понедельник, 8 июля 2019 г.

ExpBoot

ExpBoot Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует перейти на китайский сайт и "зарядить батарейки" определенному пользователю, чтобы вернуть файлы. Прилагается небольшой FAQ. Оригинальное название: ExpBoot. На файле написано: ExpBoot.exe. Разработчик: MIAIONE

Обнаружения: 
DrWeb -> Trojan.Encoder.28769, Trojan.Encoder.28782
BitDefender -> Trojan.Agent.EADR, Trojan.GenericKD.41445542, Gen:Variant.Ser.Ursu.9261
Rising -> Ransom.Encoder!8.FFD4 (CLOUD), Ransom.ExpBoot!1.BA07 (CLOUD)

© Генеалогия: T1Happy и другие >> ExpBoot


Изображение — логотип статьи (использован аватар разработчика)

К незашифрованным файлам добавляется расширение: .ExpBoot

Чтобы вернуть к ним доступ, нужно убрать это расширение у нужных файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале июля 2019 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру. Штамп времени: фиктивная дата. Может быть связан с CXK-NMSL Ransomware

Запиской с требованием выкупа выступает розовый экран блокировки и некий FAQ.
Из-за ошибок в работе программы удалось получить только такой скриншот. далее окно программы зависает, а потом его можно закрыть. 



Содержание текста FAQ:
Q: What is wrong with my file?
A: Oops, your important files are encrypted. This means you will no longer be able to access them until you decrypt them.
If you follow our instructions, we guarantee that you can decrypt all files quickly and safely!

Q: What should I do?
A: First of all, you need to pay a service fee for decryption, a total of 10,000 batteries.
Please charge 10,000 batteries to this user (UID: 185636167)
Follow the instructions! (You may need to temporarily disable anti-virus software.)
After opening the link, click the charging button on the right to charge 10,000 batteries and leave a message for your contact. (only for your email)

Q: How can I believe it?
A: Don't worry about decryption.
We will definitely decrypt your files, because if we deceive users, no one will trust us.

Перевод записки на русский язык:
Вопрос: Что не так с моим файлом?
Ответ: Упс, ваши важные файлы зашифрованы. Это значит, что вы больше не сможете получить к ним доступ, пока не расшифруете их.
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все файлы!

В: Что мне делать?
О: Прежде всего, вам надо оплатить сервисный сбор за расшифровку, всего 10.000 батарей.
Пожалуйста, зарядите 10.000 батарей этому пользователю (UID: 185636167)
Следуй инструкциям! (Возможно, вам придется временно отключить антивирусную программу.)
Открыв ссылку, нажмите кнопку зарядки справа, чтобы зарядить 10.000 батарей и оставьте сообщение для вашего контакта. (только для вашей email)

В: Как я могу в это поверить?
О: Не беспокойтесь о расшифровке. 
Мы обязательно расшифруем ваши файлы, т.к., если мы обманем пользователей, никто не будет доверять нам.

Пояснения: 

В тексте говорится, что нужно перейти по ссылке (xxxxs://space.bilibili.com/185636167) на китайский сайт и зарядить батарейки пользователю сайта bilibili.com UP QQ 1913810942 MIAIONE. 






Это и есть зарядка, если перевести на русский язык. 



Технические детали

Распространяется разными обманными путями, разобраться или запутаться в китайских хитросплетениях может только китайский пользователь. Позже разработчик с ником MIAIONE вышел на связь и сказал, что он не пытался это распространять, не пытался кому-то причинить вред. Он сделал это для исследования и улучшения защиты. Видимо так и не понял, что подобные "исследования" являются распространением вредоносных программ, как ни крути. 

После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
На самом деле файлы не шифруются, но после добавления расширения могут оказаться недоступны.  
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ExpBoot.exe
taskmgr.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Название проекта: 
D:\DESKTOP\Bootloader\ExpBoot\obj\Release\ExpBoot.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://space.bilibili.com/185636167
Email: ExpBoot@yeah.net, miaione@yeah.net 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >> AR>> AR >> AR>> AR>> AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновления от 11 июля 2019:
Результаты анализов: VT + AR





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Ничего не надо расшифровывать!
Файлы в этой версии не зашифрованы!
Просто удалите расширение .ExpBoot и пользуйтесь дальше. 
Групповое переименование файлов есть в TotalCommander 
Меню "Файл" - "Групповое переименование" - "Расширение" ...
Возьмите для теста небольшую группу файлов. Далее будет понятно. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
  - Видеообзоры атаки ExpBoot Ransomware  
 Thanks: 
 Petrovic, JAMESWT, Marcelo Rivero
 Andrew Ivanov (author)
 ANY.RUN
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton