среда, 6 февраля 2019 г.

Vega, VegaLocker

Vega Ransomware

VegaLocker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателями, чтобы узнать, как вернуть файлы. Оригинальное название: VEGA. На файле написано: "Мастер бланков" и "VERY EXCLUSIVE LTD". Разработан на Delphi. Разработчик: ERIK. 

Обнаружение: 
Dr.Web -> Trojan.Buhtrap.19 / Trojan.Encoder.27633
BitDefender -> Gen:Variant.Jacard.148772

© Генеалогия: предыдущие проекты >> Vega (VegaLocker) > Jamper (Jumper) > Buran > Buran-Ghost
© Генеалогия:  Scarabey >> Vega (VegaLocker)

Пояснения: 
1) текст записки заимствован из записок Scarab-Russian Ransomware;
2) прямое продолжение из Scarab не подтверждается исследованием;
3) родство из анализа IntezerAnalyze объясняется Delphi-разработкой. 
По этой ссылке VegaLocker представлен уже более наглядно. 

К зашифрованным файлам никакое расширение не добавляется


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Your files are now encrypted.txt

Содержание записки о выкупе:
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваши документы, фотографии, базы данных, сохранения в играх и другие
важные данные были зашифрованы уникальным ключем, который находится
только у нас. Для восстановления данных необходим дешифровщик.
Восстановить файлы Вы можете, написав нам на почту:
e-mail: sprosinas@cock.li
e-mail: sprosinas2@protonmail.com
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.
Мы их восстановим, в доказательство возможности расшифровки.
После демонстрации вы получите инструкцию по оплате, а после оплаты
Вам будет отправлена программа-дешифратор, которая полностью восстановит все заблокированные файлы без потерь.
Если связаться через почту не получается:
Перейдите по ссылке: https://bitmessage.org/wiki/Main_Page и скачайте
почтовый клиент. Установите почтовый клиент и создайте себе новый адрес
для отправки сообщений.
Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
(с указанием Вашей почты) и мы свяжемся с Вами. 
ВАЖНО! 
Не пытайтесь удалить программу или запускать антивирусные средства.
Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
Дешифраторы других пользователей несовместимы с Вашими данными,
так как у каждого пользователя уникальный ключ шифрования.
Убедительная просьба писать людям, которые действительно заинтересованы в восстановлении файлов. Не следует угрожать и требовать дешифратор.
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои файлы остальных.
-----BEGIN TOKEN-----
tAcAAAAAAADcVQukt***3Q6/hoGPwA=
-----END TOKEN-----

Перевод записки на русский язык:
уже сделан



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Выполняет ряд вредоносных действий, в том числе удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки и прочее командами:
 cmd.exe /C cscript //e:vbscript //nologo "%TEMP%\temp.txt" 
 cmd.exe /C chcp 1250 && net view 
 cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
 cmd.exe /C bcdedit /set {default} recoveryenabled no
 cmd.exe /C wbadmin delete catalog -quiet
 cmd.exe /C wbadmin delete systemstatebackup
 cmd.exe /C wbadmin delete backup
 cmd.exe /C wmic shadowcopy delete
 cmd.exe /C chcp 1250 && net view
 cmd.exe /C vssadmin delete shadows /all /quiet

➤ Использует ворованный или как-то иначе нелегитимно полученный сертификат от Comodo, выданный на якобы "Мастер бланков" и "VERY EXCLUSIVE LTD". Для файла используется иконка со стопкой книг. 



➤ VegaLocker имеет защиту от запуска на виртуальной машине, но это исправимо. 
➤ После выполнения VegaLocker показывает диалоговое окно на русском языке с некой ошибкой. По сообщению Майкла Джиллеспи, это фальшивая ошибка. 
Декодированное содержание этой ошибки: 
Так как обратно нормальный текст в декодере не транслируется, то пришлось сопоставить это в Word-е. Вместо буквы "п" в трёх местах поставлена буква "м". Возможно, что-то не так с символами. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Your files are now encrypted.txt
temp.txt
masterblankov24.exe
<random>.exe - случайное название

Файлы проектов: 
chcp.pdb, WMIC.pdb, adoberfp.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\temp.txt
C:\ERIK\DEVELOPMENT\VEGA\v1\uBigIntsV3.pas
C:\ERIK\DEVELOPMENT\VEGA\v1\Base64.pas

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: sprosinas@cock.li
Email-2: sprosinas2@protonmail.com
Bitmessage: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
другие варианты



