OnyxLocker Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: OnyxLocker. На файле написано: OnyxLocker.exe. Разработчик: David.
Обнаружения:
DrWeb -> Exploit.Rtf.CVE2012-0158 + Trojan.Encoder.29682, Trojan.Encoder.30404
BitDefender -> Trojan.GenericKD.32536925, Gen:Variant.Razy.567225
Symantec -> ML.Attribute.HighConfidence
© Генеалогия: OnyxLocker > Clay, Clay 2.0
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .onx
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа (10 штук) называются:
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt
Содержание записки о выкупе:
Моя почта для связи: crypt@ctemplar.com
|||
Меня зовут David. Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, текстовые файлы и многое другое! Короче говоря, вы облажались ... но вам повезло. Почему это??
|||
Я вымогатель, который оставляет вам только 12 часов, чтобы собрать деньги и заплатить мне, затем ваши файлы будет невозможно расшифровать!)
|||
Любые вопросы относительно разблокировки файлов, вы можете задавать написав на почту: crypt@ctemplar.com
|||
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
|||
1. Могу ли я вернуть свои драгоценные файлы?
|||
Ответ: Конечно, вы можете. Есть только незначительная деталь. Вы должны заплатить, чтобы вернуть их.
|||
2. Нет другого способа вернуть мои файлы?
|||
Ответ: Нет
|||
3. Хорошо, что мне тогда делать?
Ответ: Просто вам придется заплатить 100 $ на этот биткойн-адрес: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq
|||
4. Что за хрень биткойн?
|||
Ответ: Биткойн - это криптовалюта и цифровая платежная система. Вы можете увидеть больше информации здесь: https://en.wikipedia.org/wiki/Bitcoin.
|||
5. Здесь вы можете оплатить, выбрав самый выгодный курс.
|||
Вставьте эту ссылку в адресную строку вашего браузера: https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html
Перевод записки на русский язык:
уже сделан
Английского варианта нет.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .7zip, .acc, .accdb, .ai, .arw, .asp, .aspx, .avi, .backup, .bay, .c, .cdr, .cer, .cpp, .cr2, .crt, .crt, .crw, .cs, .csproj, .css, .css, .csv, .db, .db3, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .flv, .gif, .h, .html, .img, .indd, .ink, .jpe, .jpeg, .jpg, .js, .js, .json, .kdc, .litesql, .lnk, .log, .lua, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpeg, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .ptx, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rtf, .rtf, .rw2, .rwl, .sg, .sh, .sln, .sql, .sqlite, .sqlite3, .sr2, .srf, .srw, .tif, .tiff, .tmp, .txt, .vbs, .vlf, .wav, .wb2, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (137 расширений) и файлы без расширений.
Файлы, связанные с этим Ransomware:
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt
goload_1008_1569853988.doc
Orinal.exe (OnyxLocker.exe)
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: crypt@ctemplar.com
BTC: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis (dropper) >>
Ⓗ Hybrid analysis (encoder) >>
𝚺 VirusTotal analysis (dropper) >>
𝚺 VirusTotal analysis (encoder) >>
🐞 Intezer analysis (encoder) >>
ᕒ ANY.RUN analysis (encoder) >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 20 декабря 2019:
Пост в Тивттере >>
Расширение: .onx
Записки: RECOVERY INSTRUCTIONS 0 .txt
RECOVERY INSTRUCTIONS 1 .txt
RECOVERY INSTRUCTIONS 2 .txt
RECOVERY INSTRUCTIONS 3 .txt
RECOVERY INSTRUCTIONS 4 .txt
RECOVERY INSTRUCTIONS 5 .txt
RECOVERY INSTRUCTIONS 6 .txt
RECOVERY INSTRUCTIONS 7 .txt
RECOVERY INSTRUCTIONS 8 .txt
RECOVERY INSTRUCTIONS 9 .txt
Файл: OnyxLocker.exe
Результаты анализов: VT + AR
➤ Новые обнаружения:
DrWeb -> Trojan.Encoder.30404
BitDefender -> Gen:Variant.Razy.567225
Malwarebytes -> Ransom.OnyxLocker
Обновление от 23 января 2020:
Пост в Твиттере >>
Расширение (на русском): .кристина
Записки: Read-me!!! 0 .txt, Read-me!!! 1 .txt и далее под другими номерами
Email: crypt@ctemplar.com
Файлы: LTE.exe
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30272
BitDefender -> Gen:Variant.MSILPerseus.203758
ESET-NOD32 -> A Variant Of MSIL/Filecoder.VE
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WAH20
*** неизвестные пропущенные варианты ***
Пост в Твиттере >>
Записки: RECOVERY INSTRUCTIONS 0 .txt
RECOVERY INSTRUCTIONS 1 .txt
RECOVERY INSTRUCTIONS 2 .txt
RECOVERY INSTRUCTIONS 3 .txt
RECOVERY INSTRUCTIONS 4 .txt
RECOVERY INSTRUCTIONS 5 .txt
RECOVERY INSTRUCTIONS 6 .txt
RECOVERY INSTRUCTIONS 7 .txt
RECOVERY INSTRUCTIONS 8 .txt
Записки: RECOVERY INSTRUCTIONS 0 .txt
RECOVERY INSTRUCTIONS 1 .txt
RECOVERY INSTRUCTIONS 2 .txt
RECOVERY INSTRUCTIONS 3 .txt
RECOVERY INSTRUCTIONS 4 .txt
RECOVERY INSTRUCTIONS 5 .txt
RECOVERY INSTRUCTIONS 6 .txt
RECOVERY INSTRUCTIONS 7 .txt
RECOVERY INSTRUCTIONS 8 .txt
Файл проекта: C:\Users\aguim\Desktop\OnyxLocker-master\OnyxLocker\obj\Debug\OnyxLocker.pdb
Примечательно, что это тот же разработчик, что и в CryptoJoker2020
➤ Список расширений целевых файлов:
.3fr, .7z, .7zip, .acc, .accdb, .ai, .arw, .asp, .aspx, .avi, .backup, .bay, .c, .cdr, .cer, .cpp, .cr2, .crt, .crt, .crw, .cs, .csproj, .css, .css, .csv, .db, .db3, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .flv, .gif, .h, .html, .img, .indd, .ink, .jpe, .jpeg, .jpg, .js, .js, .json, .kdc, .litesql, .lnk, .log, .lua, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpeg, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .ptx, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rtf, .rtf, .rw2, .rwl, .sg, .sh, .sln, .sql, .sqlite, .sqlite3, .sr2, .srf, .srw, .tif, .tiff, .tmp, .txt, .vbs, .vlf, .wav, .wb2, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (137 расширений).
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as OnyxLocker) Write-up, Topic of Support *
Thanks: Alex Svirid, CyberSecurity GrujaRS Andrew Ivanov (author) S!Ri to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.