Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 12 июля 2020 г.

AgeLocker

AgeLocker Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей и корпоративных сетей с помощью алгоритмов X25519 (с кривой ECDH), ChaChar20-Poly1305, HMAC-SHA256, в сочетании с ключом, 
а затем требует выкуп в 1-7 BTC, чтобы вернуть файлы. В основном атакуются публичные открытые устройства NAS от QNAP. 
Оригинальное название: AgeLocker. Вероятно получил название от использования для шифрования файлов алгоритма шифрования Actually Good Encryption (AGE). Написан на языке Go. Предназначен для Mac и Linux. 

Перед началом шифрования вымогатели, стоящие за AgeLocker, могут похищать файлы своих жертвы, такие как "медицинские данные, сканированные изображения, резервные копии и прочее, что покажется им наиболее ценным". 

Обнаружения:
DrWeb -> Linux.Encoder.72
BitDefender -> Trojan.Ransom.Linux.Cryptor.B
ALYac -> Trojan.Ransom.Linux.Gen
ESET-NOD32 -> A Variant Of Linux/Filecoder.KMDLocker.A
Malwarebytes -> ***
Rising -> ***
Symantec -> ***
TrendMicro -> TROJ_FRS.VSNTKA20
---

© Генеалогия: Age >> AgeLocker

Изображение — логотип статьи

AgeLocker использует инструмент командной строки Age для шифрования файлов жертвы.

К зашифрованным файлам добавляется персонализированное расширение, созданное на основе инициалов жертвы. Шаблон можно записать следующим образом:
.<abbreviated_PC/user_name>
.<personalized_extension>

В одном из рассмотренных примеров было расширение: .sthd2


Имена файлов зашифрованы, кроме того к каждому зашифрованному файлу добавляется текстовый заголовок (хедер
), который начинается с URL-адреса age-encryption.org



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа присылается жертве по email и называется: 
security_audit_<company_name>.eml



Содержание записки о выкупе:
Hello ***,
Unfortunately a malware has infected your network and a millions of files has been encrypted using a hybrid encryption scheme. 
File names encrypted too.
Encrypted hosts are:
Storage:
 1. ***
 2. ***
 3. ***
Mac + external drives
 1. ***
 2. ***
 3. ***
You have to pay for decryption in Bitcoins.
The price depends on how fast you write us.
After payment we will send you the tool(for mac and linux) that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption.
The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.), file name shouldn't be changed.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Note: we can answer up to 6-9 hours, because of another timezone.

Перевод записки на русский язык:
Привет ***,
К сожалению, вредоносная программа заразила вашу сеть, и миллионы файлов были зашифрованы с использованием гибридной схемы шифрования.
Имена файлов тоже зашифрованы.
Зашифрованные хосты:
Место хранения:
 1. ***
 2. ***
 3. ***
Mac + внешние накопители
 1. ***
 2. ***
 3. ***
Вы должны заплатить за расшифровку в биткойнах.
Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент (для Mac и Linux), который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки.
Общий размер файлов должен быть менее 4 МБ (не в архиве), и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.), имя файла не должно изменяться.
Как получить биткойны
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать "Купить биткойны" и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
Примечание: мы можем ответить до 6-9 часов из-за другого часового пояса. 



Технические детали

Нет данных о распространении, скорее всего может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Специалисты по безопасности от QNAP сообщают, что злоумышленники нацелены на более старые уязвимые версии Photo Station. 
Photo Station - это встроенное приложение, которое позволяет пользователям загружать фотографии на свои устройства NAS, создавать альбомы и удаленно просматривать. Рекомендации QNAP по безопасности >>

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
security_audit.eml - email-сообщение с требованием выкупа
agelocker.go
HOW_TO_RESTORE_FILES.txt

Расположения:
/bin - каталог для бинарных (исполняемых приложений); 
/etc - каталог для конфигурационных файлой, стартовых сценариев;
/home - домашние каталоги пользователей; 
/opt - каталог для установки дополнительных приложений; 
/proc - динамический каталог, содержащий информацию о состоянии системы, включая процессы, исполняемые в данный момент;
/tmp - каталог для временных файлов; 
/usr - каталог для приложений и файлой, доступных всем пользователям;
/var - каталог изменяемых файлох, таких как логи и базы данных;
... и, вероятно, другие. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: 
age-encryption.org
GitHub: xxxxs://github.com/FiloSottile/age/
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление августа-сентября 2020:
Сообщается о росте активности вымогателей в августа -сентябре. 


Обновление от 22 сентября 2020:
Расширение: .OU

Обновление от 23-30 сентября 2020:

Обновление от 5 ноября: 
Расширение: .kmd 
Записка: HOW_TO_RESTORE_FILES.txt
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Linux.Encoder.72
ALYac -> Trojan.Ransom.Linux.Gen
BitDefender -> Trojan.Ransom.Linux.Cryptor.B
ESET-NOD32 -> A Variant Of Linux/Filecoder.KMDLocker.A
TrendMicro -> TROJ_FRS.VSNTKA20


Обновление от 14 ноября 2020: 
Расширение: .hz
Записка: HOW_TO_RESTORE_FILES.txt

Обновление 22 ноября 2020:
Расширение: .D4 
Записка: HOW_TO_RESTORE_FILES.txt
Email: bobca@xmail.net or contact tor url.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myTweet 
 ID Ransomware (ID as AgeLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 peakapot, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *