Pay2Key Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA (для некоторых функций еще использует алгоритм RC4), а затем требует выкуп в 7-9 BTC (около 110-140 тысяч долларов), чтобы вернуть файлы. Оригинальное название: Pay2key (написано в заголовке записки). На файле написано: Cobalt.Client.exe. Написан на C++ и скомпилирован с использованием MSVC ++ 2015. Вероятно управляется из Ирана.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33027, Trojan.Encoder.33028, Trojan.Encoder.33029
BitDefender -> Trojan.GenericKD.35120498, Trojan.GenericKD.35120626, Trojan.GenericKD.35120535
Avira (no cloud) -> TR/AD.Pay2keyRansom.xdwes, TR/FileCryptor.gufqt, TR/FileCryptor.kykon
ESET-NOD32 -> A Variant Of Generik.DVXTLZU, A Variant Of Win32/Filecoder.OEU
Malwarebytes -> Ransom.FileCryptor, Ransom.Pay2Key
Microsoft -> Program:Win32/Wacapew.C!ml, Trojan:Win32/Ymacco.AA5B, Trojan:Win32/Wacatac.C!ml
Rising -> Trojan.Generic@ML.94 (RDML:z2R*, Trojan.Generic@ML.89 (RDMK:TFU*
Symantec -> Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.PAY2KEY.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> Pay2Key
К зашифрованным файлам добавляется расширение: .pay2key
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые атаки были направлены против организаций в Израиле. Позже пришли сообщения о пострадавших организациях в Бразилии.
Записка с требованием выкупа называется по шаблону: [ORGANIZATION]_MESSAGE.TXT
Содержание записки о выкупе:
Перевод записки на русский язык:
ASCII-арт в записке настраивается для каждой организации.
Rising -> Trojan.Generic@ML.94 (RDML:z2R*, Trojan.Generic@ML.89 (RDMK:TFU*
Symantec -> Ransom.Cryptolocker
TrendMicro -> Ransom.Win32.PAY2KEY.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me!
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
© Генеалогия: ??? >> Pay2Key
Изображение — логотип статьи
К зашифрованным файлам добавляется расширение: .pay2key
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые атаки были направлены против организаций в Израиле. Позже пришли сообщения о пострадавших организациях в Бразилии.
Записка с требованием выкупа называется по шаблону: [ORGANIZATION]_MESSAGE.TXT
Содержание записки о выкупе:
PAY2KEY
HELLO *** USERS!
Congratulations!
Your entire network and all your informations such as computers/ employees information/ users folders/ servers/ file-servers/
applications/ databases/etc... in your network has been successfully encrypted!
Some of your important information dumped and ready to leak, in case we can't make a good deal!
Don't modify encrypted files or you can damage them and decryption will be impossible!
Don't try unofficial decryptors to recover your files or you can damage them and decryption will be impossible!
There is only ONE possible way to get back your files! Pay and contact to receive your special decryptor!
You should pay 7 BTC to receive official decryptor and easily recover your files. ***special decryptor is now ready and
waiting for your payment, let's do it!
You can send 4 random files from any computers and receive decrypted data, just as a proof that works!
Your UserlD IS: ***
Your Network ID ***
| NOTICE |
Offer available until 11/08/2020. If you do not pay on time, price will be doubled!
Wallet: ***
E-mail:
pay2key@tuta.io
pay2key@pm.me
Keybase:
Pay2Key
Перевод записки на русский язык:
Поздравляем!
Вся ваша сеть и вся ваша информация, такая как компьютеры / информация о сотрудниках / пользовательские папки / серверы / файловые серверы /
приложения / базы данных / и т.д ... в вашей сети были успешно зашифрованы!
Часть вашей важной информации сброшена и готова к утечке на случай, если мы не сможем заключить выгодную сделку!
Не изменяйте зашифрованные файлы, иначе вы можете повредить их и расшифровать будет невозможно!
Не пытайтесь восстановить файлы с помощью неофициальных дешифраторов, иначе вы можете повредить их и расшифровать будет невозможно!
Есть только ОДИН способ вернуть ваши файлы! Оплатите и свяжитесь, чтобы получить специальный дешифратор!
Вы должны заплатить 7 BTC, чтобы получить официальный дешифратор и легко восстановить свои файлы. *** специальный дешифратор готов и
ждем оплаты, давайте!
Вы можете отправить 4 случайных файла с любого компьютера и получить расшифрованные данные, что является доказательством того, что это работает!
Ваш UserlD: ***
Ваш Network ID ***
| УВЕДОМЛЕНИЕ |
Предложение действительно до 8.11.2020. Если вовремя не заплатить, цена удвоится!
Кошелек: ***
E-mail:
pay2key@tuta.io
pay2key@pm.me
Keybase:
Pay2Key
ASCII-арт в записке настраивается для каждой организации.
Красным цветом выделены ошибки, харатерные для тех, кому английский язык неродной.
Вместо звездочек *** должно быть то, что было скрыто исследователями.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP. Точнее: группа хакеров-вымогателей, которая получила название Pay2Key, осуществляет целевые атаки на израильские компании. Эта запущенная иранскими хакерами вредоносная кампания является частью продолжающейся киберконфронтации между Израилем и Ираном. Первоначальное атака происходит через RDP-соединение. Далее используется PsExec.exe для запуска программы-вымогателя (файл Cobalt.Client.exe) на разных машинах в организации.
Хакеры-вымогатели, использующие Pay2Key, проникают в целевые сети быстро, в течение часа, распространяют программу-вымогатель по всей сети. Кроме того они устанавливают устройство, которое будет использоваться в качестве прокси для всех исходящих сообщений между компьютерами, инфицированные Pay2Key Ransomware и C&C. Это помогает им снизить риск обнаружения перед шифрованием всех доступных систем в сети.
Пока нет данных о других способах распространения, но после перенастройки вполне может начать распространяться помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ По данным исследователей, Pay2Key находится в стадии активной разработки и разработчики обновляют его дополнительными функциями. Например, в ранней версии программа-вымогатель не подчищала за собой следы активности и это позволила исследовать её работу, но в последней рассмотреной на момент написании статьи версии исследователи заметили, что злоумышленники добавили механизм самоуничтожения в дополнение к новому аргументу командной строки --noreboot.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
[ORGANIZATION]_MESSAGE.TXT - название файла с требованием выкупа
Нужно всегда использовать Актуальную антивирусную защиту!!!Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ По данным исследователей, Pay2Key находится в стадии активной разработки и разработчики обновляют его дополнительными функциями. Например, в ранней версии программа-вымогатель не подчищала за собой следы активности и это позволила исследовать её работу, но в последней рассмотреной на момент написании статьи версии исследователи заметили, что злоумышленники добавили механизм самоуничтожения в дополнение к новому аргументу командной строки --noreboot.
На этом скриншоте представлена функция, которая отвечает за удаление программы-вымогателя и его файлов и перезапуск систем. Для выключения ПК используется команда:
Shutdown /r /f /t 0
Подробности о шифровании:
Используется гибрид симметричной и асимметричной криптографии - с использованием алгоритмов AES и RSA. Сервер C&C генерирует и передает открытый ключ RSA во время выполнения. Это означает, что Pay2Key не выполняет шифрование в автономном режиме и если нет подключения к Интернету или C&C недоступен, то шифрование не произойдет.
Исследователи заметили, что для некоторых криптографических функций (не для шифрования файлов) используется алгоритм RC4. Авторы Pay2Key использовали стороннюю реализацию (через Windows API).
Network ID из записки (формат GUID) сохраняется как ASCII в начале файла, за ним идут некоторые метаданные как [WORD length][data], включая исходное имя файла.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
[ORGANIZATION]_MESSAGE.TXT - название файла с требованием выкупа
Cobalt.Client.exe - исполняемый файл Pay2Key
Config.ini - файл конфигурации, в котором указаны "Сервер" и "Порт".
Cobalt-Client-log.txt - файл журнала, используется программой-вымогателем во время выполнения
ConnectPC.exe - файл подключения к компьютерам сети, используется для ретрансляции сообщений от жертв внутри организации на внешний сервер управления
Cobalt.Client.pdb - оригинальный файл проекта
<random>.exe - случайное название вредоносного файлаРасположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\Temp\[organization-name]tmp\Cobalt.Client.exe
F:\2-Sources\21-FinalCobalt\Source\cobalt\Cobalt\Cobalt\Win32\Release\Client\Cobalt.Client.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: pay2key@tuta.io, pay2key@pm.me
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: pay2key@tuta.io, pay2key@pm.me
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
*
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
𝚺 VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >> IA> IA>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Некоторые другие образцы можно найти на сайте BA:
https://bazaar.abuse.ch/browse/tag/Pay2key/
Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
*
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + myTweet ID Ransomware (ID as Pay2Key) Write-up, Topic of Support Added later: Write-up by BC >>
Thanks: CheckPoint, Michael Gillespie, Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
