вторник, 28 мая 2019 г.

GottaCry

GottaCry Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC или $70 в Paypal, чтобы вернуть файлы. Оригинальное название: GottaCry. На файле написано: GottaCry.exe

Обнаружения: 
DrWeb ->Trojan.Ransom.626
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Malwarebytes -> Trojan.FakeRansom
ALYac -> Trojan.Ransom.GottaCry

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — логотип статьи

К незашифрованным файлам никакое расширение не добавляется.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, в котором есть слова "encryptor" и "Decryptor" одновременно. 

Содержание записки о выкупе:
GottaCry | Windows encryptor
GottaCry | Windows Decryptor 2019 ©
Your computer has been encrypted
All your files were encrypted
If you turn off your computer, we will leak all your passwords and will delete your computer
All your desktop files were moved to my server until payment is done
All of your passwords were recovered into my servers
---
Unlock password [...][Unlock]
Contact onty on discord!
DISCORD: Russen#6061
discord link (click)
50$ bitcoin or 70$ paypal
 [1HfdBrUDYZ1rCdQcgBt84Ja7JoYhHDqNcg] [Copy]

Перевод записки на русский язык:
GottaCry | Windows encryptor
GottaCry | Windows Decryptor 2019 ©
Ваш компьютер был зашифрован
Все ваши файлы были зашифрованы
Если вы выключите компьютер, мы утечем все ваши пароли и удалим ваш компьютер
Все ваши файлы рабочего стола были перемещены на мой сервер, пока не будет произведена оплата
Все ваши пароли были восстановлены на моих серверах
---
Разблокировать пароль [...] [Unlock]
Контакт только в discord
DISCORD: Russen#6061
discord ссылка (клик)
50$ bitcoin или 70$ paypal
 [1HfdBrUDYZ1rCdQcgBt84Ja7JoYhHDqNcg] [Copy]


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск.
Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GottaCry.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GottaCry
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Anchor Underline
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Settings\Anchor Color
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\AppContext
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\DbgJITDebugLaunchSetting

HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\DbgManagedDebugger
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
DISCORD: Russen#6061
BTC: 1HfdBrUDYZ1rCdQcgBt84Ja7JoYhHDqNcg
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Raby
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 24 мая 2019 г.

NewWave

NewWave Ransomware

ClobeImposter-NewWave Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: ClobeImposter > ClobeImposter 2.0 > NewWave

К зашифрованным файлам добавляется расширение: .LotR
Фактически используется составное расширение: .[new_wave@tuta.io].LotR


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середиину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: #NEW_WAVE.html


Содержание записки о выкупе:
RECOVER YOUR FILES
---WARNING!!! Your files was encrypted!
Save the ID before doing anything on the computer!!!
Be sure to save this ID, without it decryption is impossible!!!
Your personal ID:
A0 1C 2B 5D 5A 92 85 48 28 C1 D9 B1 69 BD 68 A9
***
FF A0 8C 43 B2 4F B4 A1 27 56 3F 70 57 DF 4E 86
Send 3 test image or text file new_wave@tuta.io or newwave@airmail.cc.
In the letter include your personal ID (look at the beginning of this document).
We will give you the decrypted file and assign the price for decryption all filesAfter we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
To recover data you need decryptor.
Instructions for obtaining a decryptor:
Send your ID to the mailbox below and wait for the answer:new_wave@tuta.io or newwave@airmail.cc.
In the response letter there will be instructions for decoding.
Attention!!!
Only new_wave@tuta.io or newwave@airmail.cc can decrypt your files
Do not trust anyone new_wave@tuta.io or newwave@airmail.cc
Do not attempt to remove the program or run the anti-virus tools
Decoders other users are not compatible with your data, because each user's unique encryption key
Attempts to self-decrypting files will result in the loss of your data

Перевод записки на русский язык:
ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ
---
ПРЕДУПРЕЖДЕНИЕ!!! Ваши файлы были зашифрованы!
Сохраните ID, прежде чем делать что-то в компьютере!!!
Обязательно сохраните этот ID, без него расшифровка невозможна!!!
Ваш личный ID:
A0 1C 2B 5D 5A 92 85 48 28 C1 D9 B1 69 BD 68 A9
***
FF A0 8C 43 B2 4F B4 A1 27 56 3F 70 57 DF 4E 86
Отправьте 3 тестовых изображения или текстовый файл на new_wave@tuta.io или newwave@airmail.cc.
В письме укажите свой личный ID (посмотрите в начале этого документа).
Мы дадим вам расшифрованный файл и назначим цену для расшифровки всех файлов. После этого отправим вам инструкцию о том, как оплатить расшифровку, и после оплаты вы получите расшифровщик и инструкции. Мы можем расшифровать один файл в доказательство того, что у нас есть декодер.
Для восстановления данных вам нужен расшифровщик.
Инструкция по получению расшифровщика:
Отправьте свой ID в почтовый ящик ниже и дождитесь ответа: new_wave@tuta.io или newwave@airmail.cc.
В ответном письме будут инструкции по расшифровке.
Внимание!!!
Только new_wave@tuta.io или newwave@airmail.cc могут расшифровать ваши файлы
Не доверяйте никому, кроме new_wave@tuta.io или newwave@airmail.cc
Не пытайтесь удалить программу или запустить антивирусные инструменты
Декодеры других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования
Попытки самостоятельно расшифровать файлы приведут к потере ваших данных



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Деструктивные действия: 
Некоторые действия выглядят как кража личных данных
Переименовывает файлы, как это делает Ransomware.
Изменяет значение Автозапуска в реестре Windows.
Запускает cmd.exe для выполнения команд.
Читает кукисы в Mozilla Firefox.
Создает файлы в пользовательском каталоге.
Создает файлы в каталоге программы.
Записывает в файл desktop.ini (для маскировки папок).
Исполняемый контент удаляется или перезаписывается.

 Использует индикаторы, указывающие на следующие антивирусы:
COMODO
Kaspersky Lab
McAfee
Avira
Avast
Symantec

Список файловых расширений, подвергающихся шифрованию:
.avi, .bfc, .bmp, .cab, .contact, .crl, .csv, .dat, .db, .docx, .exe, .gif, .icc, .ini, .jar, .jpg, .js, .json, .lnk, .log, .lst, .m4a, .mkv, .mp3, .msi, .msp, .ods, .odt, .ots, .pdf, .png, .pptx, .properties, .rdf, .rll, .rsm, .rtf, .sol, .sqlite, .src, .swf, .url, .vss, .wav, .xls, .xlsx, .xml, .xsl, .zip
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без расширений и пр.

Файлы, связанные с этим Ransomware:
#NEW_WAVE.html
exec.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\exec.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Name: BrowserUpdateCheck
Value: C:\Users\admin\AppData\Local\exec.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Name: UNCAsIntranet
Value: 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Name: AutoDetect
Value: 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Name: UNCAsIntranet
Value: 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
Name: AutoDetect
Value: 1
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

GlobeImposter Ransomware - декабрь 2016
GlobeImposter 2.0 Ransomware - апрель 2017
GlobeImposter-NewWave Ransomware - апрель-май 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as GlobeImposter 2.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Raby, JAMESWT
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 23 мая 2019 г.

ShkolotaCrypt

ShkolotaCrypt Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0.1 Dash, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: updater.exe

Обнаружения: 
DrWeb -> Trojan.MulDrop9.11435
BitDefender -> Trojan.GenericKD.31998870
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SS
Symantec -> Ransom.CryptXXX, Trojan.Gen.MBT

© Генеалогия: выясняется, явное родство с кем-то не доказано.



