Если вы не видите здесь изображений, то используйте VPN.

пятница, 3 июля 2020 г.

Aris Locker

ArisLocker Ransomware

Aris Locker Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB режим) + RSA, а затем требует выкуп $75 в BTC (с угрозой поднятия до $500), чтобы вернуть файлы. Оригинальное название: Aris и Aris Locker. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---


© Генеалогия: ??? >> Aris Locker


Aris Locker Ransomware
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aris


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало/середину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Aris Locker Ransomware

Содержание записки о выкупе:
ARIS LOCKER
Hello.
Congrats you have been hit by the ArisLocker so lets talk about recovering your files. First off don't even waste your time with free decrypters.
Aris Locker uses 256 aes bit encryption which means its impossible to bruteforce or attempt to recover your files. So here are the steps to recovering
your files. First off let me prefix this by saying reporting this malware or leaving a bad review on the product will instantly disqualify you from recovering
your files, so if you wish to see your files in any shape or form I reccomend you keep quiet and follow these steps:
---
1. Download BitPay: https://bitpay.com/ This can also be downloaded from the microsoft store.
2. Purchase $75 in bitcoin using the buy crypto option
3. Send that $75 in bitcoin to this addr: {_BITCOIN_ADDR}
4. After you have sent the money send an email to {_EMAIL} saying that you have paid and please Include your user id.
5. Wait roughly 4 hours, I will send you your decrypter and key which can be used to decrypt all files encrypted by the ran
---
YOU HAVE ONE WEEK, AFTER ONE WEEK DECRYPTING YOUR FILES WILL BECOME $500
REPORTING THIS FILE TO ANYONE WILL RESULT IN A FULL LOSS OF FILES
FAILING TO PAY WILL RESULT IN YOUR PERSONAL DETAILS SUCH AS:
- IP
- Address
- Username

Перевод записки на русский язык:
Привет.
Поздравляю, вы попали в ArisLocker, так что поговорим о восстановлении ваших файлов. Во-первых, даже не тратьте свое время на бесплатные расшифровщики.
Арис Локер использует 256-битное шифрование AES, это означает, что невозможно взломать или попытаться восстановить ваши файлы. Итак, вот шаги по восстановлению ваших файлов. Прежде всего, позвольте мне поставить префикс, сказав, что сообщение об этой вредоносной программе или плохой отзыв о продукте немедленно лишат вас права на восстановление ваших файлов, поэтому, если вы хотите увидеть ваши файлы в любой форме, я рекомендую вам молчать и выполнить следующие действия:
---
1. Загрузите BitPay: https://bitpay.com/ Это также можно загрузить из Microsoft store.
2. Купите $75 в биткойнах, используя опцию покупки крипто
3. Отправьте $75 в биткойнах на этот адрес: {_BITCOIN_ADDR}
4. После того, как вы отправите деньги, отправьте email на адрес {_EMAIL}, в котором говорится, что вы заплатили, и укажите свой идентификатор пользователя.
5. Подождите около 4 часа, я вышлю вам ваш расшифровщик и ключ, который можно использовать для расшифровки всех зашифрованных файлов. 
---
СООБЩЕНИЕ ОБ ЭТОМ ФАЙЛЕ КОМУ-ЛИБО ПРИВЕДЕТ К ПОЛНОЙ ПОТЕРЕ ФАЙЛОВ
НЕУПЛАТА ПРИВЕДЕТ К ВАШИМ ЛИЧНЫМ ДАННЫМ, ТАКИМ КАК: 
- IP
- Address
- Username

С бесплатного хостинга картинок imgbb.com загружается изображение aris.jpg, которое заменяют обои Рабочего стола. 
Aris Locker Ransomware шифровальщик, шифратор


ArisLocker Ransomware

Также используется всплывающее окно на экране с просьбой проверить файл readme.txt


Технические детали

По мнению авторов статьи на сайте Cyble, Aris Locker р
аспространялся с помощью email-спама, замаскированного как письмо из банка и вредоносных ссылок. Пример такого письма из "банка" см. на скриншоте ниже. 
Aris Locker Ransomware email spam

На самом деле Aris Locker никогда не распространялся по email, а вышеназванный пример всего лишь был предложенным сценарием. 
Исходный код Aris Locker просочился на exploit.in и это был единственный случай. 

Теоретически может начать распространяться другими известными способами: путем взлома через незащищенную конфигурацию RDP и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt - название файла с требованием выкупа
aris.jpg - изображение заменяющее обои Рабочего стола
<random>.exe - случайное название вредоносного файла

Информация из кода вымогателя: 
ArisLocker Ransomware code шифровальщик, шифратор

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL изображения: xxxxs://i.ibb.co/g9tTj8H/aris.jpg
Email:
BTC: bc1qef3d3ryemlunehdxtx8xvrkdt3w6cgzj8skl2c
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы могут быть расшифрованы. 
Если вам нужна помощь, обратитесь на форум по ссылке >>
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Aris Locker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Cyble Inc, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *