PyLock Ransomware
PyCrypter Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 5.0 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Номер версии: v2.40. Написан на языке Python.
Обнаружения:
DrWeb -> Python.Encoder.1
ALYac -> Trojan.Ransom.PyCrypter
BitDefender -> Generic.Ransom.PyCrypter.93A4C9ED
ESET-NOD32 -> Python/Filecoder.AC
GData -> Win32.Trojan-Ransom.Cyclon.G
Kaspersky -> Trojan-Ransom.Python.Pyrgen.a
Malwarebytes -> Ransom.pyLock
Microsoft -> Ransom:Win32/Pccrypter
Rising -> Trojan.Generic@ML.81 (RDML:***)
Symantec ->ML.Attribute.HighConfidence, Trojan.Seaduke, Trojan.Gen.MBT
TrendMicro -> Ransom_Pccrypter.R002C0DIU19
© Генеалогия: SystemCrypter >> PyLock (PyCrypter)
Изображение — только логотип статьи
К зашифрованным файлам добавляется расширение: .locked
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на первую половину 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе:
The important files on your computer have been encrypted with military grade AES-256 bit encryption. Cannot be unlocked without the decryption key.
* DON'T MODIFY OR RENAME ENCRYPTED FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY!
* DON'T MODIFY ENCRYPTED UNIQUE KEY, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY!
* DON'T USE THIRD-PARTY OR PUBLIC TOOLS/SOFTWARE TO DECRYPT YOUR FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY!
To acquire this key, transfer the Bitcoin Fee to the specified wallet address before the time runs out, for instructions: solutionshelp@protonmail.com
If you fail to take action within this time window, the decryption key will be destroyed and access to your files will be permanently lost.
Перевод записки на русский язык:
Важные файлы на вашем компьютере зашифрованы с AES-256-битного шифрования военного уровня. Невозможно разблокировать без ключа дешифрования.
* НЕ ИЗМЕНЯЙТЕ И НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ, ЭТО МОЖЕТ НАВСЕГДА ПОВРЕДИТЬ ВАШИ ФАЙЛЫ!
* НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЙ УНИКАЛЬНЫЙ КЛЮЧ, ЭТО НАВСЕГДА ПОВРЕДИТ ВАШИ ФАЙЛЫ!
* НЕ ИСПОЛЬЗУЙТЕ СТОРОННИЕ ИЛИ ПУБЛИЧНЫЕ ИНСТРУМЕНТЫ / ПРОГРАММЫ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ЭТО МОЖЕТ ПРИВЕСТИ К ПОВРЕЖДЕНИЮ ВАШИХ ФАЙЛОВ НАВСЕГДА!
Чтобы получить этот ключ, переведите плату в биткойнах на указанный адрес кошелька до истечения времени, для инструкций: solutionshelp@protonmail.com
Если вы не сделаете никаких действий за отведенное в окне время, ключ дешифрования будет уничтожен, а доступ к вашим файлам будет окончательно потерян.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Этот Ransomware представляет собой скрипт на языке Python, который преобразуется в исполняемый файл. Затем он открывает "заднюю дверь" на скомпрометированном компьютере, позволяя злоумышленнику выполнить следующие действия:
- загрузить и запустить файлы;
- удалить рабочие файлы после шифрования;
- создать ярлык в Автозагрузки системы.
➤ Использует Windows PowerShell.
➤ Деструктивные действия:
- отключает Диспетчер задач;
- добавляется в автозагрузку Windows (%UserProfile%\Start Menu\Programs\Startup);
- удаляет теневые копии файлов
Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .arc, .asf, .asp, .aspx, .avi, .bak, .bat, .bmp, .c, .cbr, .cer, .cfg, .cfm, .cgi, .chk, .class, .com, .cpp, .cs, .css, .csv, .dat, .db, .dbf, .dds, .deb, .dem, .dif, .doc, .docm, .docx, .dotm, .dotx, .DTC, .Edb, .eps, .flv, .fnt, .fon, .fpx, .gam, .ged, .ged, .gif, .gz, .h, .htm, .htm, .html, .html, .ics, .iff, .indd, .ini, .iso, .j2c, .j2k, .java, .jfif, .jif, .jp2, .jpeg, .jpg, .jpx, .js, .json, .jsp, .key, .keychain, .ldf, .log, .lua, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mht, .mhtml, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .msi, .ndf, .nes, .obj, .ods, .odt, .old, .otf, .pages, .pcd, .pct, .pdf, .php, .pkg, .pl, .png, .pps, .ppt, .pptx, .prf, .prn, .ps, .psd, .py, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sh, .slk, .sln, .sql, .srt, .svg, .svg, .swf, .swift, .tar, .tex, .tga, .tgz, .thm, .tif, .tif, .tiff, .tiff, .tmp, .torrent, .trn, .ttf, .txt, .vb, .vcf, .vcxproj, .vhd, .vhdx, .vob, .wav, .wma, .wmv, .wpd, .wps, .xhtml, .xla, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xml, .xps, .yuv, .zip, .zipx (177 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Максимальный размер файла для шифрования: 900000
Файлы, связанные с этим Ransomware:
<random>.exe - случайное название вредоносного файла
Crypto.Util._counter.pyd
pywintypes27.dll
wxmsw30u_html_vc90.dll
select.pyd
Crypto.Util.strxor.pyd
lock.bmp
bitcoin.bmp
runtime.cfg
Main.exe.manifest
Содержание файла конфигурации runtime.cfg:
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\_MEI40202\Crypto.Util._counter.pyd
C:\Users\admin\AppData\Local\Temp\_MEI40202\pywintypes27.dll
C:\Users\admin\AppData\Local\Temp\_MEI40202\wxmsw30u_html_vc90.dll
C:\Users\admin\AppData\Local\Temp\_MEI40202\select.pyd
C:\Users\admin\AppData\Local\Temp\_MEI40202\Crypto.Util.strxor.pyd
C:\Users\admin\AppData\Local\Temp\_MEI40202\lock.bmp
C:\Users\admin\AppData\Local\Temp\_MEI40202\bitcoin.bmp
C:\Users\admin\AppData\Local\Temp\_MEI40202\runtime.cfg
C:\Users\admin\AppData\Local\Temp\_MEI40202\Main.exe.manifest
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: solutionshelp@protonmail.com
BTC: bc1qz7llcz9s6cwnw7qvwdw8yt77h6cuf546s00dfw
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
SystemCrypter Ransomware - июнь 2019
PyLock (PyCrypter) Ransomware - сентябрь 2019
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 21 октября 2019:
Пост в Твиттере >>
Расширение: .locked
Результаты анализов: VT + IA
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
- Видеообзор, сделанный с помощью ANY.RUN
Thanks: CyberSecurity GrujaRS, Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
