среда, 20 марта 2019 г.

RobbinHood

RobbinHood Ransomware

Enc_RobbinHood Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.8 BTC за один ПК или 13 BTC за все ПК скомпрометированной системы, чтобы вернуть файлы. В другом примере было 3 BTC за один ПК и 13 BTC за все. Оригинальное название: в записке не указано. Написан на языке GO (Golang).

Обнаружения: 
BitDefender -> Trojan.GenericKD.31919436
Emsisoft -> Trojan-Ransom.RobbinHood (A)
ESET-NOD32 -> Win32/Filecoder.RobbinHood.A
Kaspersky -> Trojan-Ransom.Win32.Robin.a
Malwarebytes -> Ransom.RobbinHood.GO
Microsoft -> Ransom:Win32/Robin

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение - это только логотип статьи

К зашифрованным файлам добавляется составное расширение по шаблону: Encrypted_<random{16}>.enc_robbinhood

Пример: Encrypted_2e3b4cea89S49adl.enc_robbinhood


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _Decryption_ReadMe.html
Но могут быть еще файлы 
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html


Enc_RobinHood Ransomware
Enc_RobinHood Ransomware
Оригинальная HTML-записка
Enc_RobinHood Ransomware
HTML-код записки

Содержание записки о выкупе:
What happened to your files?
All your files are encrypted with RSA-4096, Read more on https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA is an algorithm used by modern computers to encrypt and decrypt the data. RSA is an asymmetric cryptographic algorithm. Asymmetric means that there are two different keys. This is also called public key cryptography, because one of the keys can be given to anyone:
1 - We encrypted your files with our "Public key" 
2 - You can decrypt, the encrypted files with specific "Private key" and your private key is in our hands ( It's not possible to recover your files without our private key )
---
Is it possible to get back your data?
Yes, We have a decrypter with all your private keys. We have two options to get all your data back.
Follow the instructions to get all your data back:
OPTION 1
Step 1 : You must send us 0.8 Bitcoin(s) for each affected system
Step 2 : Inform us in panel with hostname(s) of the system you want, wait for confirmation and get your decrypter
OPTION 2
Step 1 : You must send us 13 Bitcoin(s) for all affected system
Step 2 : Inform us in panel, wait for confirmation and get all your decrypters
Our Bitcoin address is: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE 
BE CAREFUL, THE COST OF YOUR PAYMENT INCREASES $10,000 EACH DAY AFTER THE FOURTH DAY
---
Access to the panel ( Contact us )
The panel address: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Alternative addresses
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Access to the panel using Tor Browser
If non of our links are accessible you can try tor browser to get in touch with us:
Step 1: Download Tor Browser from here: https://www.torproject.org/download/download.html.en
Step 2: Run Tor Browser and wait to connect
Step 3: Visit our website at: panel address
If you're having a problem with using Tor Browser, Ask Google: how to use tor browser
---
Wants to make sure we have your decrypter?
To make sure we have your decrypter you can upload at most 3 files (maximum size allowance is 10 MB in total) and get your data back as a demo.
---
Where to buy Bitcoin?
The easiest way is LocalBitcoins, but you can find more websites to buy bitcoin using Google Search: buy bitcoin online
---

Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы зашифрованы с RSA-4096, подробнее на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
RSA - это алгоритм, используемый современными компьютерами для шифрования и дешифрования данных. RSA - это асимметричный криптографический алгоритм. Асимметричный означает, что есть два разных ключа. Это также называется криптографией с открытым ключом, потому что один из ключей может быть предоставлен любому:
1 - Мы зашифровали ваши файлы с помощью нашего "Открытого ключа"
2 - Вы можете расшифровать, зашифрованные файлы с определенным "Закрытым ключом", а ваш закрытый ключ у нас в руках (восстановить наши файлы без нашего закрытого ключа невозможно)
---
Можно ли вернуть ваши данные?
Да, у нас есть дешифратор со всеми вашими личными ключами. У нас есть два варианта вернуть все ваши данные.
Следуйте инструкциям, чтобы вернуть все ваши данные:
ВАРИАНТ 1
Шаг 1: Вы должны отправить нам 0.8 Биткоина для каждой уязвимой системы
Шаг 2: Сообщите нам на панели с именами хостов желаемой системы, дождитесь подтверждения и получите дешифратор
ВАРИАНТ 2
Шаг 1: Вы должны отправить нам 13 биткоинов на всю затронутую систему
Шаг 2: Сообщите нам в панели, дождитесь подтверждения и получите все ваши дешифраторы
Наш биткоин-адрес: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
БУДЬТЕ ОСТОРОЖНЫ, СТОИМОСТЬ ВАШЕЙ ОПЛАТЫ РАСТЕТ НА 10 000 ДОЛЛАРОВ КАЖДЫЙ ДЕНЬ ПОСЛЕ ЧЕТВЕРТОГО ДНЯ
---
Доступ к панели (свяжитесь с нами)
Адрес панели: http://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
Альтернативные адреса
https://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
https://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
---
Доступ к панели с помощью Tor браузер
Если ни одна из наших ссылок недоступна, вы можете пробовать браузер, чтобы связаться с нами:
Шаг 1: Загрузите Tor браузер отсюда: https://www.torproject.org/download/download.html.en
Шаг 2: Запустите Tor браузер и дождитесь подключения
Шаг 3: Посетите наш сайт по адресу: адрес панели
Если у вас возникли проблемы с использованием Tor браузер, спросите Google: как использовать Tor браузер
---
Хотите убедиться, что у нас есть ваш дешифратор?
Чтобы убедиться, что у нас есть ваш дешифратор, вы можете загрузить максимум 3 файла (максимально допустимый размер составляет 10 МБ) и вернуть свои данные в виде демонстрации.
---
Где купить биткоин?
Самый простой способ - LocalBitcoins, но вы можете найти больше сайтов, где можно купить биткоины, используя Поиск Google: купить биткоины онлайн
---


Скриншот страницы вымогателей в сети Tor
Enc_RobinHood Ransomware site сайт
Содержание текста со страницы:
Important points
You can upload only 3 files (maximum size allowance is 10 MB in total) for free recovery to make sure we are honest. Afterwards you need to pay 0.8 Bitcoin for each affected system or 13 Bitcoin for all affected systems.
Bitcoin Address: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
I want to mention that your privacy is important for us, all of your records including IP address and Encryption keys will be wiped out after your payment. Also the bitcoin address you should pay to, is generated specifically for you and nobody knows about it.
There is no need to mention that our servers have no event a bit of your network data and information.
Choose your encrypted file
[Upload]

Перевод текст на русский язык:
Важные моменты
Вы можете загрузить только 3 файла (максимально допустимый размер составляет 10 МБ) для бесплатного восстановления, чтобы быть честными. После этого вам нужно заплатить 0.8 биткойна за каждую уязвимую систему или 13 биткоинов за все затронутые системы.
Адрес биткойна: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE
Хочу отметить, что ваша конфиденциальность важна для нас, все ваши записи, включая IP-адрес и ключи шифрования, будут стерты после вашей оплаты. Кроме того, биткоин-адрес, на который вы должны платить, сгенерирован специально для вас, и никто не знает об этом.
Нет необходимости упоминать, что на наших серверах нет событий о вашей сети, данных и информации.
Выберите зашифрованный файл
[Загрузить]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ RobbinHood останавливает 181 работающую службу Windows, из тех, что могут быть связанные с работой антивирусов, базой данных, почтовым сервером и другими программами, которые могут использовать открытые файлы и помещать их шифрованию.
Это делается с помощью команды cmd.exe /c sc.exe stop AVP /y

