Если вы не видите здесь изображений, то используйте VPN.

пятница, 27 февраля 2015 г.

TeslaCrypt 2.x

TeslaCrypt 2.x Ransomware

(шифровальщик-вымогатель)

Translation into English


Помощь нужна с разбивкой расширений по месяцам и версиями в рамках от 0.x до 2.x. Кто располагает достоверной информацией, напишите мне. Контактный адрес здесь

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-4096, а затем требует выкуп в 1.5 BTC (~$415 на данный день) или $1000 при оплате через PayPal, чтобы вернуть файлы. Были также требования в 2 BTC. Оригинальное название: TeslaCrypt. В записках о выкупе может представляться как другой, более ранний и более известный на момент своего "выхода в свет" шифровальщик. На файле может быть написано, что угодно. 

© Генеалогия: TeslaCrypt > TeslaCrypt 2.x > TeslaCrypt 3.x > TeslaCrypt 4.x > 

К зашифрованным файлам добавляется одно из расширений:
.vvv - в феврале 2015
.ecc - в феврале-марте 2015
.ezz - в апреле-мае 2015, как Alpha Crypt
.exx - в мае 2015, как новый Alpha Crypt (другой экран блокировки)
.abc - а июне 2015
.aaa - в июле-августе 2015
.zzz - в июле-августе и далее в 2015
.xyz - в январе-феврале 2016

Активность этого крипто-вымогателя пришлась на 2015-2016 г. Ориентирован на англоязычных пользователей, что помогло распространять его по всему миру. Больше всего от TeslaCrypt пострадали пользователи в США, Германии, Великобритании, Франции, Италии и Испании.

Записки с требованием выкупа называются:
Howto_Restore_FILES.TXT -  текстовая записка
Howto_Restore_FILES.HTM - веб-страница
Howto_Restore_FILES.BMP - изображение на обои рабочего стола. 

Запиской с требованием выкупа также выступает экран блокировки.
Графический интерфейс, включая заголовок окна заимствован у CryptoLocker Ransomware.

 
Примеры экрана блокировки TeslaCrypt 2.x

Содержание текста о выкупе:
Your personal files are encrypted!
Your files have been safely encrypted on this PC: photos, videos, documents, etc.
Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files...
In order to decrypt the files open your personal page on site
xxxxs://34r6hq26q2h4jkzj.tor2web.fi and follow the instruction.
Use your Bitcoin address to enter the site:
***
Click to copy Bitcoin address to clipboard if xxxxs://34r6hq26q2h4jkzj.tor2web.org is not opening, please follow the steps:
You must install this browser wvw.torproiect.org/proiects/torbrowser.html.en
After instalation,run the browser and enter address 34r6hq26q2h4jkzj.onion
Follow the instruction on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
Any attempt to remove or corrupt this software will result
in immediate elimination of the private key by the server.
---
[Show encrypted files]   [Check Payment]   [Enter Decrypt Key]
[Click to Free Decryption on site]
---
Your private key will be destroyed on:
2/29/2015

Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши файлы были надежно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Нажмите кнопку "Show encrypted files", чтобы увидеть весь список зашифрованных файлов, и вы можете убедиться в этом.
Шифрование создано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ после периода времени, указанного в этом окне.
Как только это будет сделано, никто никогда не сможет восстановить файлы...
Чтобы расшифровать файлы, откройте свою личную страницу на сайте
xxxxs://34r6hq26q2h4jkzj.tor2web.fi и следуйте инструкциям.
Используйте свой Bitcoin-адрес для входа на сайт:
***
Нажмите, чтобы скопировать Bitcoin-адрес в буфер обмена, если xxxxs://34r6hq26q2h4jkzj.tor2web.org не открывается, выполните следующие действия:
Вы должны установить этот браузер wvw.torproiect.org/proiects/torbrowser.html.en
После установки запустите браузер и введите адрес 34r6hq26q2h4jkzj.onion
Следуйте инструкциям на веб-сайте. Напоминаем, что чем скорее вы это сделаете, тем больше шансов восстановить файлы.
Любая попытка удалить или испортить это программное обеспечение приведет к немедленному удалению сервером закрытого ключа.
---
Показывать зашифрованные файлы [Проверить платеж] [Ввести ключ дешифрования]
[Нажмите, для бесплатной дешифровки на сайте]
---
Ваш закрытый ключ будет уничтожен:
2/29/2015



