среда, 17 июня 2020 г.

RansomEXX

RansomEXX Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компаний, организаций и бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ransom.exx (указано в коде). На файле написано: mspusf.exe или что попало.

Обнаружения:
DrWeb -> Trojan.Encoder.32006, Trojan.Encoder.32587
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCN
Kaspersky -> Trojan-Ransom.Win32.Encoder.jdq
Malwarebytes -> Ransom.RansomEXX
Microsoft -> Ransom:Win32/FileCoder.TX!MSR
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_Encoder.R002C0PFE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Defray777 (Defray 2018-2020)
mix >> RansomEXX
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: 
.<company_name>
.<abbreviated_company_name>
.<org_name> 
или что-то около того. В любом случае это будет связано с названием той организации или компании, против которой это направлено. 

Примеры:
.txd0t
.dbe
.0s


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на май-июнь 2020 г. Тогда вымогатели атаковали Техасскую судебную систему и Техасский транспортный департамент (TxDOT). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Исследователи сообщили об этом только в июне 2020 г. 

Записка с требованием выкупа для Техасского транспортного департамента называлась: !TXDOT_READ_ME!.txt

Таким образом шаблон записки можно записать так: 
!XXXXX_READ_ME!.txt
!<abbreviated_company_name>_READ_ME!.txt

Здесь XXXXX будет сокращенным названием атакованной компании (аббревиатурой) с необходимым количеством заглавных букв. 



Содержание записки о выкупе:
Greetings, Texas Department of Transportation!
Read this message CAREFULLY and contact someone from IT department..
Your files are securely ENCRYPTED.
No third party decryption software EXISTS.
MODIFICATION or RENAMING encrypted files may cause decryption failure.
You can send us an encrypted file (not greater than 400KB) and we will decrypt it FOR FREE, so you have no doubts in possibility to restore all Files
From all aFFected systems ANY TIME.
Encrypted File SHOULD NOT contain sensitive inFormation (technical, backups, databases, large documents).
The rest oF data will be available aFter the PAYMENT.
infrastructure rebuild will cost you MUCH more.
Contact us ONLY if you officially represent the whole affected network.
The ONLY attachments we accept are non archived encrypted files For test decryption.
Speak ENGLISH when contacting us.
Mail us: ***@protonmail.com
We kindly ask you not to use GMAIL, YAHOO or LIVE to contact us.
The PRICE depends on how quickly you do it. 

Перевод записки на русский язык:
Приветствую, Техасский департамент транспорта!
Прочитайте это сообщение ВНИМАТЕЛЬНО и свяжитесь с кем-то из ИТ-отдела.
Ваши файлы надежно зашифрованы.
Никакой сторонней программы для расшифровки не существует.
ИЗМЕНЕНИЕ или ПЕРЕИМЕНОВАНИЕ зашифрованных файлов может вызвать сбой расшифровки.
Вы можете отправить нам зашифрованный файл (не более 400 КБ), и мы расшифруем его БЕСПЛАТНО, чтобы у вас не было сомнений в возможности восстановить все файлы из всех затронутых систем в ЛЮБОЕ ВРЕМЯ.
Зашифрованный файл НЕ ДОЛЖЕН содержать конфиденциальную информацию (техническую информацию, резервные копии, базы данных, большие документы).
Остальные данные будут доступны после ОПЛАТЫ.
Перестройка инфраструктуры обойдется вам НАМНОГО больше.
Свяжитесь с нами ТОЛЬКО если вы официально представляете всю затронутую сеть.
ЕДИНСТВЕННЫЕ вложения, которые мы принимаем, являются неархивированными зашифрованными файлами для тестовой расшифровки.
Говорите по-английски при обращении к нам.
Пишите нам: ***@protonmail.com
Мы просим вас не использовать GMAIL, YAHOO или LIVE для связи с нами.
ЦЕНА зависит от того, как быстро вы это сделаете.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, бэкапы системы, манипулирует размером теневого хранилища, отключает функции восстановления и исправления Windows на этапе загрузки, очищает журналы Windows (Application, System, Setup, Security), используя команды:
cipher /w %s
wbadmin.exe delete catalog -quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
schtasks.exe /Change /TN "\Microsoft\Windows\SystemRestore\SR" /disable
wevtutil.exe cl Application
wevtutil.exe cl System
wevtutil.exe cl Setup
wevtutil.exe cl Security
wevtutil.exe sl Security /e:false
fsutil.exe usn deletejournal /D C:

Отключает восстановление системы через Планировщик заданий: 
"C:\Windows\System32\schtasks.exe" /Change /TN "\Microsoft\Windows\SystemRestore\SR" /disable

Завершает 289 процессов, связанных с защитным ПО, серверами баз данных, программным обеспечением MSP, инструментами удаленного доступа и почтовыми серверами. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых расширений: 
.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .icl, .icns, .ico, .iso, .ics, .lnk, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .url, .mui,

Пропускает следующие файлы, системные и загрузочные директории: 
!TXDOT_READ_ME!.txt
ProgramFiles
ProgramW6432
iconcache.db
thumbs.db
ntldr
bootsect.bak
debug.txt
boot.ini
desktop.ini
autorun.inf
ntuser.dat
ntdetect.com
bootfont.bin
\windows\system32\
\windows\syswow64\
\windows\system\
\windows\winsxs\
\appdata\roaming\
\appdata\local\
\appdata\locallow\
\all users\microsoft\
\inetpub\logs\
\boot\
\perflogs\
\programdata\
\drivers\
и другие...

Пропускает три папки, которые ему, вероятно, нужны:
crypt_detect
cryptolocker
ransomware

Файлы, связанные с этим Ransomware:
!TXDOT_READ_ME!.txt - название файла с требованием выкупа
mspusf.exe - исполняемый файл
cipher.exe - инструмент для стирания свободного места на диске, чтобы с помощью программ для восстановления данных нельзя было ничего вернуть; 
4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458.exe

➤ Информация о названии, текст записки и другие строки из кода.
 
 

Записи реестра, связанные с этим Ransomware:
Модифицирует следующие ключи реестра: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableConfig
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR
См. ниже результаты анализов.

Мьютексы:
{5DC7D478-7E59-A370-11D2-2BF9CFE472D4}
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: txdot911@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 2-3 сентября 2020:
Пост в Твиттере >>
Еще один образец. 
Результаты анализов: VT

Обновление от 6 ноября 2020:
Статья от Kaspersky Lab "RansomEXX Trojan attacks Linux systems" >>
Образец для Linux есть в статье. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID: 1st as RansomEXX, 2nd as Defray777 / RansomEXX)
 Write-up, Write-up, Write-up, Topic of Support
 Write-up about PyXie >> 
 Thanks: 
 MalwareHunterTeam, Vitali Kremez, Michael Gillespie, Bart
 Andrew Ivanov (author)
 Akhmed Taia
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *