Если вы не видите здесь изображений, то используйте VPN.

четверг, 24 января 2019 г.

Drakos

Drakos Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $1200 в BTC, чтобы вернуть файлы. Оригинальное название: Drakos, указано в записке. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .drakos

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден во второй половине 2019 г. Связь с GandCrab какая-то мутная... Как потом оказалось, этот Ransomware был заявлен в начале января, только пока муть осела, что-то всплыло на поверхность. 

Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает веб-страница, названия которой не указано. Некое пояснение от создателей Drakos Ransomware можно считать пояснительной запиской. 

Содержание текста со страницы:
Drakos ransomware
[Have you got advice?] [*** Any attempts to get back you files with the third-party tools can be fatal for your encrypted files ***] The most part of the tried-party software change data with the encrypted files to restore it but this cases damage to the files.
Finally it will be impossible to decrypt your files. When you make a puzzle but some items are lost, broken or not put in its place - the puzzle items will never match, the same way the third-party software will run your files completely and irreversibly. You should realise that any intervention of the third-party software to restore files encrypted with the "Drakos Ransomware" software may be fatal for your files. If you look through this text in the Internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

Перевод текста на русский язык:
Drakos Ransomware
[Хотите совет?] [*** Любые попытки вернуть ваши файлы сторонними инструментами будут фатальными для ваших зашифрованных файлов ***] Большая часть проверенных программ изменяет данные зашифрованных файлов, чтобы восстановить их, но это приводит к повреждению файлов.
В итоге будет невозможно расшифровать ваши файлы. Когда вы создаете головоломку, но некоторые элементы теряются, ломаются или не встают на свои места - элементы головоломки никогда не совпадут, точно так же, как сторонние программы будет запускать ваши файлы полностью и безвозвратно. Вы должны понимать, что любое вмешательство сторонних программ для восстановления файлов, зашифрованных с помощью программного обеспечения "Drakos Ransomware", может быть фатальным для ваших файлов. Если вы просматриваете этот текст в Интернете и обнаруживаете, что с вашими файлами что-то не так, но у вас нет никаких инструкций по восстановлению файлов, обратитесь в службу поддержки антивирусных программ.

Мутный сайт, мутные страницы. Я не буду ничего комментировать, а просто оставлю это здесь.




Но это не всё, исследователь представил несколько скриншотов, на которых можно что-то разобрать. 

На скриншотах с сайта gandcratjyr44pms.onion присутствуют скриншоты с некими мультяшными крабами. Я ж говорю, мутные какие-то. 
Зачем-то объявили себя "GandCrab as a service Ransomware (RaaS)". Но исследователи сообщают, что это фейк. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: gandcrab@tutanota.com, gandcrabraas@exploit.im
BTC:
URL: gandcratjyr44pms.onion
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 David Montenegro, Damian
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *