Exorcist Ransomware
(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096 (по сообщению распространителя), а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: Exorcist Ransomware. На файле написано: что угодно.
Обнаружения:
DrWeb -> Trojan.Encoder.32183, Trojan.Encoder.32184, Trojan.Encoder.32399, Trojan.Encoder.32402
ALYac -> Trojan.Ransom.Exorcist
BitDefender -> Generic.Malware.FPdldTk.0AC70D4B, Generic.Malware.FPdldTk.AB1F0F8F
ESET-NOD32 -> A Variant Of Win32/Filecoder.Exorcist.A, A Variant Of Win64/Filecoder.Exorcist.A
Malwarebytes -> Ransom.Exorcist
Microsoft -> Ransom:Win32/Genasom.MX!MTB, Trojan:Win32/Occamy.B
Qihoo-360 -> Generic/Trojan.Generic.95f, Generic/Trojan.Generic.161
Rising -> Ransom.Agent!1.C2C9 (CLOUD), Ransom.Agent!1.C2C9 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT
TrendMicro -> Mal_DLDER, TROJ_GEN.R014H09GN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> Exorcist
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение:
.<random> или .<random{6}>
Примеры расширений:
.OMOGeb
.actr2k
.hNjkl6
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало/середину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: <random>-decrypt.hta
Под <random> находится то, что было использовано в расширении.
****** Decrypt
All your data has been encrypted with Exorcist Ransomware.
Do not worry: you have some hours to contact us and decrypt your data by paying a ransom.
To do this, follow instructions on this web site: http://217.8.117.26/pay
Also, you can install Tor Browser and use this web site: http://4dnd3utjsmm2zcsb.onion/pay
IMPORTANT: Do not modify this file, otherwise you will not be able to recover your data!
--------------------------------------------------------------------------------
Your authorization key:
dZeLkbakmprc7qLC456UIuarwYS7kEHqW8t5mdOuuR+xBos2jCw1uwgRycrhGrCR
[всего 3968 знаков]
Перевод записки на русский язык:
*** Расшифровка
Все ваши данные были зашифрованы Exorcist Ransomware.
Не беспокойтесь: у вас есть несколько часов для связи с нами и расшифровки ваших данные, заплатив выкуп.
Для этого следуйте инструкциям на этом сайте: http://217.8.117.26/pay
Также вы можете установить Tor Browser и использовать этот сайт: http://4dnd3utjsmm2zcsb.onion/pay
ВАЖНО: не изменяйте этот файл, иначе не сможете восстановить ваши данные!
Ваш ключ авторизации:
dZeLkbakmprc7qLC456UIuarwYS7kEHqW8t5mdOuuR+xBos2jCw1uwgRycrhGrCR
[всего 3968 знаков]
Технические детали
Начальный пакет распространяется через форумы кибер-андеграунда, далее как RaaS. После может начать распространяться, как угодно, например, путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Представление на одном из форумов кибер-андеграунда, где распространитель на русском языке предлагает Exorcist Ransomware партнерам-покупателям, обещая им 30% от прибыли.
Содержание сообщения от распространителя (ошибки исправлены!):
Exorcist Ransomware
* Шифрование AES 256 + RSA 4096.
* Скрытная, быстрая работа без доступа в интернет.
* Написан на чистом С с использованием WinAPI, без CRT и других зависимостей.
* Уникальный ключ на каждый билд.
* Работа с файлами через IOCP.
* Порт сканер по локальным подсетям.
* Снятие блокирующих атрибутов с файлов, так же удаление теневых копий и точек восстановления ОС.
* Завершает процессы и службы, мешающие шифрованию файлов.
* Минимальные требования не ниже Windows 7 / Server 2008.
Удобная панель управления и статистики в TOR, которая позволяет сделать билд в трех вариациях - PE x32, PE xб4, Powershell, выставить сумму выкупа и коэффициент повышения через заданное время. Защищенный чат с жертвой.
Панель выкупа имеет зеркало в TOR, жертва может бесплатно расшифровать один файл весом до 3МВ. Оплата выкупа происходит в автоматическом режиме. После оплаты жертва получает файл декриптора и инструкции по его использованию.
Автоматическая выплата вашей доли в Bitcoin или Monero, адреса для получения вознаграждения указываются в панели управления.
Комиссия партнерки 30%. Специальные условия сетевикам с объемами.
Передача доступа к панели третьим лицам или размещение линка на панель в общем доступе приведет к удалению вашего аккаунта в партнерке и перманентному отказу в сотрудничестве.
По СНГ не работаем.
---
➤ Удаляет теневые копии файлов и резервные копии.
➤ Завершает работу множества процесс и служб, чтобы без помех шифровать файлы.