К зашифрованным файлам добавляется расширение: .crypted

Этимология названия:
Оригинального названия не было указано. Исходя из направленности на документы учебных заведений и "грамотность" русскоязычного текста, я дал ему название ShkolotaCrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ПРОЧТИ МЕНЯ!!!.TXT
Содержание записки о выкупе (грамота оригинала):
Что случилось с моими файлами?
Все Ваши важные файлы были зашифрованы при помощи стойких алгоритмов RSA-4096 и AES-256.
Расшифровка файлов возможна только с помощью ключа шифрования, хранящегося у нас.
Что делать для получения ключа шифрования?
Для получения ключа Вы должны заплатить выкуп в размере около тысячи рублей (РОВНО 0.10004672 в криптовалюте Dash на Dash адрес XvW7aLVhJbvqvjnt7zkngBowWRhUi1Xwin).
После оплаты Вы должны отправить на один из наших почтовых ящиков Ваш уникальный идентификатор.
Если мы увидим, что оплата была произведена, мы вышлем Вам дешифратор и ключ шифрования.
Где взять идентификатор?
Ваш уникальный идентификатор:
㖖㗌㕲㔅㖉㕭㕫㗅㖛㔦㕂㗅㖦㖘㗯㖟㗋㔑㔮㗰㕽㕏㗙㔩㗶㔌㕒㖤㔽㔓㖕㗫㕎㕿㗔㗫㗕㖋㕆㕩***
Также он был записан в Ваш буфер обмена
Где гарантии, что после оплаты выкупа я смогу восстановить свои файлы?
Вы можете прислать нам на email вместе с идентификатором один зашифрованный файл размером до 5 мегабайт.
Мы расшифруем его и Вышлем Вам в качестве доказательства того, что мы можем расшифровать Ваши файлы.
Как отправить Dash?
Dash можно оправить с помощью следующего сервиса мониторинга обменников:
https://www.bestchange.ru/yandex-money-to-dash.html
Либо зарегистрироваться на сайте Payeer и обменять деньги на Dash на бирже внутри сайта:
https://payeer.com
Либо Вы можете возпользоваться другими криптовалютными биржами
Что будет, если я не заплачу выкуп?
Восстановить файлы можно только расшифровав их. Никакая антивирусная контора Вам не поможет.
Если оплата не будет произведена в течение трёх суток, 20% из зашифрованных файлов будет безвозвратно уничтожена.
Если оплата не будет произведена в течение семи суток, все зашифрованные файлы будут уничтожены!
Наши email адреса для связи и вопросов:
9ea6e85bd12b@tutanota.com
t310ea89b4347@protonmail.com
Об алгоритмах RSA и AES Вы можете почитать в Википедии.
Данный файл находится на Вашем рабочем столе, Вы можете открыть его снова, чтобы прочитать этот текст.

Перевод записки на английский язык:
Имеется также англоязычный вариант. 




Технические детали



Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов. Выдает себя за Adobe Updater и использует похожую иконку на исполняемом файле. 

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .arc, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bcp, .bkp, .bmp, .brd, .bz2, .c, .cdr, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .dat, .db, .dbf, .dch, .der, .dif, .dip, .divx, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .eps, .fb2, .fla, .flv, .frm, .gif, .gpg, .gz, .gzip, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mdv, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pcx, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .pub, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar-gz, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .webm, .wk1, .wks, .wma, .wmv, .wps, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip, .zipx (195 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
задание.rar
ПРОЧТИ МЕНЯ!!!.TXT
updater.exe
<random>.exe - случайное название вредоносного файла
sharp.pdb
Открытие стиллера.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\updater.exe

Оригинальный путь на ПК вымогателя: 
C:\Users\user\Desktop\Мои проекты\Псевдошифровальщик\Вспомогательные проги\Открытие стиллера из уязвимости WinRar\Release\Открытие стиллера.pdb
В просмотрщике под Net читается:  AssemblyTitle("Псевдошифровальщик C sharp")]
Внутреннее название: AdobeHelp - Декриптор вирусов

➤ Вероятно использует нашумевшую в январе-феврале 2019 года уязвимость WinRar, которая была в программе 2 десятка лет и угрожала 500 миллионам пользователей. Проблема связана с библиотекой UNACEV2.DLL, которая не обновлялась с 2005 года и отвечает за распаковку архивов формата ACE. Воспользовавшись ею, злоумышленники могут сами назначить место для распаковки архивного файла. Если файл будет отправлен в директорию Startup, то он будет запускаться при каждом включении и перезагрузке системы.
 Связанные с этой уязвимостью проблемы (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253 ) устранены разработчиками с выпуском версии WinRAR 5.70 Beta 1, в январе 2019, а формат ACE удален из программы. Если у вас старая версия WinRAR, обновите программу с официального сайта

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 9ea6e85bd12b@tutanota.com
t310ea89b4347@protonmail.com
Dash: XvW7aLVhJbvqvjnt7zkngBowWRhUi1Xwin
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Добавочные образцы и комментарии от Alex Svirid:
Дроппер (HA)
Начинка (HA + VT)
Шифратор (HA)
Cтилер  (HA + VT)
В начинке имена запускаемых дальше процессов не такие, как на самом деле. Начинка раскодировает файлы шифратора и стилера. 
Для работы со стилером из первоначального дроппера извлекаются еще две библиотеки System.Data.SQLite.dll и SQLite.Interop.dll

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать.
Дешифратор высылается разработчиком. 
***
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ShkolotaCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 honkone, Bart, Michael Gillespie
 Andrew Ivanov (author), Alex Svirid
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 21 мая 2019 г.

GetCrypt

GetCrypt Ransomware

GetCrypt 2.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20 и RSA-4096, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп в # BTC, и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ChristsIbrahim и Tky If Dos.

Обнаружение: 
ALYac -> Trojan.Ransom.GetCrypt
DrWeb -> Trojan.MulDrop9.11198, Trojan.Encoder.28201
Malwarebytes -> Ransom.GetCrypt
BitDefender -> Trojan.GenericKD.41309446, Gen:Heur.Ransom.Imps.1
Kaspersky -> Trojan.Win32.DelShad.hr

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Уменьшенное изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<RANDOM{4}>

Примеры расширений из загруженных образцов: 
.NHCR
.ONYC

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # DECRYPT MY FILES #.txt


Содержание записки о выкупе:
Attention! Your computer has been attacked by virus-encoder!
All your files are now encrypted using cryptographycalli strong aslgorithm.
Without the original key recovery is impossible.
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES YOU NEED TO EMAIL US AT: GETCRYPT@COCK.LI
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S only in case you do not recive a response from the first email address within 48 hours,
CpbNPC3in+gflXBWw+85FpmEPijhUwB5ko1oiaLljVQ/MmJ***


Перевод записки на русский язык:
Внимание! Ваш компьютер был атакован вирусом-шифратором!
Все ваши файлы теперь зашифрованы с криптографическим алгоритмом.
Без оригинального ключа восстановление невозможно.
ЧТОБЫ ПОЛУЧИТЬ ВАШ ДЕКОДЕР И ОРИГИНАЛЬНЫЙ КЛЮЧ ДЛЯ ДЕШИФРОВАНИЯ ВАШИХ ФАЙЛОВ НАПИШИТЕ НАМ НА GETCRYPT@COCK.LI
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов.
P.S. только в том случае, если вы не получили ответ с первого email-адреса в течение 48 часов,
CpbNPC3ingflXBWw85FpmEPijhUwB5ko1oiaLljVQ/MmJ***

---
Как видно из текста, он немного недописан. Полный текст и второй email см. на изображении ниже. 

Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола. 

Содержание текста с изображения:
ATTENTION
Attention! Your computer has been attacked by virus-encoder!
All your files are now encrypted using cryptographycalli strong aslgorithm.
Without the original key recovery is impossible. 
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES
YOU NEED TO EMAIL US AT: GETCRYPT@COCK.LI
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S only in case you do not recive a response from the first email address within 48 hours,
please use this alternative email address: CRYPTGET@TUTANOTA.COM
1. Open your browser
2. Write to our mail: GETCRYPT@COCK.LI
3. Attach file encrypted_key.bin from %appdata% to your message


Перевод текста на русский язык:
ВНИМАНИЕ
Внимание! Ваш компьютер атакован вирусом-шифратором!
Все ваши файлы теперь зашифрованы с криптографически надежным алгоритмом.
Без оригинального ключа восстановление невозможно.
ЧТОБЫ ПОЛУЧИТЬ ВАШ ДЕКОДЕР И ОРИГИНАЛЬНЫЙ КЛЮЧ ДЛЯ ДЕШИФРОВАНИЯ ВАШИХ ФАЙЛОВ
ВАМ НУЖНО НАПИСАТЬ НАМ НА GETCRYPT@COCK.LI
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов.
P.S. только в том случае, если вы не получили ответ с первого email-адреса в течение 48 часов,
пожалуйста, используйте этот альтернативный email-адрес: CRYPTGET@TUTANOTA.COM
1. Откройте ваш браузер
2. Пишите на нашу почту: GETCRYPT@COCK.LI
3. Прикрепите файл encrypted_key.bin из% appdata% к вашему сообщению.

---
Стиль изображения с текстом похож на тот, что использовался ранее в Cerber Ransomware. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Rig Exploit Kit), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 


➤ Кажется, ПК пользователей из стран СНГ должны пропускаться. 

➤ Удаляет теневые копии файлов стандартной командой из арсенала Windows: vssadmin.exe delete shadows /all /quiet

 Дроппирует в систему множество файлов. 

 Список пропускаемых директорий ("белый список"): 
C:\Windows\System32
C:\Windows\System32\svchost.exe
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Windows
:\Boot
:\System Volume Information
:\Recovery
AppData

 Пытается получить доступ к ресурсам локальной сети, перебирая следующие логин-пароли:
admin
administrator
Administrator
test
1111
11111
111111
Guest
Home
root
developer
r00t
ro0t
r0ot
qwerty
1234
12345
123456
1234567
12345678
123456789
1234567890

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# DECRYPT MY FILES #.txt
bs03u4lh.bin.exe
<random>.exe - случайное название вредоносного файла
encrypted_key.bin
Tempdesk.bmp

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\encrypted_key.bin
\AppData\Local\Tempdesk.bmp
C:\Dub\Echoplex\8\Release\F1.pdb 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getcrypt@cock.li, cryptget@tutanota.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
ᕒ  ANY.RUN analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21-22 мая 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .NHCR или .ONYC
Записка: # DECRYPT MY FILES #.txt
Email: GETCRYPT@COCK.LI, CRYPTGET@TUTANOTA.COM
Результаты анализов: VT + VMR + AR

Обновление от 28 мая 2019:
Пост в Твиттере >>
Расширение: .NHCR или .ONYC
Записка: # DECRYPT MY FILES #.txt
Email: OFFTITAN@cock.li, OFFTITAN@PM.ME
Результаты анализов: VT + VMR

Обновление от 31 мая 2019:
Топик на форуме >>
Записка: # DECRYPT MY FILES #.txt
Email: cryptomadbusiness@protonmail.com
➤ Содержание записки: 
Attention! Your computer has been attacked by virus-encoder!
All your files are now encrypted using cryptographycalli strong aslgorithm.
Without the original key recovery is impossible.
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES YOU NEED TO EMAIL US AT: cryptomadbusiness@protonmail.com
It is in your interest to respond as soon as possible to ensure the restoration of your files.


Обновление от 29 июня 2019:
Пост в Твиттере >>
Расширение: .ONYC
Записка: # DECRYPT MY FILES #.txt
Email: 
Результаты анализов: VT 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as GetCrypt)
 Write-up, Topic of Support
 * 
 - видеообзор предоставлен сервисом ANY.RUN
 Thanks: 
 Petrovic, GrujaRS
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton