Buran-Ghost

Ghost Ransomware
Buran-Ghost Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано, но есть запись в коде "THIS IS GHOST!!! MADE IN USSR". На файле написано: Rowrub.exe, "Playtech* Measuresentence", ghost.exe . Написан на Borland Delphi. 

Обнаружения: 
DrWeb -> Trojan.PWS.DanaBot.122
BitDefender -> Trojan.GenericKD.41355537
Symantec -> Trojan.Gen.MBT
Malwarebytes -> Ransom.Jamper
AhnLab-V3 -> Trojan/Win32.BuranRansom.R275107
ALYac -> Trojan.Ransom.VegaLocker

© Генеалогия: Buran >> Buran-Ghost

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ghost или настраиваемое.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину - середину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ===HOW TO RECOVER ENCRYPTED FILES===.TXT

Содержание записки о выкупе:
Your important files have been encrypted. We can help you decrypt them.
If you are interested in purchasing our decryptor, please contact us by email:
e95c12d08b14@protonmail.com
e95c12d08b14@airmail.cc

Перевод записки на русский язык:
Ваши важные файлы зашифрованы. Мы можем помочь вам дешифровать их.
Если вы намерены приобрести наш декриптор, пишите нам на email:
e95c12d08b14@protonmail.com
e95c12d08b14@airmail.cc

Информатором также выступает запись в коде, доступная для исследователей:

"BEWARE... THIS IS GHOST!!! MADE IN USSR"

Технические детали

Нацелен на европейские страны. Распространяется с помощью трояна DanaBot (внедряет вредоносный скрипт в браузер, собирает email-адреса, логин-пароли, скрытно рассылает спам от имени жертвы и пр.). Для компрометации используются email-письма, имитирующие счета от различных компаний. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск.

 

Использует иконку от старой версии Google Chrome.

Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, кто тех, что есть в белом списке расширений и белом списке файлов (см. ниже). Подробнее >>
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений:  
.bat, .cmd, .com, .cpl, .dll, .exe, .ghost, .log, .msc, .msp, .pif, .scr, .sys

Белый список файлов: 
boot.ini; bootfont.bin; bootsect.bak; desktop.ini; defender.exe; iconcache.db; master.exe; master.dat; ntdetect.com; ntldr; ntuser.dat; ntuser.dat.log; ntuser.ini; temp.txt; thumbs.db; unlock.exe; unlocker.exe

Файлы, связанные с этим Ransomware:
===HOW TO RECOVER ENCRYPTED FILES===.TXT
Rowrub.exe
<random>.exe - случайное название вредоносного файла
969DB87A.ghost
996E.exe
lsass.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\76E69905.ghost
C:\Documents and Settings\Administrator\Local Settings\Temp\969DB87A.ghost
C:\Documents and Settings\Administrator\Local Settings\Temp\EB93A6\996E.exe
C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe

Записи реестра и действия, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Borland\Delphi\Locales Access
HKEY_CURRENT_USER\Software\Borland\Locales Access
HKEY_CURRENT_USER\Software\Ghost Access
HKEY_CURRENT_USER\Software\Ghost\Knock Read, Write
HKEY_CURRENT_USER\Software\Ghost\Service Access
HKEY_CURRENT_USER\Software\Ghost\Service\Private Write
HKEY_CURRENT_USER\Software\Ghost\Service\Public Write
HKEY_CURRENT_USER\Software\Ghost\Stop Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor Access
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\CompletionChar Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DefaultColor Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DelayedExpansion Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\DisableUNCCheck Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\EnableExtensions Read
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\PathCompletionChar Read
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Access
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System Access
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Access
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DefaultTTL Read
HKEY_LOCAL_MACHINE\Software\Borland\Locales Access
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor Access
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\CompletionChar Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\DefaultColor Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\DelayedExpansion Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\DisableUNCCheck Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\EnableExtensions Read
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\PathCompletionChar Read
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://iplogger.ru/1CZM57.txt - сохраняется как PNG-изображение
Email: e95c12d08b14@protonmail.com, e95c12d08b14@airmail.cc
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Дополнительно: 
GitHub >>

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>  VMR>>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ДЕШИФРОВЩИК === DECRYPTER aka UNLOCKER ===

Пост в Твиттере >>

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
Buran-Storm Ransomware - июнь, сентябрь 2019
Zeppelin Ransomware - декабрь 2019 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8-9 июня 2019:
Пост в Твиттере >>
"BEWARE GHOST...MADE IN USSR"

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet  + Tw + Tw
 ID Ransomware (ID as Buran)
 Write-up, Topic of Support
 Write-up about DanaBot >> 

 Thanks: 
 Vitali Kremez, S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.