➤ Проверяет язык системы пользователя ПК и при обнаружении 10 языков стран СНГ (русский, армянский, белорусский, грузинский, казахский, таджикский, туркменский, украинский, узбекский, азербайджанский) Exorcist должен завершать работу.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<random>-decrypt.hta - название файла с требованием выкупа
Exorcist Decryption Tool - инструмент дешифровки файлов
<random>.exe - случайное название вредоносного файла
d.bmp - маленькое изображение, заменяющее обои Рабочего стола (растягивается во весь экран)
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\\Users\Admin\AppData\Local\Temp\d.bmp
Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-1131729243-447456001-3632642222-1000\Control Panel\Desktop\Wallpaper = "C:\\Users\\Admin\\AppData\\Local\\Temp\\d.bmp"
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://217.8.117.26/pay
Tor-URL: xxxx://4dnd3utjsmm2zcsb.onion/pay
BTC: bc1qp3vzn9k0fya6ygyvlmqhf0spqtyhrsnxha8xlc
XMR: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Скриншоты от исследователей:
Запуск PowerShell для вызова GetHostByAddress при работе с общими ресурсами.
Результаты анализов:
🔻 Triage analysis build-x32.crypt.bin >>
Ⓗ Hybrid analysis build-x32.crypt.bin >>
Ⓗ Hybrid analysis build-x64.crypt.bin >>
𝚺 VirusTotal analysis build-x32.crypt.bin >>
𝚺 VirusTotal analysis build-x64.crypt.bin >>
🐞 Intezer analysis build-x32.crypt.bin >>
🐞 Intezer analysis build-x64.crypt.bin >> IA>
ᕒ ANY.RUN analysis build-x32.crypt.bin >>
ᕒ ANY.RUN analysis build-x64.crypt.bin >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis build-x32.crypt.bin >>
⟲ JOE Sandbox analysis build-x64.crypt.bin >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 25 августа 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширения: .RZsGKi, .gcFnuG
Записка-1: DECRYPT-RZsGKi-decrypt.hta
Записка-2: DECRYPT-gcFnuG-decrypt.hta
➤ Содержание записки:
****** Decrypt
All your data has been encrypted with Exorcist Ransomware.
Do not worry: you have some hours to contact us and decrypt your data by paying a ransom.
To do this, follow instructions on this web site: http://217.8.117.26/pay
Also, you can install Tor Browser and use this web site: http://4dnd3utjsmm2zcsb.onion/pay
IMPORTANT: Do not modify this file, otherwise you will not be able to recover your data!
--------------------------------------------------------------------------------
Your authorization key:
***
Результаты анализов: VT + AR + IA
Обнаружения:
DrWeb -> Trojan.Encoder.32399
BitDefender -> Trojan.GenericKDZ.69687
ESET-NOD32 -> A Variant Of Win32/Kryptik.HFSH
Malwarebytes -> Trojan.MalPack.GS
Microsoft -> Ransom:Win32/Exorcst!MTB
Tencent -> Win32.Trojan.Delshad.Wpja
TrendMicro -> TROJ_GEN.R002C0WHP20
---
Результаты анализов: VT + AR + IA
Обнаружения:
DrWeb -> Trojan.Encoder.32402
BitDefender -> ThetaGen:NN.ZexaF.34196.cqW@auVfdQh
ESET-NOD32 -> A Variant Of Win32/Filecoder.Exorcist.A
Malwarebytes -> Ransom.Exorcist
Tencent -> Win32.Trojan.Filecoder.Pegh
Обновление от 24 сентября 2020:
Самоназвание: Exorcist 2.0 Ransomware
Расширения (примеры): .JcBhAakey, .JebdYG
http://51.83.171.35/fgate
7iulpt5i6whht6zo2r52f7vptxtjxs3vfcdxxazllikrtqpupn4epnqd.onion
Обновление от 25 сентября 2020:
Exorcist Ransomware MD5 hash list:
9e5c89c84cdbf460fc6857c4e32dafdf
8f10c156d9f0bac26b173f1f8df919ae
2c4518b3dbfc33127b0d4cfb60074295
6d5c6f37878857226c2aa9b52894d6b8
4e3b95627fa88874b4a26c79177c22c6
f188cf267d209a0209a25bda4bb75b86
d4d32e7583b3fd8363ded73c91ed3d08
cb3a1463f4fd3e74b8f1ca5e73b81816
79385ed97732aee0036e67824de18e28
f4009abe9f41da41e48340c96e29d62c
7e415d5a1b1235491cb698eb14817d31
5a63e7d371dd69c5625f5b48da426c14
fa4c4ac8b9c1b14951ae8add855f34e8
0d256ab0a8b8b7a3b3d4aaf566189ca6
840b5220b5d8041e6bab72be5a71a6b9
f889dd8521a5529ae3837475b4bdeb27
12c3fa9dc6097ac588d9432d2cca7984
1ce24411a166bce454ef7dc10762da5d
8cc13fea61cc0ba1382a779ee46726f0
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet + Tweet + myTweet ID Ransomware (ID as Exorcist) Write-up, Topic of Support 🎥 Video review >>
- видеобзор от GrujaRS
Thanks: MalwareHunterTeam, 3xp0rt, GrujaRS Andrew Ivanov (author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
