понедельник, 13 мая 2019 г.

Maze, ChaCha

Maze Ransomware

Maze Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA + ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Смотрите видеообзор >>

Вымогатели, распространяющие Maze, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. Об этих акциях вымогателей сообщалось в СМИ. 

Обнаружения:
DrWeb -> Trojan.Siggen8.29003, Trojan.Encoder.30067
Bitdefender -> Gen:Heur.Ransom.Imps.1, Trojan.GenericKD.32704232
Malwarebytes -> Ransom.Maze
Symantec -> Trojan.Gen.MBT
VBA32 -> BScope.Trojan.Wacatac

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Оригинальный логотип Maze Ransomware

Этимология названия:

В ранних вариантах не было никакого  названия, потому мы использовали характерное слово ChaCha для названия и статьи. Не было никакого изображения, заменяющее обои Рабочего стола, а в html-записке вместо названия было нечто, сообщающее о системной ошибке: 0010 SYSTEM FAILURE 0010.  Именно так, зачеркнуто. Название на изображении, заменяющем обои, появилось в конце мая 2019, в более новых вариантах. 

К зашифрованным файлам добавляется расширение: .<random4-7>

Примеры других расширений:
.rC0syGH
.DL1fZE
.LKc07P
.FBrRDWC
.t6brFnQ
.0HOgD
.MJNW

При этом, на одном ПК могут добавляться разные расширения к разным файлам. Принцип такой зависимости пока неясен. 

Кроме того, в конец зашифрованных файлов добавляется маркер файлов: 0x66116166

Это видно на скриншотах ниже, где этот маркер присутствует в разных файлах из разных ПК. Возможно, что это изменится позже, но на момент написания статьи и публикации это факт. 



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие были из США. 

Записка с требованием выкупа называется: DECRYPT-FILES.html



Содержание записки о выкупе:
0010 SYSTEM FAILURE 0010
***************************
Attention! Your documents, photos, databases, and other important files have been encrypted!
***************************
The only way to decrypt your files, is to buy the private key from us.
You can decrypt one of your files for free, as a proof that we have the method to decrypt the rest of your data.
In order to receive the private key contact us via email: 
getmyfilesback@airmail.cc 
Remember to hurry up, as your email address may not be avaliable for very long.
Buying the key immediatly will guarantee that 100% of your files will be restored.
Below you will see a big base64 blob, you will need to email us and copy this blob to us.
you can click on it, and it will be copied into the clipboard.
If you have troubles copying it, just send us the file you are currently reading, as an attachment.
Base64: 
M1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***

---
Красным выделены слова с ошибками. 

Перевод записки на русский язык:
0010 SYSTEM FAILURE 0010
***************************
Внимание! Ваши документы, фото, базы данных и другие важные файлы зашифрованы!
***************************
Единственный способ расшифровать ваши файлы - это купить у нас закрытый ключ.
Вы можете бесплатно расшифровать один из ваших файлов в доказательство, что у нас есть метод для расшифровки остальных ваших данных.
Чтобы получить закрытый ключ, контакт с нами по email:
getmyfilesback@airmail.cc
Не забудьте поторопиться, т.к. ваш email-адрес может не будет доступен долго.
Покупка ключа немедленно гарантирует, что 100% ваших файлов будут восстановлены.
Ниже вы увидите большой блоб base64, вам нужно будет написать нам на email и скопировать этот блок в письмо.
Вы можете нажать на него, и он будет скопирована в буфер обмена.
Если у вас возникли проблемы с копированием, просто отправьте нам файл, который вы сейчас читаете, в виде вложения.
Base64:
M1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***


Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 





Технические детали

Распространяется с помощью набора эксплойтов Fallout через фальшивый сайт Abra, выдавая себя за приложение для обмена криптовалюты. Этот сайт создан для того, чтобы выдавать себя за рекламодателя и покупать трафик в рекламных сетях. Посетители этого сайта будут перенаправлены на специальную страницу, начиненную наборов эксплойтов, которые срабатывают при определенных условиях.

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, других эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

 Этот Ransomware определяет тип ПК (домашний компьютер, рабочая станция, контроллер домен, сервером и пр.), а затем показывает соответствующую сумму выкупа, в тексте которого будет использована одна из следующих строк: 
standalone server
server in corporate network
workstation in corporate network
home computer
primary domain controller
backup server
very valuable for you

➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Шифровальщик пытается подключиться к 15 сайтам (случайные URL-адреса) по IP-адресу, который начинается с 92. Сайты могут относиться к разным странам. См. список ниже. 
 

➤ Другие деструктивные действия:
Создает файлы и изменяет сертификаты в каталоге Windows.
Записывает файлы в папку автозагрузки Word и меню Пуск.
Изменяет файлы в папке расширения Chrome и читает куки, видимо с целью кражи личных данных.

➤ Подключается к серверу без имени хоста.

➤ Группа, стоящая за распространением Maze и атаками, не гнушается доксингом, т.е. с целью давления на жертв угрожаем им обнародованием в Интернете похищенной информации, если не будет выплачен выкуп. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT-FILES.html
foo.dat
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%ProgramData%\foo.dat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getmyfilesback@airmail.cc
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>  VMR>>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14-15 мая 2019:
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.html
Также использует изображение, заменяющее обои Рабочего стола. 
В текст записки добавляется имя пользователя. 
 Результаты анализов: VT + VMR

Обновление от 29 мая 2019:
Пост в  Твиттере >>
Самоназвание: Maze Ransomware
Расширение: .<random{4-7}>
Email: koreadec@tutanota.com
vourrealdecrypt@airmail.cc

Обновление от 31 мая 2019:
Самоназвание: Maze Ransomware
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.html
Email: filedecryptor@nuke.africa
Результаты анализов: VT + VMR + IA + HA / VT + VMR
 
В статье Лоуренса Абрамса сообщается, что им обнаружен адрес bleepingcomputer.com в программной памяти Maze Ransomware. Точная задача неясна. 




Обновление от 17 октября 2019:
Пост в Твиттере >>
Самоназвание: Maze Ransomware
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.html
Результаты анализов: VT + IA + AR
Скриншоты записки о выкупе и изображения, заменяющего обои Рабочего стола. 
Видеообзор, сделанный с помощью сайта ANY.RUN
URL: xxxxs://mazedecrypt.top/***
Tor-URL: aoacugmutagkwctu.onion/***
Скриншоты с сайта вымогателей. 

Обновление от 18 октября 2019:
Статья на сайте Bleeping Computer >>
В основном, представлен информация, опубликованная мною выше - 17 октября 2019. В дополнение к указанным мною данным можно добавить следующее. 

Maze Ransomware теперь использует набор эксплойтов Spelevo в новой вредоносной кампании, использующей уязвимость Flash Player для атак на пользователей Сети. Ранее использовался набор эксплойтов Fallout. При перенаправлении на эксплойт Spelevo будет пытаться использовать уязвимость CVE-2018-15982. При этом уязвимыми будут пользователи Flash Player версий 31.0.0.153 / 31.0.0.108 и более ранних. После успешной эксплуатации уязвимости набор эксплойта автоматически загрузит и установит пейлоад с Maze Ransomware.

Обновление от 21 октября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt
URL: xxxxs://mazedecrypt.top/74980923c4ba3647
Tor-URL: xxxx://aoacugmutagkwctu.onion/74980923c4ba3647
Файл: ESET32.EXE
Результаты анализов: VT + IA + AR / VT + AR
Скриншоты с сайта mazedecrypt.top:
 
 
Содержание первой страницы:
Time is expired, fee was doubled.
---
To recover your files, you must pay the fee.
Your current fee 2400$ (USD)
You must hurry up because your 50% discount will expire after the counter at the top of this page will reach zero. If you fail to pay until that time, the fee will be increased x2 (doubled), so if it was 2400 USD it will become 4800 USD.
You can send the money in chunks (parts), the fee will be recalculated on each successful transaction.
Transaction will be completed after 3 confirmations from the network.
To pay the fee you must buy bitcoin, and send exactly this amount of btc 0.3221922 BTC to address:
3NQ1JyX5iphB9PhAyawMCkyS8iV1xzoTpT
To see how to buy the bitcoins, click Buy Bitcoins at the tab menu on top of the page.
We are providing 3 test decrypts, to prove that we can recover your files.
Click Test Decrypt at the menu on top of this the page to decrypt 3 files for free.
Attention! We are decrypting only image files for free, as they do not have any significant value to you.

Обновление от 29 октября 2019:
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt
Результаты анализов: VT + AR + IA

Обновление от 6 ноября 2019:
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt

Обновление от 11-14 ноября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt
Файл: eset.exe
Результаты анализов: VT + HA + VMR / VT
 

Обновление от 20 ноября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt
Tor-URL: xxxx://aoacugmutagkwctu.onion/1e5607b75639e2ee
URL: xxxxs://mazedecrypt.top/1e5607b75639e2ee
Результаты анализов: VT  / AR

Обновление от 11 декабря 2019:
Статья на сайте BleepingComputer >>

Обновление от 17 декабря 2019:
Пост в Твиттере >>
Статьи по теме:
17 декабря 2019
23 декабря 2019

Обновление от 12 декабря 2019 года:
Статья от Emsisoft >>
Отчет и статистика о причиненном ущербе в США в 2019 году.


=== 2020 ===

Обновление от 29-30 января 2020:
 
В коде есть обращение к исследователям.
Kremez and Hasherezade. Two polish researchers. Why are still not married?
Cryptolnsane, be careful or we will lock your college and rename maze to Cryptolnsane ransomware
What if we pay some niggaman to throw Molotov to southwire office?
---
И еще одно разъяснение...
 


Обновление от 3 января 2020:
Пост в Твиттере >>
 

Пост в Твиттере >>
Теперь в записке сообщается о том, что нужно посмотреть в Гугле, что случилось с данными тех, кто не заплатил выкуп: компании Southwire, MDLab, город Pensacola.






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ChaCha)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от Cyber Security GrujaRS
Added later:
Write-up by BleepingComputer (on May 31. 2019)
*
*
 Thanks: 
 Michael Gillespie, GrujaRS
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton