA + VMR / VT + HA

Обновление от 22 апреля 2019:
Записка: leer.txt
Файлы exe: 7z.exe, a la papa.exe


➤ Содержание записки (на испанском языке):
Saludos!
Hubo una falla importante en el sistema de seguridad de su empresa.
Usted debe estar agradecido de que la falla fue explotado por gente seria y no algunos novatos.
Se habrнan daсado todos sus datos por error o por diversiуn.
Sus archivos se cifraron con los mбs fuertes algoritmos militares AES-256 en la capteta de %appdata%.
Sin nuestro decodificador especial que es imposible recuperar los datos.
Los intentos de restaurar los datos con el software de terceros como Photorec, RannohDecryptor etc..
darб lugar a la destrucciуn irreversible de sus datos.
NO RESET o APAGADO – archivos pueden estar daсados.
No cambie el nombre de los archivos cifrados.
NO mover los archivos cifrados.
Esto puede conducir a la imposibilidad de recuperaciуn de los archivos de ciertos.
Para obtener informaciуn sobre el precio del decodificador en contacto con nosotros en:
*****
El pago tiene que ser hecho en bitcoins.
El precio final depende de la rapidez con que se ponga en contacto con nosotros.
Tan pronto como recibamos el pago obtendrб la herramienta de descifrado y
instrucciones sobre cуmo mejorar la seguridad de los sistemas
---
Результаты анализов: VT + AR


Обновление от 4 мая 2020:
Пост в Твиттере >>
Записка: Command&Control.txt
Результаты анализов: VT + IA



---
Последующие обновления...
Добавление новых вариантов и их образцов приостановлено! 
Смотрите ссылки ниже (Added later), там есть более подробные описания атак и вредоносной активности этого шифровальщика и его новых вариантов. 


Новость от 26 октября 2021:
В Украине и Швейцарии были арестованы некоторые подельники группы вымогателей. Подробнее в статье на сайте BleepingComputer >>



Обновление сентября 2022:
BitDefender сделали дешифровщик. 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet + Tweet
 ID Ransomware (ID as LockerGoga)
 Write-up, Topic of Support
 * 
Added later:
Write-up by BC (added January 30, 2019)
Write-up by ForcePoint (added March 23, 2019)
Report abuse.io (added March 23, 2019)
Joe Security's Blog (added March 23, 2019)
F-Secure Blog (added March 27, 2019) 
McAfee Blog (added April 29, 2019)
*
 Thanks: 
 GrujaRS, Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author), Thyrex
 Ionut Ilascu, Robert Neumann, Joe Security, Lasha Khasaia
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *