Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 3 марта 2019 г.

JCry, OpJerusalem

JCry Ransomware 

OpJerusalem Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: OpJerusalem и JCry. На файле написано: flashplayer_install.exe
Атака по всей видимости была произведена участниками #OpIsrael (сайт www.opisrael.com), которым начиная с апреля 2013 года противостоит I.E.F. (Israeli Elite Force), группа израильских хактивистов. Написан на языке Go. 

🎥 Для вас CyberSecurity GrujaRS подготовил видеоролик атаки JCry (ссылка). 

© Генеалогия: выясняется, некоторое родство см. по ссылке >>

К зашифрованным файлам добавляется расширение: .jcry


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2019 г. Сначала в субботу 2 марта был атакован и заражён израильский сайт nagich.co.il и один из его поддоменов, связанный с десятками сайтов СМИ и правительством. Через несколько часов атакованные сайты были восстановлены. 

JCry ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: JCRY_Note.html
Содержание записки о выкупе:
All Your Important Files have been Encrypted
1- Send 500$ worth of Bitcoin to this Address : 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt 
2- Download Tor Browser and Open the following Link : Recovery Link
3- Enter the Address used in Payement
4- We'll check your Payement and upload your Decryption Key
5- Open the same link again (after a while) and enter your Unique ID to get your Decryption Key
Your Unique Key : 
170591aacc29ec075852329abcd569df910872c88edef2b0c690e8a8de06da8918935de97417b825b9fe1bf28ac03d78873780f95233daff6ec52bda41eac29996fdaac179cd8564f55a44cb9b7080a4df555183b94e3b844dc043afa37fe61985ca5c804***

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы
1- Отправьте 500$ в биткоинах на этот адрес: 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt
2- Скачайте Tor-браузер и откройте следующую ссылку: Recovery Link
3- Введите адрес, используемый в платеже
4- Мы проверим ваш платеж и загрузим ваш ключ расшифровки
5- Откройте ту же ссылку снова (через некоторое время) и введите свой уникальный ID, чтобы получить ключ расшифровки
Ваш уникальный ключ:
170591aacc29ec075852329abcd569df910872c88edef2b0c690e8a8de06da8918935de97417b825b9fe1bf28ac03d78873780f95233daff6ec52bda41eac29996fdaac179cd8564f55a44cb9b7080a4df555183b94e3b844dc043afa37fe61985ca5c804
***

Другим информатором жертвы выступает экран блокировки:
Так выглядел экран на виртуальной машине
Улучшенный вид этого экрана

Содержание текста на экране: 
#OpJerusalem
[#] Jerusalem is the capital of Palestine [#]
If you are reading this, all your important files have been encrypted, 
read JCRY_NOTE.html in your Desktop for more information.
[X] Enter Your Decryption Key:

Перевод текста на русский язык:
#OpJerusalem
[#] Иерусалим это столица Палестины [#]
Если вы читаете это, все ваши важные файлы были зашифрованы, 
прочтите JCRY_NOTE.html на вашем рабочем столе для информации.
[X] Введите ваш ключ расшифровки:




Технические детали

Для атаки использовался файл, который представлял собой фальшивый файл Adobe Flash Player. Хакеры использовали виджет Nagich для автоматического внедрения вредоносного кода на тысячи израильских сайтов. При посещении сайта, который использовал этот виджет, вместо него в браузере пользователя загружался вредоносный скрипт. Исследователи заметили и изучили код, который должен был инициировать загрузку вредоносного файла. Этот вредоносный код должен был в первую очередь повредить разметку и внешний вид сайтов сообщением "Jerusalem is the capital of Palestine #OpJerusalem", а затем инициировать автоматическую загрузку заражённого Ransomware файла flashplayer_install.exe

Но из-за некой ошибки планам хакеров не удалось сбыться. Внешний вид сайтов был повреждён, но запланированная загрузка вредоносного файла с этих сайтов не была осуществлена. 

После переконфигурации JCry может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск.


➤ Для атаки использует легитимные технологии: 
Windows PowerShell, WScript и WinRAR SFX

➤ Удаляет теневые копии файлов с помощью команды:

vssadmin.exe vssadmin delete shadows /all

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .aif, .apk, .app, .asf, .asp, .avi, .bak, .bat, .bin, .bmp, .cbr, .cer, .cfg, .cfm, .cgi, .cmd, .com, .cpp, .crx, .csr, .css, .csv, .cue, .dat, .dbf, .dcr, .dds, .deb, .dem, .der, .dmg, .dmp, .doc, .dtd, .dwg, .dxf, .eps, .exe, .fla, .flv, .fnt, .fon, .gam, .ged, .gif, .gpx, .hqx, .htm, .ics, .iff, .iso, .jar, .jpg, .jsp, .key, .kml, .kmz, .log, .lua, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .msi, .nes, .obj, .odt, .otf, .pct, .pdb, .pdf, .php, .pkg, .png, .pps, .ppt, .psd, .rar, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sln, .sql, .srt, .svg, .swf, .tar, .tex, .tga, .thm, .tif, .tmp, .ttf, .txt, .uue, .vcd, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .wsf, .xlr, .xls, .xml, .yuv, .zip (126 расширений).
Всего может быть атаковано больше файлов. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
flashplayer_install.exe - основной EXE-файл
Enc.exe - файл для шифрования
Dec.exe - файл для дешифрования
PersonalKey.txt - 
JCRY_Note.html - записка о выкупе
<random>.exe - случайное название EXE-файла
sfxrar.pdb - файл проекта (дата компиляции 22-Feb-2019 19:09:31)
msg.vbs - файл скрипта (см. ниже скриншот ошибки)

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\Desktop\JCRY_Note.html
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Enc.exe
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dec.exe
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PersonalKey.txt
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL malware: xxxx://185.163.47.134/flashplayer_install.exe
Tor-URL: xxxx://kpx5wgcda7ezqjty.onion/index.php
http://kpx5wgcda7ezqjty.onion/index.php?PID=170591aacc29ec075852329abcd569df910872c88edef2b0c690e8a8de06da8918935de97417b825b9fe1bf28ac03d78873780f95233daff6ec52bda41eac29996fdaac179cd8564f55a44cb9b7080a4df555183b94e3b844dc043afa37fe61985ca5c804***
 

Email:
BTC: 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >> + HA Dec.exe>>
𝚺  VirusTotal analysis >>  
𝚺  VT Enc.exe>>
𝚺  VT Dec.exe>> 
𝚺  VT malware URL: VT>>  JSB>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR>>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as OpJerusalem)
 Topic of Support
 🎥 Video review >>
 - Видеоролик от CyberSecurity GrujaRS
 Thanks: 
 IdoNaor, Bart, Michael Gillespie
 Andrew Ivanov (author)
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *