ShkolotaCrypt Ransomware
(шифровальщик-вымогатель, фейк-шифровальщик) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0.1 Dash, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: updater.exe
Обнаружения:
DrWeb -> Trojan.MulDrop9.11435
BitDefender -> Trojan.GenericKD.31998870
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SS
Symantec -> Ransom.CryptXXX, Trojan.Gen.MBT
© Генеалогия: выясняется, явное родство с кем-то не доказано.
К зашифрованным файлам добавляется расширение: .crypted
Этимология названия:
Оригинального названия не было указано. Исходя из направленности на документы учебных заведений и "грамотность" русскоязычного текста, я дал ему название ShkolotaCrypt.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: ПРОЧТИ МЕНЯ!!!.TXT
Содержание записки о выкупе (грамота оригинала):
Что случилось с моими файлами?
Все Ваши важные файлы были зашифрованы при помощи стойких алгоритмов RSA-4096 и AES-256.
Расшифровка файлов возможна только с помощью ключа шифрования, хранящегося у нас.
Что делать для получения ключа шифрования?
Для получения ключа Вы должны заплатить выкуп в размере около тысячи рублей (РОВНО 0.10004672 в криптовалюте Dash на Dash адрес XvW7aLVhJbvqvjnt7zkngBowWRhUi1Xwin).
После оплаты Вы должны отправить на один из наших почтовых ящиков Ваш уникальный идентификатор.
Если мы увидим, что оплата была произведена, мы вышлем Вам дешифратор и ключ шифрования.
Где взять идентификатор?
Ваш уникальный идентификатор:
㖖㗌㕲㔅㖉㕭㕫㗅㖛㔦㕂㗅㖦㖘㗯㖟㗋㔑㔮㗰㕽㕏㗙㔩㗶㔌㕒㖤㔽㔓㖕㗫㕎㕿㗔㗫㗕㖋㕆㕩***
Также он был записан в Ваш буфер обмена
Где гарантии, что после оплаты выкупа я смогу восстановить свои файлы?
Вы можете прислать нам на email вместе с идентификатором один зашифрованный файл размером до 5 мегабайт.
Мы расшифруем его и Вышлем Вам в качестве доказательства того, что мы можем расшифровать Ваши файлы.
Как отправить Dash?
Dash можно оправить с помощью следующего сервиса мониторинга обменников:
https://www.bestchange.ru/yandex-money-to-dash.html
Либо зарегистрироваться на сайте Payeer и обменять деньги на Dash на бирже внутри сайта:
https://payeer.com
Либо Вы можете возпользоваться другими криптовалютными биржами
Что будет, если я не заплачу выкуп?
Восстановить файлы можно только расшифровав их. Никакая антивирусная контора Вам не поможет.
Если оплата не будет произведена в течение трёх суток, 20% из зашифрованных файлов будет безвозвратно уничтожена.
Если оплата не будет произведена в течение семи суток, все зашифрованные файлы будут уничтожены!
Наши email адреса для связи и вопросов:
9ea6e85bd12b@tutanota.com
t310ea89b4347@protonmail.com
Об алгоритмах RSA и AES Вы можете почитать в Википедии.
Данный файл находится на Вашем рабочем столе, Вы можете открыть его снова, чтобы прочитать этот текст.
Перевод записки на английский язык:
Имеется также англоязычный вариант.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов. Выдает себя за Adobe Updater и использует похожую иконку на исполняемом файле.
Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .arc, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bcp, .bkp, .bmp, .brd, .bz2, .c, .cdr, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .dat, .db, .dbf, .dch, .der, .dif, .dip, .divx, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .eps, .fb2, .fla, .flv, .frm, .gif, .gpg, .gz, .gzip, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mdv, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pcx, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .pub, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar-gz, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .webm, .wk1, .wks, .wma, .wmv, .wps, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip, .zipx (195 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
задание.rar
ПРОЧТИ МЕНЯ!!!.TXT
updater.exe
<random>.exe - случайное название вредоносного файла
sharp.pdb
Открытие стиллера.pdb
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\updater.exe
Оригинальный путь на ПК вымогателя:
C:\Users\user\Desktop\Мои проекты\Псевдошифровальщик\Вспомогательные проги\Открытие стиллера из уязвимости WinRar\Release\Открытие стиллера.pdb
В просмотрщике под Net читается: AssemblyTitle("Псевдошифровальщик C sharp")]
Внутреннее название: AdobeHelp - Декриптор вирусов
➤ Вероятно использует нашумевшую в январе-феврале 2019 года уязвимость WinRar, которая была в программе 2 десятка лет и угрожала 500 миллионам пользователей. Проблема связана с библиотекой UNACEV2.DLL, которая не обновлялась с 2005 года и отвечает за распаковку архивов формата ACE. Воспользовавшись ею, злоумышленники могут сами назначить место для распаковки архивного файла. Если файл будет отправлен в директорию Startup, то он будет запускаться при каждом включении и перезагрузке системы.
➤ Связанные с этой уязвимостью проблемы (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253 ) устранены разработчиками с выпуском версии WinRAR 5.70 Beta 1, в январе 2019, а формат ACE удален из программы. Если у вас старая версия WinRAR, обновите программу с официального сайта.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: 9ea6e85bd12b@tutanota.com
t310ea89b4347@protonmail.com
Dash: XvW7aLVhJbvqvjnt7zkngBowWRhUi1Xwin
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Добавочные образцы и комментарии от Alex Svirid:
Дроппер (HA)
Начинка (HA + VT)
Шифратор (HA)
Cтилер (HA + VT)
В начинке имена запускаемых дальше процессов не такие, как на самом деле. Начинка раскодировает файлы шифратора и стилера.
Для работы со стилером из первоначального дроппера извлекаются еще две библиотеки System.Data.SQLite.dll и SQLite.Interop.dll
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 1-2 апреля 2020:
Пост в Твиттере >>
Расширение: .crypted
Email: t310ea89b4347@protonmail.com
Записка: README!!!
➤ Содержание записки:
What happened to my files?
All your important files have been encrypted using the algorithms RSA-40% and AES-256.
Decryption of files is possible only with the encryption key stored with us.
What to do to get the encryption key?
To obtain the key. you must pay a ransom of {0}$
(for payment details please contact us by e-mail).
After payment you must send to one of our mailboxes your unique ID.
If we see that the payment has been made, we will send you the decryptor and encryption key.
Where to get the ID?
Your unique ID:
It has also been written to your clipboard
Where are the guarantees that after paying the ransom I will be able to recover my files?
You can send us an encrypted file of up to 5 megabytes in size along with your unique ID.
We will decrypt it and send it to you as proof that we can decrypt your files.
What happens if I dont pay the ransom?
You can only recover files by decrypting them. No anti-virus will not help you.
Every day the ransom amount will increase by 5$.
If payment is not made within seven days, all encrypted files will be deleted!
Days remaining: {0}
Our email address for communication and questions:
You can read about RSA and AES algorithms in Wikipedia.
This file is on your desktop, you can open it again to read this text.
➤ Местонахождение и название оригинального проекта: C:\Users\user\Documents\Яндекс.Диск\Бекап\Рабочий стол\Мои проекты\Декриптор вирусов\Декриптор вирусов\obj\Release\Декриптор вирусов.pdb
Результаты анализов: VT + VT + VT + VMR + AR
Файл: AdobeHelp.exe
➤ Обнаружения:
DrWeb -> Trojan.Starter.7937
ALYac -> Trojan.Ransom.ShkolotaCrypt
BitDefender -> Gen:Variant.Razy.550611
ESET-NOD32 -> A Variant Of MSIL/TrojanDropper.Agent.EJP
Malwarebytes -> Trojan.AutoRun
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT
TrendMicro -> Trojan.MSIL.MALREP.THDOABO
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Файлы можно расшифровать.
Дешифратор высылается разработчиком.
***
Read to links:
Tweet on Twitter + Tweet + myTweet
ID Ransomware (ID as ShkolotaCrypt)
Write-up, Topic of Support
*
Thanks:
honkone, Bart, Michael Gillespie
Andrew Ivanov (author), Alex Svirid
***
to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.