Полный список служб, который останавливает RobbinHood: 
AVP, MMS, ARSM, SNAC, ekrn, KAVFS, RESvc, SamSs, W3Svc, WRSVC, bedbg, masvc, SDRSVC, TmCCSF, mfemms, mfevtp, sacsvr, DCAgent, ESHASRV, KAVFSGT, MySQL80, POP3Svc, SMTPSvc, Smcinst, SstpSvc, TrueKey, mfefire, EhttpSrv, IISAdmin, IMAP4Svc, McShield, MySQL57, kavfsslp, klnagent, macmnsvc, ntrtscan, tmlisten, wbengine, Antivirus, MSSQL$TPS, SQLWriter, ShMonitor, UI0Detect, sophossps, MSOLAP$TPS, MSSQL$PROD, SAVService, SQLBrowser, SmcService, swi_filter, swi_update, AcrSch2Svc, EsgShKernel, MBAMService, MSSQLSERVER, MsDtsServer, SntpService, VeeamNFSSvc, swi_service, AcronisAgent, FA_Scheduler, MSExchangeES, MSExchangeIS, MSExchangeSA, MSSQL$ECWDB2, MSSQL$SOPHOS, MSSQL$TPSAMA, PDVFSService, ReportServer, SQLAgent$TPS, SQLTELEMETRY, VeeamRESTSvc, MSExchangeMTA, MSExchangeSRS, MSOLAP$TPSAMA, McTaskManager, SQLAgent$CXDB, SQLAgent$PROD, VeeamCloudSvc, VeeamMountSvc, SQL Backups, mozyprobackup, msftesql$PROD, swi_update_64, EraserSvc11710, MSExchangeMGMT, MSSQL$BKUPEXEC, MSSQL$SQL_2008, MsDtsServer100, MsDtsServer110, SQLSERVERAGENT, VeeamBackupSvc, VeeamBrokerSvc, VeeamDeploySvc, Sophos Agent, svcGenericHost, EPUpdateService, MBEndpointAgent, MSOLAP$SQL_2008, MSSQLFDLauncher, McAfeeFramework, SAVAdminService, SQLAgent$ECWDB2, SQLAgent$SOPHOS, SQLAgent$TPSAMA, VeeamCatalogSvc, MSSQL$SHAREPOINT, MSSQL$SQLEXPRESS, MSSQL$SYSTEM_BGC, NetMsmqActivator, ReportServer$TPS, SepMasterService, TrueKeyScheduler, EPSecurityService, MSOLAP$SYSTEM_BGC, MSSQL$PRACTICEMGT, SQLAgent$BKUPEXEC, SQLAgent$SQL_2008, SQLSafeOLRService, VeeamTransportSvc, Zoolz 2 Service, MSSQL$PRACTTICEBGC, MSSQL$VEEAMSQL2012, Sophos MCS Agent, BackupExecJobEngine, MSSQL$SBSMONITORING, MSSQLFDLauncher$TPS, MSSQLServerADHelper, McAfeeEngineService, OracleClientCache80, ReportServer$TPSAMA, SQLAgent$SHAREPOINT, SQLAgent$SQLEXPRESS, SQLAgent$SYSTEM_BGC, SQLTELEMETRY$ECWDB2, Sophos MCS Client, BackupExecRPCService, MSSQL$VEEAMSQL2008R2, TrueKeyServiceHelper, BackupExecVSSProvider, MSSQL$PROFXENGAGEMENT, ReportServer$SQL_2008, SQLAgent$PRACTTICEBGC, SQLAgent$PRACTTICEMGT, SQLAgent$VEEAMSQL2012, BackupExecAgentBrowser, MSSQLFDLauncher$TPSAMA, MSSQLServerADHelper100, MSSQLServerOLAPService, SQLAgent$SBSMONITORING, VeeamDeploymentService, VeeamHvIntegrationSvc, Acronis VSS Provider, Sophos Clean Service, ReportServer$SYSTEM_BGC, SQLAgent$VEEAMSQL2008R2, Sophos Health Service, Sophos Message Router, MSSQLFDLauncher$SQL_2008, SQLAgent$PROFXENGAGEMENT, SQLsafe Backup Service, SQLsafe Filter Service, SQLAgent$CITRIX_METAFRAME, VeeamEnterpriseManagerSvc, BackupExecAgentAccelerator, MSSQLFDLauncher$SHAREPOINT, MSSQLFDLauncher$SYSTEM_BGC, Sophos Safestore Service, Symantec System Recovery, BackupExecManagementService, Enterprise Client Service, Sophos AutoUpdate Service, BackupExecDeviceMediaService, Sophos Web Control Service, MSSQLFDLauncher$SBSMONITORING, Sophos File Scanner Service, McAfeeFrameworkMcAfeeFramework, MSSQLFDLauncher$PROFXENGAGEMENT, Sophos Device Control Service, Sophos System Protection Service, Veeam Backup Catalog Data Service.

➤ RobbinHood также отключает все сетевые ресурсы с компьютера с помощью следующей команды: cmd.exe /c net use * /DELETE /Y

➤ Может использовать Empire PowerShell и PSExec для удаленного управлениями компьютерами и их администрирования. 

➤ RobbinHood попытается прочитать открытый ключ шифрования RSA из C:\Windows\Temp\pub.key. Если этого ключа нет, то появится следующее сообщение.

Если ключ есть, то RobbinHood начнет шифрование файлов. При шифровании файлов для каждого файла создается ключ AES. Затем RobbinHood шифрует этот AES-ключ и исходное имя файла с помощью открытого ключа шифрования RSA, и добавляет его в зашифрованный файл. 

 Каждый зашифрованный файл затем будет переименован по шаблону Encrypted_<random{16}>.enc_robbinhood, как показано ниже.



Во время работы RobbinHood также создает log-файлы в папке C:\Windows \ Temp. Эти файлы называются rf_, ro_l, ro_s
В настоящее время неизвестно назначение каждого log-файла, кроме файла rf_s, который используется для регистрации создания записок о выкупе в каждой папке. После завершения шифрования эти log-файлы удаляются.


Если консольный вывод включен в программе-вымогателе, после завершения шифрования компьютера будет отображаться финальное сообщение с текстом "Enjoy buddy :)))" (Наслаждайся, приятель :)))), как показано ниже. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_Decryption_ReadMe.html
_Help_Important.html
_Decrypt_Files.html
_Help_Help_Help.html
<random>.exe - случайное название
pub.key
rf_s 
ro_l
ro_s

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\Temp\pub.key
C:\Windows\Temp\rf_s 
C:\Windows\Temp\ro_l
C:\Windows\Temp\ro_s

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: 132wg6kkJJ4MpNKnuhVoptYPmYHf6C5xHE 
Tor-URL: xxxx://xbt4titax4pzza6w.onion/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.pet/EvcNuvq4gckb/
xxxxs://xbt4titax4pzza6w.onion.to/EvcNuvq4gckb/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 26 апреля 2019:
Дополнения в раздел "Технические детали" из статьи Лоуренса Абрамса





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as RobbinHood)
 Write-up, Topic of Support
 * 
Added layer:
Write-up by BleepingComputer (on April 26, 2019)
*
*
 Thanks: 
 Michael Gillespie, Lawrence Abrams, Vitali Kremez
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton