PureLocker

PureLocker Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные (в основном базы данных) на серверах, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: PureLocker. Написано на языке программирования PureBasic. Для шифрования используются алгоритмы AES + RSA. 

Обнаружения:
DrWeb -> Trojan.Encoder.30110
BitDefender -> Trojan.GenericKD.42014529
ALYac -> Trojan.Ransom.PureLocker
Avira (no cloud) -> TR/PureLocker.A, TR/PureLocker.B
ESET-NOD32 -> A Variant Of Win32/Filecoder.PureLocker.A
TrendMicro -> Ransom.Win32.PURELOCKER.A
Microsoft -> Ransom:Win32/PureLocker!MSR


© Генеалогия: неназванные сборки >> PureLocker

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CR1


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2019 г., но проходила в тихом режиме и раньше. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: YOUR_FILES.txt

Содержание записки о выкупе:
#CR1
All your files have been encrypted using: AES-256-CBC + RSA-4096.
Shadows copies were removed, original files were overwritten, renamed and deleted using safe methods.
Recovery is not possible without own RSA-4096 private key.
Only we can decrypt your files!
To decrypt your files contact us at: cr1-silvergold1@protonmail.com
Your private key will be deleted after 7 days starting from: 4/11/2019, after that the recovery of your files will not be possible.

Перевод записки на русский язык:
#CR1
Все ваши файлы зашифрованы с использованием: AES-256-CBC + RSA-4096.
Теневые копии удалены, оригинальные файлы перезаписаны, переименованы и удалены безопасными методами.
Восстановление невозможно без родного закрытого ключа RSA-4096.
Только мы можем расшифровать ваши файлы!
Чтобы расшифровать ваши файлы, свяжитесь с нами по адресу: cr1-silvergold1@protonmail.com
Ваш закрытый ключ будет удален через 7 дней, начиная с: 4/11/2019, после чего восстановление ваших файлов будет невозможно.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Чем опасен PureLocker? 
PureLocker написан на языке программирования PureBasic, который легко переносится между Windows, Linux и OS-X, поэтому злоумышленникам могут атаковать разные платформы. PureLocker содержит строки кода вредоносного бэкдора "More_eggs", основанного JavaScript, который продается в ДаркНете и используется опытными киберпреступниками. С его помощью злоумышленники могут удаленно контролировать взломанные компьютеры и загружать дополнительные вредоносные программы на ПК своих жертв. 
Так "More_eggs" использовался некоторыми действующими сегодня кибер-группами, включая Cobalt Gang и FIN6. Это указывает на то, что PureLocker также предназначен для опытных кибер-преступников, которые знают, как ударить по крупной организации, чтобы нанести существенный урон.

"О яйцах"
Trend Micro летом 2017 года первыми идентифицировали "More_eggs" и с того времени известно, что этот вредоносный инструмент использовался в многочисленных вредоносных кампаниях по email, направленных на восточноевропейские (главным образом российские) финансовые учреждения, производителей банкоматов и платежные системы.
Другие названия "More_eggs": SpicyOmelette, Terra Loader.

➤ PureLocker не проявляет себя как вредонос, если его запускать в песочнице или программах для исследования вредоносного ПО. Благодаря такому функционалу он несколько недель оставался незамеченным антивирусными движками и исследователями. 

➤ PureLocker удаляет теневые копии файлов, чтобы исключить возможность восстановления файлов. 

Список файловых расширений, подвергающихся шифрованию:
Шифруются в основном базы данных и файлы, представляющие коммерческую ценность, по мнению вымогателей. Исполняемый файлы пропускаются. 

Файлы, связанные с этим Ransomware:
YOUR_FILES.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cr1-silvergold1@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>  IA>>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>  JSA>> JSA>>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PureLocker)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Michael Kajiloti (Intezer), Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.