TeslaCrypt 2.x Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-4096, а затем требует выкуп в 1.5 BTC (~$415 на данный день) или $1000 при оплате через PayPal, чтобы вернуть файлы. Были также требования в 2 BTC. Оригинальное название: TeslaCrypt. В записках о выкупе может представляться как другой, более ранний и более известный на момент своего "выхода в свет" шифровальщик. На файле может быть написано, что угодно.
© Генеалогия: TeslaCrypt > TeslaCrypt 2.x > TeslaCrypt 3.x > TeslaCrypt 4.x >
К зашифрованным файлам добавляется одно из расширений:
.vvv - в феврале 2015
.ecc - в феврале-марте 2015
.ezz - в апреле-мае 2015, как Alpha Crypt
.exx - в мае 2015, как новый Alpha Crypt (другой экран блокировки)
.abc - а июне 2015
.aaa - в июле-августе 2015
.zzz - в июле-августе и далее в 2015
.xyz - в январе-феврале 2016
Активность этого крипто-вымогателя пришлась на 2015-2016 г. Ориентирован на англоязычных пользователей, что помогло распространять его по всему миру. Больше всего от TeslaCrypt пострадали пользователи в США, Германии, Великобритании, Франции, Италии и Испании.
Записки с требованием выкупа называются:
Howto_Restore_FILES.TXT - текстовая записка
Howto_Restore_FILES.HTM - веб-страница
Howto_Restore_FILES.BMP - изображение на обои рабочего стола.
Запиской с требованием выкупа также выступает экран блокировки.
Графический интерфейс, включая заголовок окна заимствован у CryptoLocker Ransomware.
Примеры экрана блокировки TeslaCrypt 2.x
Содержание текста о выкупе:
Your personal files are encrypted!
Your files have been safely encrypted on this PC: photos, videos, documents, etc.
Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files...
In order to decrypt the files open your personal page on site
xxxxs://34r6hq26q2h4jkzj.tor2web.fi and follow the instruction.
Use your Bitcoin address to enter the site:
***
Click to copy Bitcoin address to clipboard if xxxxs://34r6hq26q2h4jkzj.tor2web.org is not opening, please follow the steps:
You must install this browser wvw.torproiect.org/proiects/torbrowser.html.en
After instalation,run the browser and enter address 34r6hq26q2h4jkzj.onion
Follow the instruction on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
Any attempt to remove or corrupt this software will result
in immediate elimination of the private key by the server.
---
[Show encrypted files] [Check Payment] [Enter Decrypt Key]
[Click to Free Decryption on site]
---
Your private key will be destroyed on:
2/29/2015
Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши файлы были надежно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Нажмите кнопку "Show encrypted files", чтобы увидеть весь список зашифрованных файлов, и вы можете убедиться в этом.
Шифрование создано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ после периода времени, указанного в этом окне.
Как только это будет сделано, никто никогда не сможет восстановить файлы...
Чтобы расшифровать файлы, откройте свою личную страницу на сайте
xxxxs://34r6hq26q2h4jkzj.tor2web.fi и следуйте инструкциям.
Используйте свой Bitcoin-адрес для входа на сайт:
***
Нажмите, чтобы скопировать Bitcoin-адрес в буфер обмена, если xxxxs://34r6hq26q2h4jkzj.tor2web.org не открывается, выполните следующие действия:
Вы должны установить этот браузер wvw.torproiect.org/proiects/torbrowser.html.en
После установки запустите браузер и введите адрес 34r6hq26q2h4jkzj.onion
Следуйте инструкциям на веб-сайте. Напоминаем, что чем скорее вы это сделаете, тем больше шансов восстановить файлы.
Любая попытка удалить или испортить это программное обеспечение приведет к немедленному удалению сервером закрытого ключа.
---
Показывать зашифрованные файлы [Проверить платеж] [Ввести ключ дешифрования]
[Нажмите, для бесплатной дешифровки на сайте]
---
Ваш закрытый ключ будет уничтожен:
2/29/2015
На Tor-сайте TeslaCrypt содержатся инструкции о том, как можно оплатить выкуп в биткоинах или с картой PayPal My Cash. Сайт также позволяет дешифровать один файл бесплатно, чтобы доказать, что они правда могут расшифровать файлы. Сайт имеет систему сообщений, которая позволяет жертве конфиденциально общаться с разработчиками шифровальщика.
Скриншоты сайта оплаты
Технические детали
С начала 2015 года новые варианты TeslaCrypt загружает Nemucod. Nemucod - это вредоносный JavaScript, который обычно появляется как .zip-приложение и пытается загрузить на ПК другой вредонос. Известно, что Nemucod загружает такие угрозы, как Fareit, CryptoWall и несколько других угроз. Распространяется через скомпрометированный веб-сайт, который загружает TeslaCrypt в систему посетивших сайт пользователей. Кроме того, браузер может быть перенаправлен на страницу, где будет применён набор эксплойтов Angler EK.
В общем плане может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Разработчики TeslaCrypt создавали свой вредонос, чтобы требовать выкуп не только за документы или фотографии, но за файлы, которые относятся к компьютерным играм. Среди них следующие игры и серии:
Assassin's Creed (файлы игры)
Bethesda Softworks (файлы настроек игр)
Bioshock 2
Call of Duty
Day Z (файлы профиля)
Diablo
Dragon Age: Origins (файлы игры)
EA Sports
Fallout 3
F.E.A.R. 2 (файлы игры)
Half-Life 2
Leagues of Legends
Metin2
Metro 2033
Minecraft (моды)
Resident Evil 4
RPG Maker VX (RGSS)
S.T.A.L.K.E.R. (файлы игры)
Saints Row 2
Skyrim animation
Star Craft 2 (сохранения)
Star Wars: The Knights Of The Old Republic
Steam NCF Valve Pak
The Elder Scrolls
Unity3D (сцены)
Unreal 3
Unreal Engine 3 (файлы игры)
WarCraft 3
World of Tanks (битвы)
World of Warcraft
После первоначального выполнения TeslaCrypt копирует свои файлы в папку AppData:
\AppData\Roaming\<random{7-11}>.exe - например, iylipul.exe
\AppData\Roaming\key.dat
\AppData\Roaming\log.html
TeslaCrypt завершает работу процессов:
taskmgr
procexp
regedit
msconfig
cmd.exe
TeslaCrypt удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows / All / Quiet
Для этого используется команда:
reg add «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System» /v «EnableLinkedConnections» /t REG_DWORD /d 0x00000001 /f
ВНИМАНИЕ! Если вы храните файлы на внешнем жёстком диске, то не подключайте этот диск, когда выходите в Интернет, что-то скачиваете и устанавливаете. Будьте также осторожны с DropBox, OneDrive, Яндекс.Диск и другими облачными сервисами. Если у вас там есть папки, синхронизированные с онлайн-хранилищем, то вредоносное ПО также получит к ним доступ. С ними следует поступать также, как и с внешними дисками (см. выше) — отключать. Иначе шифровальщик, на примере TeslaCrypt, без труда получит доступ к хранимым там файлам и зашифрует их.
Затем он вызывает API GetLogicalDriveStringsW и перечисляет все доступные диски в системе. Он ищет целевые файлы для шифрования на всех локальных, сетевых и съёмных дисках, но избегает следующих:
- файлов из директорий \Windows\, \ProgramFiles\, \AllUsers\
- файлов, содержащие строки и расширения, такие как "recove" и ".vvv", ".ecc", чтобы избежать шифрования файлов инструкции Howto_Restore_FILES.TXT и тех файлов, которые уже были зашифрованы.
TeslaCrypt также создает в реестра запись автозапуска, чтобы его копия выполнялась при каждой перезагрузке компьютера и продолжала шифровать новые и найденные файлы.
Например:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe
Наконец, он сохраняет записки о выкупе Howto_Restore_FILES.TXT и Howto_Restore_FILES.HTM на Рабочем столе и устанавливает одноимённое с ними BMP-изображение с белым текстом на чёрном фоне на обои Рабочего стола.
Вымогатели позволяют в качестве демонстрации работы своего дешифровщика восстановить один файл бесплатно. На Tor-сайте есть встроенный чат, в котором пользователь может получить техническую поддержку от вымогателей, например, если ему что-то непонятно в механизмах приобретения биткоинов.
Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arc, .arch00, .arw, .bar, .bay, .bc6, .bc7, .big, .bkf, .bkp, .blob, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lrf, .lvl, .m2, .m3u, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdb, .qdf, .qic, .r3d, .raf, .raw, .rb, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sb, .sid, .sidd, .sidn, .sie, .sis, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wmo, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (164 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Howto_Restore_FILES.TXT
Howto_Restore_FILES.HTM
Howto_Restore_FILES.BMP
<random{7-11}>.exe
key.dat
log.html
Расположения:
%Desktop%\CryptoLocker.lnk - ярлык на исполняемый файл
%Desktop%\<ransom_notes> - записки о выкупе на Рабочем столе
\AppData\Roaming\<random{7-11}>.exe - исполняемый файл, например, iylipul.exe
\AppData\Roaming\key.dat - специальный файл
\AppData\Roaming\log.html - список зашифрованных файлов
Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: xxxx://34r6hq26q2h4jkzj.2kjb8.net
xxxxs://34r6hq26q2h4jkzi.tor2web.fi
xxxx://atendercrumb.com/***
xxxx://aumentopenis.org/***
xxxx://apiercephoto.com/***
xxxx://austinberean.com/***
xxxx://attlecostumiers.com/***
xxxx://athomegirl.com/***
и другие, см. ниже результаты анализов.
BTC: 15Y2TmHrxjmRFxfNUttwb9aU4DifvDpWKM
1BCH7nezhy3mN4Ksp5L53erpUdmb5NTopa
BTC: 15Y2TmHrxjmRFxfNUttwb9aU4DifvDpWKM
1BCH7nezhy3mN4Ksp5L53erpUdmb5NTopa
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ: VT(17-2-15)> VT(3-4-15)> VT(15-6-15)>
Другой анализ >>
Степень распространённости: была очень высокая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter + Decryptor ID Ransomware (ID as TeslaCrypt 2.x) Write-up, Topic of Support, Guide + FAQ Topic of Support (.VVV, .CCC, .EXX, .EZZ, .ECC, etc)
Thanks: Lawrence Abrams (BleepingComputer) Michael Gillespie GrujaRS *
© Amigo-A (Andrew Ivanov): All blog articles.