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 11 февраля 2019:
Пост в Твиттере >>
Записка: Your files are now encrypted.txt
Email-1: sprosinas@cock.li
Email-2: sprosinas2@protonmail.com
Bitmessage: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
Файл EXE: VSEBLANKI24.EXE
Они исправили ошибку в тексте диалогового окна. 
Вредоносный EXE-файл теперь не подписан ЭЦП. 
Результаты анализов: VT + HA

Обновление от 14 февраля 2019:
Пост в Твиттере >>
Расширение: отсутствует
Email-1: sup24@keemail.me
Email-2: sup24@protonmail.ch
Bitmessage: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
Записка: ABOUT YOUR FILES.TXT
Результаты анализов: VT + HAAR + IA

➤ Содержание записки: 
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваши документы, фотографии, базы данных, сохранения в играх и другие
важные данные были зашифрованы уникальным ключем, который находится
только у нас. Для восстановления данных необходим дешифровщик.
Восстановить файлы Вы можете, написав нам на почту:
* e-mail: sup24@keemail.me
* резервный e-mail: sup24@protonmail.ch
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.
Мы их восстановим, в доказательство возможности расшифровки.
После демонстрации вы получите инструкцию по оплате, а после оплаты
Вам будет отправлена программа-дешифратор, которая полностью восстановит
все заблокированные файлы без потерь.
Если связаться через почту не получается:
* Перейдите по ссылке: https://bitmessage.org/wiki/Main_Page и скачайте
почтовый клиент. Установите почтовый клиент и создайте себе новый адрес
для отправки сообщений.
* Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
(с указанием Вашей почты) и мы свяжемся с Вами.
ВАЖНО!
* Расшифровка гарантируется, если Вы свяжетесь с нами в течении 72 часов.
* Выключение или перезагрузка компьютера может привести к потере Ваших файлов.
* Не пытайтесь удалить программу или запускать антивирусные средства.
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
* Дешифраторы других пользователей несовместимы с Вашими данными,
так как у каждого пользователя уникальный ключ шифрования.
Убедительная просьба писать людям, которые действительно заинтересованы
в восстановлении файлов. Не следует угрожать и требовать дешифратор.
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои
файлы остальных.
-----BEGIN TOKEN-----
+E2FjDdTa6XHGyyNDzCLN***Ux4J7oq/pPy0RDQhkO1RuAIhQ/LKePE=
-----END TOKEN-----
 Сравнение текста записки с предыдущим вариантом :

➤ Такая же записка ABOUT YOUR FILES.TXT, но с более длинным кодом токена:

Обновление от 27 февраля 2019:
Пост на форуме >>
Расширение: отсутствует
Email-1: sprosi24@keemail.me
Email-2: sprosi24@protonmail.ch
Записка: YOUR FILES ARE ENCRYPTED.TXT
➤ Содержание записки: 
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Восстановить файлы Вы можете, написав нам на почту:
e-mail: sprosi24@keemail.me
e-mail: sprosi24@protonmail.ch
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.
Мы их восстановим, в доказательство возможности расшифровки.
Убедительная просьба писать людям, которые действительно заинтересованы в восстановлении файлов. Не следует угрожать и требовать дешифратор.
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои файлы остальных.
По истечению 7 суток с момента появления записки на вашем ПК расшифровать
файлы будет невозможно!!!  
-----BEGIN TOKEN-----
3OOKAZkIfDW3Nax+sdcT***UJhXPyTgMmNm3U1eyzxRtVq
-----END TOKEN-----

Обновление от 13 марта 2019:
Пост в Твиттере >>
Расширение: отсутствует
Записка: YOUR FILES ARE ENCRYPTED.TXT
Email-1: sup24@rape.lol 
Email-2: voprosi24@protonmail.ch
➤ Содержание записки:
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Восстановить файлы Вы можете, написав нам на почту: 
e-mail: sup24@rape.lol
e-mail: voprosi24@protonmail.ch (резерв)
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый. 
Мы их восстановим, в доказательство возможности расшифровки. 
Если присланные файлы мы посчитаем важными, то сделаем скрины открытых документов и вышлем Вам. 
Убедительная просьба писать людям, которые действительно заинтересованы 
в восстановлении файлов. Не следует угрожать и требовать дешифратор. 
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои файлы остальных. 
Цена дешифратора 250$. Каждое предложение о торге будет добавлять 
50$ к стоимости. Бесплатно ничего не делаем! 
По истечению семи суток с момента появления данной записки расшифровать 
файлы будет невозможно!!! Ваш ключ будет удален.
-----BEGIN TOKEN-----
ocC4oGYT3qNcs8GL+z+jpMAc***
-----END TOKEN-----

Обновление от 18 марта 2019:
Пост в Твиттере >>
Расширение: отсутствует
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email-1: oplata@rape.lol 
Email-2: oplata24@cumallover.me
➤ Содержание записки:
!!! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!
Восстановить файлы Вы можете, написав нам на почту:
e-mail: oplata@rape.lol
e-mail: oplata24@cumallover.me (резерв)
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый. 
Мы их восстановим, в доказательство возможности расшифровки. 
Если присланные файлы мы посчитаем важными, то сделаем скрины открытых 
документов и вышлем Вам. 
Убедительная просьба писать людям, которые действительно заинтересованы 
в восстановлении файлов. Не следует угрожать и требовать дешифратор. 
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои 
файлы остальных. 
Цена дешифратора 17500Р. Каждое предложение о торге будет добавлять 
3000Р к стоимости. Бесплатно ничего не делаем! 
По истечению семи суток с момента появления данной записки расшифровать 
файлы будет невозможно!!! Ваш ключ будет удален.
-----BEGIN TOKEN-----
JSK5+T4NBvnTzDu8piyFcCJHh***
-----END TOKEN-----
Результаты анализов: Dr.Web - Trojan.Encoder.27633



Обновление от 8 апреля 2019:
Топик на форуме >>
Расширение: отсутствует
Email-1: vasko@cumallover.me 
Email-2: rantanen@rape.lol
Записка о выкупе теперь на английском языке. 
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
➤ Содержание записки: 
!!! YOUR FILES ARE ENCRYPTED !!!
Contact us using this email address:
e-mail: vasko@cumallover.me 
e-mail: rantanen@rape.lol (reserve) 
Now you should send us email with your TOKEN and 1-2 files to
decrypt per free before of payment.
The total size of files must be less than 1Mb (non archived),
and files should not contain valuable information (databases,
backups, large excel sheets, etc.).
Don't try deceive or threaten us, in this case you never will
recover your files. Nothing personal, only business.
The cost of the decoder is $1500 BTC or DASH coin. Each offer
on the bargaining will add $200 to cost. Free of charge we do
nothing! 
On the expiration of seven days your key will be removed! 
-----BEGIN TOKEN-----
g6JDzTFSgCKII4AfXZsyN+4MwBgu***
-----END TOKEN-----





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as VegaLocker, Vega / Jamper / Buran)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Vitali Kremez
 Andrew Ivanov (author)
 al1963, thyrex
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

11 комментариев:

  1. А чем дешифровать его? Столкнулся с такой бедой....

    ОтветитьУдалить
    Ответы
    1. Пока нечем. Вредонос изучается. Если появится способ или инструмент, то здесь будет блок с зелёным замком и ссылкой.

      Удалить
  2. Из обновления от 27 февраля. Есть файлы до и после заражения разных типов .doc .xls .jpg Если нужно для анализа могу выложить на sendspace....

    ОтветитьУдалить
    Ответы
    1. У аналитиков есть заш-файлы из предыдущего варианта. Но это пока ничего не дало.

      Удалить
  3. принесли флэшку с зашифрованными файлами, вряд ли расшифровать получится =( Очень много личных фотографий

    ОтветитьУдалить
    Ответы
    1. Пока мало исследований по этому вымогателю. Лучше купить пока новую флешку, а эта пусть ждет счастливого часа.

      Удалить
  4. Добрый ночи. Есть какие-то результаты?

    ОтветитьУдалить
  5. Напишите пожалуйста, когда будет хоть что то((((((( все детские фото пропали(((((

    ОтветитьУдалить
    Ответы
    1. Добрый день, Елизавета. Все данные есть у специалистов по шифровальщикам, но пока нет от них никаких известий, что это можно расшифровать. Если будет создан дешифратор, то здесь будет ссылка на него или статью.
      Так как записка от вымогателей написана на русском языке, то я рекомендую вам написать онлайн-заявление в отдел "К" полиции, см. мою статью, как это сделать http://id-ransomware.blogspot.com/2016/03/blog-post-online-statement.html
      Должна быть движуха, чем больше пострадавших это сделают, тем быстрее пойдет процесс.

      Удалить
  6. Есть результат по дешифровке или нет пока?

    ОтветитьУдалить
    Ответы
    1. Оригинальный пока не расшифровывается, но он имеет продолжение в других проектах. См. выше примерную генеалогию. Это только часть информации, на самом деле их гораздо больше.

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton