Если вы не видите здесь изображений, то используйте VPN.

вторник, 30 июля 2019 г.

TFlower

TFlower Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим CBC), а затем требует выкуп в 15 BTC, чтобы вернуть файлы. Оригинальное название: TFlower. На файле написано: нет данных. Ориентирован на организации и компании. Может быть связана с северокорейской группой Lazarus APT. 

Обнаружения:
DrWeb -> Trojan.Siggen8.38390 (*38402, *40484), Trojan.Encoder.29291, Trojan.Encoder.29318, Trojan.Encoder.29432
BitDefender -> Trojan.GenericKD.32204186, Gen:Variant.Razy.501351, Trojan.GenericKD.32320097
ALYac -> Trojan.Ransom.TFlower
Kaspersky -> Trojan.Win32.DelShad.adf, Trojan.Win32.DelShad.acz
VBA32 -> BScope.Trojan.DelShad
Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи нет данных о массовом распространении. 

Записка с требованием выкупа называется: !_Notice_!.txt
Содержание записки о выкупе:
IMPORTANT NOTICE THAT IS URGENT AND TRUE
===================================
Dear Sir/Ma,
Sorry to inform you but many files of your COMPANY has just been ENCRYPTED with a STRONG key.
This simply means that you will not be able to use your files until it is decrypted by the same key used in encrypting it.
TO get the DECRYPT TOOL for your COMPANY, you have to make payment to us so as to recover your files.
You have to pay sum of 15 BTC to bitcoin address below:
BITCOIN ADDRESS:-» 14nfYK5frS6Db4B3mthRffTQuTFfeM9un3
NOTE
===================================
You may upload 1 of your encrypted files to test the decryption for free.
But, the file should not contain any valuable information.
All the operations can be done at following web site.
WEBSITE:=>> 
http://665vhhhfwgtpvq6765vektenyr5iw3d5duyydpnsdaijbp4xvz2rxeqd.onion/user.php?address-14nfYK5frS63b4B3mthRffTQuTFfeM9un3
E-MAIL :=>> flowerboard@torguard.tg

Перевод записки на русский язык:
ВАЖНОЕ УВЕДОМЛЕНИЕ, ЧТО СРОЧНО И ПРАВДА
===================================
Уважаемый сэр / мадам,
Извините, что сообщил вам, но многие файлы вашей КОМПАНИИ были только что ЗАШИФРОВАНЫ СИЛЬНЫМ ключом.
Это значит, что вы не сможете использовать ваши файлы, пока они не будут расшифрованы тем же ключом, который использовался при его шифровании.
Чтобы получить УКАЗАННЫЙ ИНСТРУМЕНТ для вашей КОМПАНИИ, вы должны произвести оплату нам, чтобы восстановить ваши файлы.
Вы должны заплатить сумму в 15 BTC по биткойн-адресу ниже:
АДРЕС BITCOIN: -» 14nfYK5frS6Db4B3mthRffTQuTFfeM9un3
ЗАМЕТКА
===================================
Вы можете загрузить один из ваших зашифрованных файлов, чтобы бесплатно протестировать расшифровку.
Но файл не должен содержать никакой ценной информации.
Все операции могут быть выполнены на следующем веб-сайте.
САЙТ: =>>
http://665vhhhfwgtpvq6765vektenyr5iw3d5duyydpnsdaijbp4xvz2rxeqd.onion/user.php?address-14nfYK5frS63b4B3mthRffTQuTFfeM9un3
E-MAIL: =>> flowerboard@torguard.tg

Запиской с требованием выкупа также выступает сайт вымогателей:

Содержание текста до ввода данных: 
We have encrypted some of your files.
If you want to decrypt those files, you should pay some bitcoin to get your decrypt tool here.
After paying bitcoin, please login with the bitcoin address given to you and download the decrypt tool.
Note: Before making a payment, you may login and upload a file for decryption test. 

Содержание текста о выкупе:
We have encrypted some of your files.
If you want to decrypt those files, you should pay 15 BTC to address
14nfYK5frS6Jb4B3mthRffTQuTFfeM9un3 to get your decrypt tool here.
After paying bitcoin, please login with the bitcoin address given to you and download the decrypt tool.
Note. Before making a payment, you may login and upload a file for decryption test.
Our email address is flowerboard@torguard.tg

Перевод текста на русский язык:
Мы зашифровали некоторые из ваших файлов.
Если вы хотите расшифровать эти файлы, вы должны заплатить 15 BTC на адрес 14nfYK5frS6Jb4B3mthRffTQuTFfeM9un3, чтобы получить инструмент для расшифровки.
После оплаты биткойнов, пожалуйста, войдите в систему с данным адресом биткойнов и загрузите инструмент дешифрования.
Заметка. Перед платежом вы можете войти и загрузить файл для тест-расшифровки.
Наш email: flowerboard@torguard.tg



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!_Notice_!.txt
cxmxjh.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Маркер файлов:
"*tflower"

Сетевые подключения и связи:
URL: http://665vhhhfwgtpvq6765vektenyr5iw3d5duyydpnsdaijbp4xvz2rxeqd.onion/user.php
Email: flowerboard@torguard.tg
BTC: 14nfYK5frS6Jb4B3mthRffTQuTFfeM9un3
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24-30 августа 2019:
Пост в Твиттере >>
Расширение: - 
Записка: !_Notice_!.txt
Email: flower.harris@protonmail.com, flower.harris@tutanota.com
Файл EXE: chilli.exe
Результаты анализов: VT



Обновление от 18 сентября 2019:
Пост в Твиттере >>
Email: flower.harris@protonmail.com, flower.harris@tutanota.com
Файл: chilli.exe
Результаты анализов: VT + AR + IA

Обновление от 19 августа 2019:
Пост в Твиттере >>
Записка: !_Notice_!.txt

URL: http://665vhhhfwgtpvq6765vektenyr5iw3d5duyydpnsdaijbp4xvz2rxeqd.onion/user.php?address=1DWm7rQLAYrFPUu7qxLaTN3AomofTGdUKD
Email: flowerboard@protonmail.com
BTC: 1DWm7rQLAYrFPUu7qxLaTN3AomofTGdUKD
Файл: WABMIG.EXE
Результаты анализов: VT + AR + IA

Обновление от 19 сентября 2019:
Пост в Твиттере >>Email: flowerboard@protonmail.com
Новая сумма выкупа: 70 BTC или $691355.70
BTC: 1DWm7rQLAYrFPUu7qxLaTN3AomofTGdUKD



Обновление от 1 августа 2020:
TFlower может быть связана с северокорейской группой Lazarus APT. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as TFlower)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 29 июля 2019 г.

GermanWiper

GermanWiper Ransomware

Unnamed German Ransomware

(шифровальщик-вымогатель, деструктор, стиратель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей, а затем требует выкуп в ~0.15 BTC (1500$), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Обнаружения:
DrWeb -> Trojan.Encoder.29156
BitDefender -> Trojan.GenericKD.32208067
Avira (no cloud) -> TR/AD.MalwareCrypter.sbepq

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К фейк-зашифрованным файлам добавляется расширение: .<random{5}>
Примеры расширений:
.ctNfy

.eRq7E
.RadEW
.08kJA
.AVco3

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется с использование добавленного расширения по шаблону: 
<random{5}>_Entschluesselungs_Anleitung.html
Примеры таких записок:
ctNfy_Entschluesselungs_Anleitung.html
eRq7E_Entschluesselungs_Anleitung.html
RadEW_Entschluesselungs_Anleitung.html

Примечательно, что в тексте записки отсутствуют традиционные специальные немецкие буквы (умляуты и эсцет). Они заменены по следующему правилу:
- ü = ue
- ö = oe
- ä = ae
- ß = ss
 

Содержание записки о выкупе:
Alle Ihre Dateien wurden verschluesselt!
Was ist passiert?
Alle Ihre Dateien wurden verschluesselt und sind fuer Sie nicht mehr zugaenglich bis wir diese wieder entschluesseln. Alle verschluesselten Dateien wurden mit der Dateiendung .ctNfy versehen.
Bitte folgen Sie unseren Anweisungen, wenn Sie Ihre Dateien zeitnah wieder entschluesseln wollen! Es besteht keine andere Moeglichkeit Ihre Daten wieder zu entschluesseln ausser unseren Anweisungen zu folgen!
Ich moechte meine Dateien entschluesseln!
Kein Problem! Um Ihre Dateien zu entschluesseln, benoetigen Sie unsere Entschluesselungssoftware, diese steht zum Kauf fuer umgerechnet ca. $1,500 bereit. 
Der Betrag ist ausschliesslich in Bitcoin an die untenstehende Adresse zu zahlen. 
Welche Garantien habe ich?
Uns interessiert nicht wer Sie sind oder was fuer Dateien Sie auf Ihrem Computer haben, wir sind ausschliesslich daran interessiert Ihnen die Entschluesselungssoftware zu verkaufen. Schlechtes Business spricht sich herum, sollten wir Ihre Dateien nicht entschluesseln, wuerde in Zukunft niemand unsere Entschluesselungssoftware kaufen - Was nicht in unserem Interesse liegt.
Wo bekomme ich Bitcoins?
Bitcoin koennen Sie schnell und einfach kaufen, z.B mit Kreditkarte, GiroPay oder (SOFORT) Ueberweisung. Es folgt eine Auflistung populaerer Tauschboersen und Bitcoin Marktplaetzen:
Coinmama - https://coinmama.com/
Bitpanda - https://www.bitpanda.com/
AnyCoinDirect - https://anycoindirect.eu/
Bitcoin.de - https://www.bitcoin.de/
BTC Direct - https://btcdirect.eu/de-at
Es gibt noch weitere moeglichkeiten Bitcoin zu erwerben, sollte keine der gelisteten fuer Sie funktionieren, hilft Ihnen eine kurze Google Suche.
Ich habe die Bitcoins gekauft
Senden Sie den folgenden Betrag an die fuer Sie generierte Bitcoin Adresse:
Betrag
0.15038835 Bitcoin
Bitcoin Adresse
1D8TE2LRDjRU3b6143LR4GXWJbvhnzoiKu
Ich habe bezahlt - Was jetzt?
Nachdem die Zahlung auf der angegebenen Wallet eingegangen ist und diese 1 Bestaetigung im Bitcoin Netzwerk erhalten hat (30-60 Minuten) aktualisiert sich diese Seite automatisch mit dem Download Link fuer die Entschluesselungssoftware.
Bitte folgen Sie den Anweisungen in der Entschluesselungssoftware um sicherzustellen, dass alle Ihre Dateien korrekt entschluesselt werden.
Bitte beachten Sie, dass die Entschluesselungssoftware nur speziell fuer Ihren PC und die Dateiendung .ctNfy funktioniert, es ist also sinnlos nach der Entschluesselungssoftware von anderen zu suchen. 
Weitere Informationen
Bitte beachten Sie, dass wir Ihnen eine Frist von 7 Tagen setzen, diese laueft ab am: 08/08/2019.
Sollten wir bis dahin keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie nicht an der Entschluesselung Ihrer Daten interessiert sind und Loeschen den Private-Key fuer Ihren Computer unwiderruflich, in diesem Falle gehen Ihre Daten fuer immer verloren. 
Beachten Sie, dass nur wir in der Lage sind Ihre Dateien wiederherzustellen, versuchen Sie nicht Ihre Dateien selber zu entschluesseln / wiederherzustellen, im besten Falle verschwenden Sie nur Ihre Zeit, im schlimmsten Falle beschaedigen Sie die verschluesselten Dateien und wir koennen Ihnen beim entschluesseln nicht mehr helfen!

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Что случилось?
Все ваши файлы были зашифрованы и больше не доступны для вас, пока мы не расшифруем их снова. Все зашифрованные файлы получили расширение .ctNfy.
Пожалуйста, следуйте нашим инструкциям, если вы хотите своевременно расшифровать ваши файлы! Нет другого способа расшифровать ваши данные, кроме как следовать нашим инструкциям!
Я хотел бы расшифровать мои файлы!
Нет проблем! Для расшифровки ваших файлов вам понадобится наша программа для дешифрования, которую можно приобрести за сумму, эквивалентную 1500 долл. США.
Сумма выплачивается исключительно в биткойнах по указанному ниже адресу.
Какие гарантии у меня есть?
Мы не заинтересованы в том, кто вы или какие файлы хранятся на вашем компьютере, мы исключительно заинтересованы в продаже вам программны для расшифровки. Будет хуже нашему бизнесу, если мы не расшифруем ваши файлы, никто не купит нашу программу для расшифровки в будущем, что не в наших интересах.
Где я могу получить биткойны?
Вы можете быстро и легко купить биткойны, например, с помощью кредитной карты, GiroPay или (НЕМЕДЛЕННО) перевода. Ниже приведен список популярных торговых площадок по бартеру и биткойнам:
Коинмама - https://coinmama.com/
Битпанда - https://www.bitpanda.com/
AnyCoinDirect - https://anycoindirect.eu/
Bitcoin.de - https://www.bitcoin.de/
BTC Direct - https://btcdirect.eu/de-at
Есть и другие способы купить Биткойн, если ни один из перечисленных не подойдет вам, вам поможет краткий поиск в Google.
Я купил биткойны
Отправьте следующую сумму на сгенерированный для вас биткойн-адрес:
сумма
0.15038835 Биткойн
Биткойн-адрес
1D8TE2LRDjRU3b6143LR4GXWJbvhnzoiKu
Я заплатил - что теперь?
После того, как платеж поступит на указанный кошелек и получит 1 подтверждение в сети Биткойн (30-60 минут), эта страница автоматически обновляет себя ссылкой для загрузки программы для дешифрования.
Пожалуйста, следуйте инструкциям в программе для расшифровки, чтобы убедиться, что все ваши файлы расшифрованы правильно.
Обратите внимание, что программа для расшифровки работает только для вашего ПК и расширения .ctNfy, поэтому бесполезно искать другие программы для расшифровки.
Дальнейшая информация
Обратите внимание, что мы установили период в 7 дней, это произойдет: 08.08.2009.
Если мы не получим никакой оплаты до этих пор, мы предположим, что вы не заинтересованы в расшифровке ваших данных, и безвозвратно удалим закрытый ключ для вашего компьютера, и в этом случае ваши данные будут потеряны навсегда.
Обратите внимание, что только мы можем восстановить ваши файлы, не пытайтесь расшифровывать / восстанавливать самостоятельно ваши файлы, в лучшем случае вы только потратите свое время, в худшем случае вы повредите зашифрованные файлы, и мы не сможем помочь их расшифровать!

Другим информатором жертвы выступает изображение sasi.bmp, заменяющее обои рабочего стола. 
Текст указывает на необходимость прочитать файл записки с требованиями выкупа. 



Технические детали

Вредоносный файл распространяется с помощью email-спама как вложение, под видом резюме кандидата на работу. 

Пример такого письма:
Subject: Bewerbung auf die Stelle bei der Arbeitsagentur
From: Doris Sammer <doris.sammer@rasendmail.com>
Time received: 30.07.2019 10:28 (UTC+2)
Sehr geehrte Damen und Herren, mit großem Interesse bin auf der Internetseite der Arbeitsagentur auf Ihre ausgeschriebene Position aufmerksam geworden. Gerne möchte ich mich Ihnen als qualifizierte Bewerberin vorstellen.
In eine neue Aufgabe bei Ihnen kann ich verschiedene Stärken einbringen. So gehe ich meine Aufgaben sehr zuverlässig, verantwortungsbewusst und präzise an. Mit mir gewinnt Ihr Unternehmen einen Mitarbeiter, der flexibel, motiviert und teamorientiert ist. Außerdem habe ich in früheren Projekten insbesondere ausgeprägte Kommunikationsstärke, hohe Lernbereitschaft und viel Kreativität unter Beweis stellen können.
Konnte ich Sie mit dieser Bewerbung überzeugen? Ich bin für einen Einstieg zum nächstmöglichen Zeitpunkt verfügbar. Einen vertiefenden Eindruck gebe ich Ihnen gerne in einem persönlichen Gespräch. Ich freue mich über Ihre Einladung!
Mit freundlichen Grüßen,
Doris Sammer
Anlagen: Lebenslauf, Arbeitszeugnisse, Bewerbungsfoto

Вложением является архив Unterlagen_Lena_Kretschmer.zip, или любой другой. Тема письма может быть, как указана выше, или Ihr Stellenangebot - Bewerbung [Your job offer - Application] - Lena Kretschmer, как на скриншоте ниже, или какая-то другая. 
Вложение содержит два файла, которые представляются отправителем как резюме в формате PDF. 

Эти файлы псевдоPDF-файлы: 
Arbeitszeugnisse_Lena_Kretschmer.pdf.lnk
Lebenslauf_Lena_Kretschmer.pdf.lnk

На самом деле эти PDF-файлы являются ярлыками (LNK-файлы), которые выполняют команду PowerShell (см. на скриншоте ниже) для загрузки файла HTA с сайта злоумышленников и запуская его на затронутом компьютере. При выполнении HTA-файл загружает exe-файл вымогателя и сохраняет его в папке C:\Users\Public и в виде исполняемого файла с именем из трех букв. Затем запускается вайпер (стиратель файлов).
Выполняемая команда PowerShell

 
Свойства LNK-файла

При своём первом запуске GermanWiper завершает процессы, связанные с базой данных и другими программами, чтобы получить доступ к файлам и начать стирание файлов. Ниже приведен список завершаемых процессов:
notepad.exe
dbeng50.exe
sqbcoreservice.exe
encsvc.exe
mydesktopservice.exe
isqlplussvc.exe
agntsvc.exe
sql.exe
sqld.exe
mysql.exe
mysqld.exe
oracle.exe

Вполне возможно, что также может распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Перезаписывает файлы нулями (0x00 байт). Данные не подлежат восстановлению. Уплата выкупа бесполезна! 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командой:
cmd.exe /k vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся фейк-шифрованию:
Все популярные форматы файлов или все файлы подряд, кроме тех, что находятся в белых списках файлов, папок и расширений.  
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений: 
.adv, .ADV, .ani, .ANI, .bat, .BAT, .bin, .BIN, .cab, .CAB, .cmd, .CMD, .com, .COM, .cpl, .CPL, .cur, .CUR, .deskthemepack, .DESKTHEMEPACK, .diagcab, .DIAGCAB, .diagcfg, .DIAGCFG, .diagpkg, .DIAGPKG, .dll, .DLL, .drv, .DRV, .exe, .EXE, .hlp, .HLP, .hta, .HTA, .icl, .ICL, .icns, .ICNS, .ico, .ICO, .ics, .ICS, .idx, .IDX, .ldf, .lnk, .LNK, .lock, .LOCK, .mod, .MOD, .mpa, .MPA, .msc, .MSC, .msi, .MSI, .msp, .MSP, .msstyles, .MSSTYLES, .msu, .MSU, .nls, .NLS, .nomedia, .NOMEDIA, .ocx, .OCX, .prf, .PRF, .psl, .PSL, .rom, .ROM, .rtp, .RTP, .scr, .SCR, .shs, .SHS, .spl, .SPL, .sys, .SYS, .theme, .THEME, .themepack, .THEMEPACK, .wpx, .WPX (93 расширения). 

Скриншот с частью файлов и расширений из белого списка: 

Белый список файлов и папок (директорий):
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
bootmgr
bootnxt
thumbs.db
Windows
Recycle.bin
Mozilla
Google
boot
Application Data
AppData
Program files
Program files (x86)
Programme
Programme (x86)
Programdata
perflogs
intel
msocache
System Volume Information

Причина их пропуска в том, что они нужны для правильной загрузки системы и для просмотра веб-страниц.

Файлы, связанные с этим Ransomware:
Bewerbung-Lena-Kretschmer.exe
<random>.exe - случайное название вредоносного файла
sasi.bmp
ctNfy_Entschluesselungs_Anleitung.html
eRq7E_Entschluesselungs_Anleitung.html
RadEW_Entschluesselungs_Anleitung.html

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\sasi.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC: 1CQjaKJd8YKuvzjhjtCKy8QGP9CY4X6Xyc
1Ft45aW8b3HeoJGe9NmJz8H3Hu7NpwdHzY
1KjBUvN4Gfipi3bGmuAPDcJEqx48Nx5m4i
17BJR98G3bpycgoicVVWHLmt1n7jwC3HTk
14XhwV3iBMcLE8qURtk4q2TR53oMSNgZHZ
17zGcqKji84sYg6XxefLFvkZouHMKQfSrb
1LRMFKpSKhrobVJa1uo5V7pnYnEV7S8hZE
135ug1diEkaGmTaHh4vP1kLLgswRVmZbKw
1NXZg59BzWSextDuvspbCJ6NRqHT4T7jbM
19sd86duTh7vkYUwMDJirP1F513Tvwo7fv
1JjkbfjDsi1UqqBgcGtsMdZefFMcVukwVa
1PyZ6yQdnMpVn5o9SfdaPEzAH137Ys9KHn
1CQjaKJd8YKuvzjhjtCKy8QGP9CY4X6Xyc
1J1MBbgNoB9pJXhzZs6DtnpgHPzaeqCx2x
1MRvr9bDBKb8LcctebM7RqXi8Xiiv35fUt
1DbAXfFY1sCqea4We28td8e3FUGh1MvKbT
16Cq2MpX1LDMXEa3eGuQ3FGWC3kNoowzjg
1JKN1uz6BaWUwftoPSah5RnvD9aTjimkZe
1FkCZkm74zEQ3UNCScBwUzuxYbbWH15h5z
1HugNNr72MHAd53S3ygHwJWAxi655tpBqa
17vH1YT63jRTavNQRGGsP49xjzZtZsxNRF
1FZhTBLZMRQms5q8h4iHZAYdEpgr6dhpw2
1EJnYFmNmVeozrFjByzQmWBMbCb6sj8KNh
13iv6aUc8oEBg9R9MFREwvTRTjecy2TBXY
1E3s6S3YUfadZP27ZtwtPENbSzV4Mr3kv6
18tnmDSvLb5sxyVaid3K9YdEVfT9THTMfo
1Eh4C1RodoiFEM3G7ZozLojNSNGPLh8Xo1
19PEKTCo1J2Qh1jCHxnsXj4rAAvvnoyrDB
1Ft45aW8b3HeoJGe9NmJz8H3Hu7NpwdHzY
1DAkV3n3QZZtYZAmGDFCQyah7YTCRDNmH1
19cwrjV2FM3fw4BqBwnsBi9hDwMwUbJyy8
13AsdXkb7LG2aJzroZtZpCsqbhyhZgrpwc
167kVP1ctnw48eEM97ZHbwTTLEUaEoHtfN
1A8Rx1PHyYq4xJNSoDnkua9rsQaVuL7KSU
1D8TE2LRDjRU3b6143LR4GXWJbvhnzoiKu
1GJfdiu2AEQA9NsFyKypx7YMfoHFZi7KzR
1Hk2uAwoW6z5QdrtssKXBQ9d6VTvn8nPD8
19D4iUqYYd1y3Hn295yfsacXUykWwqZaov
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as GermanWiper)
 Write-up, Topic of Support
 Added later: Write-up by BleepingComputer (on August 4, 2019)
 Thanks: 
 Michael Gillespie, James, quietman7
 Andrew Ivanov (author), CyberSecurity GrujaRS
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 26 июля 2019 г.

Xorist-Mcrypt2019

Xorist-Mcrypt2019 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью TEA, а затем требует выкуп в $600 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.94
Avira (no cloud) -> HEUR/AGEN.1021572
ESET-NOD32 ->  - A Variant Of Win32/Filecoder.Q
Kaspersky -> Trojan-Ransom.Win32.Xorist.lk
Symantec -> Ransom.CryptoTorLocker
Tencent -> Win32.Trojan.Xorist.Ecjs
VBA32 -> Trojan.Nymaim

© Генеалогия: Xorist >> Xorist FamilyXorist-Mcrypt2019



К зашифрованным файлам добавляется расширение: .exe

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-DECRYPT-FILES.HTM

Содержание записки о выкупе:
Ooops, your important files are encrypted!
If you see this text, your files are no longer accessible, because they have been encrypted. perhaps you looking for a way to decrypt your files, but DON'T waste your time. No one can recover your files without our decryption key.
Please follow the instructions:
1. Send $600 worth of Bitcoins to the following address:
1LS32VsvWhWU6ud9h3xEJuJzgEbRtBnymE
2. Send your Bitcoin wallet ID and your ID to E-mail mcrypt2019@yandex.com.
Your personal ID:
N8B4XRqE6LZb3WYDLBTuP8moMgJCAKN9mZ4sq3JD2eyFGeP8JgDLLJ5XN6bw

Перевод записки на русский язык:
Упс, ваши важные файлы зашифрованы!
Если вы видите этот текст, ваши файлы не доступны, потому что они зашифрованы. возможно, вы ищете способ расшифровки ваших файлов, но не тратьте свое время. Никто не восстановит ваши файлы без нашего ключа расшифровки.
Пожалуйста, следуйте инструкциям:
1. Отправьте биткойны на сумму $600 по следующему адресу:
1LS32VsvWhWU6ud9h3xEJuJzgEbRtBnymE
2. Отправьте свой ID биткойн-кошелька и свой ID на email mcrypt2019@yandex.com.
Ваш личный ID:
N8B4XRqE6LZb3WYDLBTuP8moMgJCAKN9mZ4sq3JD2eyFGeP8JgDLLJ5XN6bw


Другим информатором является изображение LOLALOUD123.bmp, встающее обоями Рабочего стола. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Прописывается в Автозагрузку системы. Самоудаляется после завершения шифрования. Комментарий от Alex Svirid:
Судя по OYVKGNYIKFTUGXY\shell\open\command и %TEMP%\Bho61CXU8if3yfw.exe это Xorist на основе стандартного билдера, только ещё защищён с Aspack 2.2.

Список файловых расширений, подвергающихся шифрованию:
.3gp, .7z, .aes, .ahk, .au3, .avi, .bas, .bat, .blob, .bmp, .btc, .c, .c++, .cc, .cmd, .cpp, .cs, .csproj, .cxx, .db, .doc, .docx, .eml, .flac, .flv, .gif, .gzip, .hta, .htm, .html, .jpeg, .jpg, .js, .jscript, .key, .lnk, .manifest, .md, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .nfo, .part, .pdf, .pfx, .php, .php7, .png, .ppt, .pptx, .rar, .rsa, .swf, .tar, .torrent, .txt, .vb, .vba, .vbe, .vbproj, .vbs, .vcxproj, .wallet, .wav, .wma, .wmv, .xls, .xlsx, .zip (73 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
a.exe
HOW-TO-DECRYPT-FILES.HTM
LOLALOUD123.bmp
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\Bho61CXU8if3yfw.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mcrypt2019@yandex.com
BTC: 1LS32VsvWhWU6ud9h3xEJuJzgEbRtBnymE
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist-Vandev Ransomware - февраль 2012
другие ранние варианты - 2012-2015
Xorist (2016-2019) Ransomware  - март 2016
Xorist-EnCiPhErEd Ransomware  - май 2016
Xorist-FakeRSA Ransomware  - февраль 2017
Xorist-Zixer2 Ransomware  - апрель 2017
Xorist-TraNs Ransomware  июнь 2017
Xorist-RuSVon Ransomware  - июль 2017
Xorist-Hello Ransomware  - август 2017
Xorist-CerBerSysLock Ransomware  - декабрь 2017
Xorist-Frozen Ransomware  - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware  - июль 2018
Xorist-Mcafee Ransomware  - январь 2019
Xorist-Mcrypt2019 Ransomware  - июль 2019
Xorist 2020 Ransomware  - весь 2020 год



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author), Alex Svirid
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *