воскресенье, 1 ноября 2020 г.

Pay2Key

Pay2Key Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA (для некоторых функций еще использует алгоритм RC4), а затем требует выкуп в 7-9 BTC (около 110-140 тысяч долларов), чтобы вернуть файлы. Оригинальное название: Pay2key (написано в заголовке записки). На файле написано: Cobalt.Client.exe. Написан на C++ и скомпилирован с использованием MSVC ++ 2015. 

Обнаружения:
DrWeb -> Trojan.Encoder.33027, Trojan.Encoder.33028Trojan.Encoder.33029
BitDefender -> Trojan.GenericKD.35120498, Trojan.GenericKD.35120626, Trojan.GenericKD.35120535
Avira (no cloud) -> ***
ESET-NOD32 -> ***
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Program:Win32/Wacapew.C!ml, Trojan:Win32/Ymacco.AA5B, Trojan:Win32/Wacatac.C!ml
Rising -> ***
Symantec -> ***
TrendMicro -> Ransom.Win32.PAY2KEY.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: ??? >> Pay2Key

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pay2key


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые атаки были направлены против организаций в Израиле. Позже прили сообщения о пострадавших организациях в Бразилии. 

Записка с требованием выкупа называется по шаблону: [ORGANIZATION]_MESSAGE.TXT



Содержание записки о выкупе: 
PAY2KEY
HELLO *** USERS!
Congratulations!
Your entire network and all your informations such as computers/ employees information/ users folders/ servers/ file-servers/
applications/ databases/etc... in your network has been successfully encrypted!
Some of your important information dumped and ready to leak, in case we can't make a good deal!
Don't modify encrypted files or you can damage them and decryption will be impossible!
Don't try unofficial decryptors to recover your files or you can damage them and decryption will be impossible!
There is only ONE possible way to get back your files! Pay and contact to receive your special decryptor!
You should pay 7 BTC to receive official decryptor and easily recover your files. ***special decryptor is now ready and
waiting for your payment, let's do it!
You can send 4 random files from any computers and receive decrypted data, just as a proof that works!
Your UserlD IS: ***
Your Network ID ***
| NOTICE |
Offer available until 11/08/2020. If you do not pay on time, price will be doubled!
Wallet: ***
E-mail: 
pay2key@tuta.io
pay2key@pm.me
Keybase: 
Pay2Key

Перевод записки на русский язык: 
Поздравляем!
Вся ваша сеть и вся ваша информация, такая как компьютеры / информация о сотрудниках / пользовательские папки / серверы / файловые серверы /
приложения / базы данных / и т.д ... в вашей сети были успешно зашифрованы!
Часть вашей важной информации сброшена и готова к утечке на случай, если мы не сможем заключить выгодную сделку!
Не изменяйте зашифрованные файлы, иначе вы можете повредить их и расшифровать будет невозможно!
Не пытайтесь восстановить файлы с помощью неофициальных дешифраторов, иначе вы можете повредить их и расшифровать будет невозможно!
Есть только ОДИН способ вернуть ваши файлы! Оплатите и свяжитесь, чтобы получить специальный дешифратор!
Вы должны заплатить 7 BTC, чтобы получить официальный дешифратор и легко восстановить свои файлы. *** специальный дешифратор готов и
ждем оплаты, давайте!
Вы можете отправить 4 случайных файла с любого компьютера и получить расшифрованные данные, что является доказательством того, что это работает!
Ваш UserlD: ***
Ваш Network ID ***
| УВЕДОМЛЕНИЕ |
Предложение действительно до 8.11.2020. Если вовремя не заплатить, цена удвоится!
Кошелек: ***
E-mail:
pay2key@tuta.io
pay2key@pm.me
Keybase:
Pay2Key


ASCII-арт в записке настраивается для каждой организации. 
Красным цветом выделены ошибки, харатерные для тех, кому английский язык неродной. 
Вместо звездочек *** должно быть то, что было скрыто исследователями. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP. Точнее: г
руппа хакеров-вымогателей, которая получила название Pay2Key, осуществляет целевые атаки на израильские компании. Первоначальное атака происходит через RDP-соединение. Далее используется PsExec.exe для запуска программы-вымогателя (файл Cobalt.Client.exe) на разных машинах в организации. 

Хакеры-вымогатели, использующие Pay2Key, проникают в целевые сети быстро, в течение часа, распространяют программу-вымогатель по всей сети. Кроме того они устанавливают устройство, которое будет использоваться в качестве прокси для всех исходящих сообщений между компьютерами, инфицированные Pay2Key Ransomware и C&C. Это помогает им снизить риск обнаружения перед шифрованием всех доступных систем в сети.

Пока нет данных о других способах распространения, но после перенастройки вполне может начать распространяться помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ По данным исследователей, Pay2Key находится в стадии активной разработки и разработчики обновляют его дополнительными функциями. Например, в ранней версии программа-вымогатель не подчищала за собой следы активности и это позволила исследовать её работу, но в последней рассмотреной на момент написании статьи версии исследователи заметили, что злоумышленники добавили механизм самоуничтожения в дополнение к новому аргументу командной строки --noreboot.

На этом скриншоте представлена функция, которая отвечает за удаление программы-вымогателя и его файлов и перезапуск систем. Для выключения ПК используется команда: 
Shutdown /r /f /t 0

Подробности о шифровании:
Используется гибрид симметричной и асимметричной криптографии - с использованием алгоритмов AES и RSA. Сервер C&C генерирует и передает открытый ключ RSA во время выполнения. Это означает, что Pay2Key не выполняет шифрование в автономном режиме и если нет подключения к Интернету или C&C недоступен, то шифрование не произойдет. 
Исследователи заметили, что для некоторых криптографических функций (не для шифрования файлов) используется алгоритм RC4. Авторы Pay2Key использовали стороннюю реализацию (через Windows API).
Network ID из записки (формат GUID) сохраняется как ASCII в начале файла, за ним идут некоторые метаданные как [WORD length][data], включая исходное имя файла.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
[ORGANIZATION]_MESSAGE.TXT - название файла с требованием выкупа
Cobalt.Client.exe - исполняемый файл Pay2Key
Config.ini - файл конфигурации, в котором указаны "Сервер" и "Порт".
Cobalt-Client-log.txt - файл журнала, используется программой-вымогателем во время выполнения
ConnectPC.exe - файл подключения к компьютерам сети, используется для ретрансляции сообщений от жертв внутри организации на внешний сервер управления
Cobalt.Client.pdb - оригинальный файл проекта
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\Temp\[organization-name]tmp\Cobalt.Client.exe
F:\2-Sources\21-FinalCobalt\Source\cobalt\Cobalt\Cobalt\Win32\Release\Client\Cobalt.Client.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pay2key@tuta.io, pay2key@pm.me
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>  IA> IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myTweet
 ID Ransomware (ID as Pay2Key)
 Write-up, Topic of Support
 Added later: Write-up by BC >> 
 Thanks: 
 CheckPoint, Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Подписчики

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *