вторник, 15 октября 2019 г.

MedusaLocker

MedusaLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует написать на email вымогателей, чтобы заплатить выкуп, получить программу дешифровки и вернуть файлы. Оригинальное название: в записке не указано. На файле проекта написано: MedusaLocker.pdb. В реестре создается раздел "Medusa". 

Обнаружения:
DrWeb -> Trojan.DownLoader30.26418, Trojan.DownLoader30.27698
BitDefender -> Trojan.GenericKD.32594787, Trojan.GenericKD.41882000
Malwarebytes -> Ransom.Medusa
ESET-NOD32 -> A Variant Of Win32/Filecoder.MedusaLocker.C
GData -> Win32.Trojan-Ransom.Filecoder.BO
Microsoft -> Trojan:Win32/Bluteal!rfn
Symantec -> Trojan.Gen.2, Trojan.Gen.MBT
TrendMicro -> Ransom.Win32.MEDUSALOCKER.A
Kaspersky -> Trojan.Win32.DelShad.azp, Trojan-Ransom.Win32.Medusa.g

© Генеалогия: выясняется, явное родство с кем-то не доказано.
MedusaLocker Ransomware
Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение .encrypted

По другим данным известны варианты со следующими расширениями: 
.bomber
.boroff
.breakingbad
.locker16
.newlock
.nlocker
.skynet


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Первые образцы были обнаружены в конце сентября, но активность этого крипто-вымогателя пришлась на начало октября 2019 г. Штамп времени создания файла: 5 октября 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
HOW_TO_RECOVER_DATA.html

Первый вариант записки

Второй вариант записки (другие email-адреса)

Содержание записки о выкупе:
All your data are encrypted!
What happened? 
Your files are encrypted, and currently unavailable. 
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor. 
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email: 
Folieloi@protonmail.com
If you will get no answer within 24 hours contact us by our alternate emails: 
Ctorsenoria@tutanota.com
What guarantees? 
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free. 
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
[id]
Attention!
- Attempts of change files by yourself will result in a loose of data. 
- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.
- Use any third party software for restoring your data or antivirus solutions will result in a loose of data. 
- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.
- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.

Перевод записки на русский язык:
Все ваши данные зашифрованы!
Что случилось?
Ваши файлы зашифрованы и теперь недоступны.
Вы можете проверить это: все файлы на вашем компьютере имеют новое расширение.
Кстати, все можно вернуть (восстановить), но нужно купить уникальный расшифровщик.
Иначе вы никогда не сможете вернуть свои данные.
Для покупки дешифратора свяжитесь с нами по email:
sambolero@tutanoa.com
Если вы не получите ответ за 24 часа, свяжитесь с нами по email:
rightcheck@cock.li
Какие гарантии?
Это просто бизнес. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать.
Для проверки возможности восстановления ваших файлов мы можем бесплатно расшифровать 1 файл.
Прикрепите 1 файл к письму (не более 10 Мб). Укажите свой личный ID в письме:
[id]
Внимание!
- Попытки самостоятельно изменить файлы приведут к потере данных.
- Наш email может быть заблокирован с течением времени. Напишите сейчас, потеря связи с нами приведет к потере данных.
- Использование любой сторонней программы для восстановления ваших данных или антивирусных решений приведет к потере данных.
- Расшифровщики других пользователей уникальны и не будут соответствовать вашим файлам, и их использование приведет к потере данных.
- Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует технологию обхода консоли учетных записей (Bypass UAC) с помощью интерфейса CMSTPLUA COM. Схема из твита Vitali Kremez


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:

vssadmin.exe Delete Shadows /All /Quiet
wmic.exe SHADOWCOPY /nointeractive
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest

 Стремится завершить следующие процессы, чтобы убедиться, что все файлы данных закрыты и ничто не мешает шифрованию файлов:
wrapper, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, sqlservr, sqlagent, sqladhlp, Culserver, RTVscan, sqlbrowser, SQLADHLP, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, sqlwriter, msmdsrv, tomcat6, zhudongfangyu, SQLADHLP, vmware-usbarbitator64, vmware-converter, dbsrv12, dbeng8, wxServer.exe, wxServerView, sqlservr.exe, sqlmangr.exe, RAgui.exe, supervise.exe, Culture.exe, RTVscan.exe, Defwatch.exe, sqlbrowser.exe, winword.exe, QBW32.exe, QBDBMgr.exe, qbupdate.exe, QBCFMonitorService.exe, axlbridge.exe, QBIDPService.exe, httpd.exe, fdlauncher.exe, MsDtSrvr.exe, tomcat6.exe, java.exe, 360se.exe, 360doctor.exe, wdswfsafe.exe, fdlauncher.exe, fdhost.exe, GDscan.exe, ZhuDongFangYu.exe

Подробности о шифровании:

При шифровании файлов будет использовано шифрование AES для шифрования каждого файла, а затем ключ AES будет зашифрован открытым ключом RSA-2048, включенным в исполняемый файл Ransomware.


Список файловых расширений, подвергающихся шифрованию:
Многие популярные форматы. 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются файлы с расширениями: 
.exe, .dll, .sys, .ini, .lnk, .rdp, .encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker, .skynet

При шифровании пропускаются следующие папки с файлами:
USERPROFILE
PROGRAMFILES(x86)
ProgramData
\AppData
WINDIR
\Application Data
\Program Files
\Users\All Users
\Windows
\intel
\nvidia

После шифрования MedusaLocker "спит" 60 секунд, затем снова начинает сканирование дисков ПК на наличие незашифрованных и новых файлов. 

Вырезки из кода с описанными параметрами

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVER_DATA.html
Readme.html
svchostt.exe
svchostt
l.bat
<random>.exe - случайное название вредоносного файла
MedusaLocker.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%UserProfile%\AppData\Roaming\svchostt.exe
C:\Windows\System32\Tasks\svchostt

Оригинальное название проекта:
C:\Users\Gh0St\Desktop\MedusaLockerInfo\MedusaLockerProject\MedusaLocker\Release\MedusaLocker.pdb

Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\Medusa
HKCU\SOFTWARE\Medusa\Name   s
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "EnableLinkedConnections" = 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA   0
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: Folieloi@protonmail.com, Ctorsenoria@tutanota.com
Email-2: sambolero@tutanoa.com, rightcheck@cock.li 
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 16 октября 2019:
Пост в Твиттере >>
Расширение: .skynet
Записка: Readme.html


Обновление от 19 октября 2019:
Пост в Твиттере >>
Список части функционала. 

Обновление от 22 октября 2019:
Топик на форуме >>
Расширение: .encrypted
Записка: HOW_TO_RECOVER_DATA.html
Email: crypt2020@outlook.com, cryptt2020@protonmail.com
➤ Содержание записки:
Your files are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
crypt2020@outlook.com
If you will get no answer within 24 hours contact us by our alternate emails:
cryptt2020@protonmail.com
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
180DEF11957324D2AA7F08C25D3BA34663DCD79CAA***. [1024 знака и точка]
Attention!
? Attempts of change files by yourself will result in a loose of data.
? Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.
? Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
? Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.
? If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.

Предположительное обновление от 28 октября 2019:
Пост в Твиттере >>
Расширение: .decrypme
Записка: HOW_TO_OPEN_FILES.html
Email: decoder83540@protonmail.com, decoder83540@cock.li

Обновление от 30 октября 2019: 
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .decrypme
Записка: HOW_TO_OPEN_FILES.html
Email: mrromber@cock.li, mrromber@tutanota.com
Результаты анализов: VT + AR / VT + AR
➤ Содержание записки: 
All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
mrromber@cock.li
If you will get no answer within 24 hours contact us by our alternate emails:
mrromber@tutanota.com
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
494BE5A953057552DF16891CD4EB271C1356F888C8C98FA80785*** [всего 1024 знака]
Attention!
- Attempts of change files by yourself will result in a loose of data.
- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.
- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.
- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.

Обновление от 10 ноября 2019: 
Пост на форуме >>
Расширение: .ReadTheInstructions
Email: fartcool@protonmail.ch, bestcool@keemail.me
Записка: INSTRUCTIONS.html
➤ Содержание записки: 
All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
fartcool@protonmail.ch
If you will get no answer within 24 hours contact us by our alternate emails:
bestcool@keemail.me
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
D86B576A7CE932E7ADC143B9480C931EBC9AF8625CEF5*** [всего 1024 знака]
Attention!
- Attempts of change files by yourself will result in a loose of data.
- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.
- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.
- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.

Обновление от 11-12 ноября 2019: 
Пост в Твиттере >>
Расширение: .ReadTheInstructions
Email: rdp_unlock@outlook.com, rdpunlock@cock.li
Записка: INSTRUCTIONS.html
Результаты анализов: VT

Обновление от 14 ноября 2019: 
Пост на форуме >>
Расширение: .ReadTheInstructions
Email: sypress@tutanota.com, sypresss@protonmail.com
Записка: INSTRUCTIONS.html
➤ Содержание записки: 
All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
sypress@tutanota.com
If you will get no answer within 24 hours contact us by our alternate emails:
sypresss@protonmail.com
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
A7EA72ACBFB3EE64E58408796B07B7DF746BD57984B *** [всего 1024 знака]
Attention!
- Attempts of change files by yourself will result in a loose of data.
- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.
- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.
- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.


Обновление от 15 ноября 2019:
Пост в Твиттере >>
UAC bypass using CMSTPLUA COM
Использует обход UAC с помощью интерфейса CMSTPLUA COM 



Обновление от 20 ноября 2019: 
Топик на форуме >>
Расширение: .ReadTheInstructions
Email: crypt2020@outlook.com, cryptt2020@protonmail.com
Записка: INSTRUCTIONS.html
Результаты анализов: VT



Обновление от 25 декабря 2019:
Топик на форуме >>
Расширение: .READINSTRUCTIONS
Записка: RECOVER_INSTRUCTIONS.html 
Email: 777decoder777@protonmail.com, 777decoder777@tfwno.gf
➤ Содержание записки: 
All your data are encrypted!
What happened?
Your files are encrypted, and currently unavailable.
You can check it: all files on you computer has new expansion.
By the way, everything is possible to recover (restore), but you need to buy a unique decryptor.
Otherwise, you never cant return your data.
For purchasing a decryptor contact us by email:
777decoder777@protonmail.com
If you will get no answer within 24 hours contact us by our alternate emails:
777decoder777@tfwno.gf
What guarantees?
Its just a business. If we do not do our work and liabilities - nobody will not cooperate with us.
To verify the possibility of the recovery of your files we can decrypted 1 file for free.
Attach 1 file to the letter (no more than 10Mb). Indicate your personal ID on the letter:
041786A32071FD1D5BF472AE737A831C3F0EEABE36F5D5998DB4E8F377*** [всего 1024 знака]
Attention!
- Attempts of change files by yourself will result in a loose of data.
- Our e-mail can be blocked over time. Write now, loss of contact with us will result in a loose of data.
- Use any third party software for restoring your data or antivirus solutions will result in a loose of data.
- Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.
- If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.

Обновление от 15 января 2020:
Пост в Твиттере >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as MedusaLocker)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS, dnwls0719, Michael Gillespie
 Andrew Ivanov (author)
 Lawrence Abrams, MalwareHunterTeam, Vitali Kremez
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton