DVPN, DreamVPN

DVPN Ransomware

DreamVPN Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель подгружается через скрытые в программном обеспечении прокси-сети и шифрует данные пользователей с помощью XOP, а затем требует написать на email, как вернуть файлы. Оригинальное название неизвестно, но мы используем аббревиатуру DVPN для удобства, чтобы не забывать с чем этот вымогатель распространяется. На файле написано: dvpn.exe, но большинством антивирусов он детектируется как чистый файл.

Обнаружения:
DrWeb -> clean!
BitDefender -> clean!
Qihoo-360 -> Trojan.Generic
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 


© Генеалогия: ранние разработки >> DVPN

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: -(已锁定)
Оригинальный файл будет удален сразу после шифрования. 

Это аналогично в английском: -(locked)
Это аналогично в русском: -(заблокирован)

Пример зашифрованного файла:
desktop.ini-(已锁定)


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину января - начало февраля 2020 г. Ориентирован на китайскоязычных пользователей и посетителей китайских сайтов. 

Записка с требованием выкупа называется по шаблону: 
<original_filename>(文件锁定说明).txt

При этом в названии записки остается только название файла, без его расширения. 

Примеры: 
my_documentы(文件锁定说明).txt
desktop(文件锁定说明).txt

Пример записки и содержимое папки с зашифрованными файлами и записками к каждому из них. 

Перевод для (文件锁定说明).txt = (Описание блокировки файла).txt

Содержание записки о выкупе:
用户标识: q61+XXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXXXXXXX
--------------------------------------------------------
尊敬的用户您好，您的所有重要数据均已成功锁定。
若您对文件安全有任何疑问，请通过电子邮件联系解锁服务专员。
联系邮箱：jiesuofuwu@gmail.com
提示：由于该邮箱采用自动回复，且回复的文字都相同，回复的邮件容易被收件方的邮箱服务器误判为垃圾邮件，若用户在2小时内未在邮件客户端的“收件箱”内收到回复的邮件，请在“垃圾箱/垃圾邮件”中查找。
需要强调的是：
1）切勿修改文件后缀名“-(已锁定)”：在文件解锁时，文件解锁程序依靠特征文件名“-(已锁定)”识别被锁定的文件，然后对已锁定的文件进行解锁。若某文件名带有“-(已锁定)”这串字符，说明该文件已经被锁定了。若您擅自修改文件名，删除了这串字符串，该文件将不会经过解锁处理流程。最终后果是：在文件解锁流程全部完成之后，该文件仍然处于被锁定的状态。
2）切勿对锁定后的文件再次进行编辑/修改：文件的识别特征值与锁定前的原文件存在着一一对应的关系。对锁定后的文件再次进行编辑/修改将导致文件的识别特征值的改变。最终后果是：经过解锁流程处理后，该文件被恢复成了错误的文件。
3）切勿修改“(文件锁定说明)”中的用户标识码:用户标识码是还原你被锁定文件的唯一密钥，文件解锁程序根据锁定后的文件的数据与该唯一密钥计算出原文件的数据。对“用户标识”的修改将导致该唯一密钥的改变。最终后果是：经过解锁流程处理后，该文件被恢复成了错误的文件。
4）切勿使用任何第三方工具或自作聪明对文件进行解锁操作。因用户未使用我们的工具而造成文件的损坏/不可恢复，我们一概不负任何责任！

Перевод записки на русский язык:
ID Пользователя: q61+XXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXXXXXXX
--------------------------------------------------------
Уважаемый пользователь, все ваши важные данные успешно заблокированы.
Если у вас есть какие-то вопросы о безопасности ваших файлов, пожалуйста, свяжитесь со специалистом службы разблокировки по email.
Контактный email-адрес: jiesuofuwu@gmail.com
Совет: если в почтовом ящике используются автоматические ответы, то ответное сообщение может быть легко ошибочно помечено как спам email-сервером получателя. Если пользователь не получит ответ в «Входящие» почтового клиента через 2 часа, когда вам ответят, то загляните в Корзину / Спам.
То, что нужно подчеркнуть, это:
1) Не изменяйте расширение файла "-(locked)": когда нужно разблокировать файл, программа разблокировки файлов использует характерное имя файла "-(locked)" для идентификации заблокированного файла, а затем разблокирует заблокированный файл. Если имя файла содержит строку "-(locked)", это означает, что файл заблокирован. Если вы измените имя файла без разрешения и удалите эту строку, файл не пройдет процесс разблокировки. Конечным результатом будет то, что после завершения процесса разблокировки файл останется заблокирован.
2) Не редактируйте / не изменяйте заблокированный файл: существует однозначное соответствие между характеристиками распознавания файла и исходного файла до блокировки. Повторное редактирование / изменение заблокированного файла приведет к изменению характеристик распознавания файла. Конечный результат: после процесса разблокировки файл восстанавливается в неправильный файл.
3) Не изменяйте идентификационный код пользователя в "(Описание заблокированного файла)": идентификационный код пользователя является уникальным ключом для восстановления заблокированного файла. Программа разблокировки файла считывает оригинал на основе данных заблокированного файла и уникального ключа. Данные файла. Изменение "ID пользователя" приведет к изменению уникального ключа. Конечный результат: после процесса разблокировки файл восстанавливается в неправильный файл.
4) Не используйте никакие сторонние инструменты и не используйте свои собственные умные устройства для разблокировки файлов. Мы не несем никакой ответственности за повреждения / невосстановимые файлы, вызванные тем, что пользователи не используют наши инструменты!


360.cn сообщает об официальном "ускорителе" и "ускорителе" с неофициальных пиратских сайтов, который модифицирован так, чтобы подгружать программу-вымогатель с функционалом шифровальщика. Скриншоты сайта DVPN, предлагающего загрузить и использовать некий  "ускоритель" для китайских пользователей Интернета. 

 

Между этими скриншотами с сайта dvpn.xyz есть небольшое различие, видимо, мы случайно зафиксировали некое изменение. 

 

Содержимое первой страницы, если прокрутить её ниже. 

Содержимое скачиваемого архива и внутренней папки 使用说明及教程 (Инструкции и учебники):

Инструкция из TXT-файла из папки 使用说明及教程. 

Инструкция из PDF-файла из папки 使用说明及教程. 

Содержание верхней части инструкции:
dvpn使用说明
1、dvpn是一款绿色翻墙代理上网软件，经过极致精简优化，运行所需内存极小，无毒、无广告、无需安装，解压即可使用。
2、由于本软件翻墙代理设置会自动修改IE连接设置，而“360安全卫士 ”和“腾讯电脑管家 ”对dvpn存在误拦截、误报毒现象(其他杀毒软件无误拦截、误报毒现象，如：360自家的“360杀毒 ”、“金山毒霸 ”、“火绒安全 ”、“卡巴斯基 ”等除前2者之外的任何安全软件)，导致本软件翻墙代理设置失败。如下图所示：
***
所以，在使用本软件前，请先退出“360安全卫士 ”和“腾讯电脑管家 ”软件。
3、本软件的唯一官网是www.dvpn.xyz，其他网站均为仿冒，如有更新，请大家在官网上重新下载本软件。
***

Перевод верхней части инструкции:
dvpn инструкция 
1. dvpn - это зеленое интернет-прокси-приложение, оптимизированное для Интернета, требующее минимального объема памяти для работы, невирусное, без рекламы, без установки и может использоваться после распаковки.
2. Настройки прокси-сервера ПО автоматически изменяют параметры подключения IE, а "360 Security Guard" и "Tencent Computer Manager" могут ошибочно блокировать dvpn и выдавать ложные сообщения опасности (также 360 антивирус, Kaspersky и другие ), что приводит к сбою настроек прокси-сервера. Как показано ниже:
***
Поэтому перед использованием этого ПО, пожалуйста, закройте программы "360 Security Guard" и "Tencent Computer Manager".
3. Единственным официальным веб-сайтом этого ПО является www.dvpn.xyz. Другие веб-сайты являются поддельными. Если есть какое-либо обновление, пожалуйста, загрузите программу с официального веб-сайта еще раз.
***

---
Сайты, зарегистрированные для тех же целей:

 

Технические детали

Программа-вымогатель распространяется не напрямую через исполняемый файл, а через скрытые в программном обеспечении прокси-сети. Перед тем, как начать шифрование выполняет шифрование, программа-вымогатель автоматически проверит наличие в системе защитного программного обеспечения. После обнаружения установленного антивирусного ПО 360 Security или другого защитного ПО, будет использоваться конфликт программ в качестве причины, побуждающей пользователя отключить функцию защиты программного обеспечения, чтобы потом обойти защиту. Примерный перевод выглядит так: "Не удалось настроить файл авторизации из-за перехвата программы защитным ПО ***! Пожалуйста, измените настройки защитного ПО *** или закройте защитное ПО ***, а затем подождите 2 минуты, прежде чем снова запустить программу!" 

После запуска DVPN-шифровальщик проводит проверку, нужно ли выполнять шифрование, подключаясь к облачной базе данных. Если подключение прошло успешно, вымогатель запрашивает зашифрованное сообщение текстовой подсказки через SQL, а затем генерировать идентификатор жертвы на основе MAC-адреса шифрования AES.

После модификации вполне может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Шифровальщик пропускает следующие директории и файлы:
Windows
Program files
360
Q-tube (Q管等目录)
файлы с расширениями: .ini, .dll, .exe, .sys, .lnk, .tmp и некоторые другие
заблокированные файлы с расширением -(已锁定)

Файлы, связанные с этим Ransomware:
dvpn.exe
dstatus.ini
dvpn.dll
dvpn64.dll
pac.txt
***(文件锁定说明).txt - название файла записки с текстом на китайском языке
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jiesuofuwu@gmail.com
Email dvpn: dvpnxyz@gmail.com
URL malware: xxxx://download.dvpn.xyz/dvpn.zip
URLs related: xxxx://dvpn.xyz
xxxx://www.dvpn.xyz
xxxx://jiesuo.me
xxxx://www.jiesuo.me
xxxx://bangwojiemi.space
xxxx://help.bangwojiemi.space
xxxx://www.bangwojiemi.space
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 18 февраля 2020:
Расширение: -(已锁定)
Пример записки к файлу "1": 1班分组情况(文件锁定说明).txt
Email: jiesuofuwu@gmail.com
Новый формат ID: 06DD6A5EXXX33F77-182BF80ADAE02XXX-7C8E5CXXX5926F42-10885ACFE1DAEXXX

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать 360 Ransomware Decryption Tools и расшифровать файлы >>
Прочтите подробную инструкцию перед запуском. 

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DVPN)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jirehlov, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.