На Tor-сайте TeslaCrypt содержатся инструкции о том, как можно оплатить выкуп в биткоинах или с картой PayPal My Cash. Сайт также позволяет дешифровать один файл бесплатно, чтобы доказать, что они правда могут расшифровать файлы. Сайт имеет систему сообщений, которая позволяет жертве конфиденциально общаться с разработчиками шифровальщика.
Скриншоты сайта оплаты



Технические детали

С начала 2015 года новые варианты TeslaCrypt загружает Nemucod. Nemucod - это вредоносный JavaScript, который обычно появляется как .zip-приложение и пытается загрузить на ПК другой вредонос. Известно, что Nemucod загружает такие угрозы, как Fareit, CryptoWall и несколько других угроз. Распространяется через скомпрометированный веб-сайт, который загружает TeslaCrypt в систему посетивших сайт пользователей. Кроме того, браузер может быть перенаправлен на страницу, где будет применён набор эксплойтов Angler EK. 

В общем плане может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Разработчики TeslaCrypt создавали свой вредонос, чтобы требовать выкуп не только за документы или фотографии, но за файлы, которые относятся к компьютерным играм. Среди них следующие игры и серии:
 Assassin's Creed (файлы игры)
 Bethesda Softworks (файлы настроек игр)
 Bioshock 2
 Call of Duty
 Day Z (файлы профиля)
 Diablo
 Dragon Age: Origins (файлы игры)
 EA Sports
 Fallout 3
 F.E.A.R. 2 (файлы игры)
 Half-Life 2
 Leagues of Legends
 Metin2
 Metro 2033
 Minecraft (моды)
 Resident Evil 4
 RPG Maker VX (RGSS)
 S.T.A.L.K.E.R. (файлы игры)
 Saints Row 2
 Skyrim animation
 Star Craft 2 (сохранения)
 Star Wars: The Knights Of The Old Republic
 Steam NCF Valve Pak
 The Elder Scrolls
 Unity3D (сцены)
 Unreal 3
 Unreal Engine 3 (файлы игры)
 WarCraft 3
 World of Tanks (битвы)
 World of Warcraft

После первоначального выполнения TeslaCrypt копирует свои файлы в папку AppData: 
\AppData\Roaming\<random{7-11}>.exe - например, iylipul.exe
\AppData\Roaming\key.dat 
\AppData\Roaming\log.html 

TeslaCrypt завершает работу процессов:
taskmgr
procexp
regedit
msconfig
cmd.exe

TeslaCrypt удаляет теневые копии файлов командой:
 vssadmin.exe Delete Shadows / All / Quiet

TeslaCrypt изменяет в реестре параметр "EnableLinkedConnections" на значение 1, чтобы заставить Windows сделать доступ к сетевым дискам из программ, запущенных с админ-правами, как для административных, так и для стандартных учетных записей. Это позволит без проблем выполнять поиск и шифрование файлов на сетевых и съёмных дисках.
Для этого используется команда:
reg add «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System» /v «EnableLinkedConnections» /t REG_DWORD /d 0x00000001 /f  

ВНИМАНИЕ! Если вы храните файлы на внешнем жёстком диске, то не подключайте этот диск, когда выходите в Интернет, что-то скачиваете и устанавливаете. Будьте также осторожны с DropBox, OneDrive, Яндекс.Диск и другими облачными сервисами. Если у вас там есть папки, синхронизированные с онлайн-хранилищем, то вредоносное ПО также получит к ним доступ. С ними следует поступать также, как и с внешними дисками (см. выше) — отключать. Иначе шифровальщик, на примере TeslaCrypt, без труда получит доступ к хранимым там файлам и зашифрует их. 

Затем он вызывает API GetLogicalDriveStringsW и перечисляет все доступные диски в системе. Он ищет целевые файлы для шифрования на всех локальных, сетевых и съёмных дисках, но избегает следующих:
- файлов из директорий \Windows\, \ProgramFiles\, \AllUsers\ 
- файлов, содержащие строки и расширения, такие как "recove" и ".vvv", ".ecc", чтобы избежать шифрования файлов инструкции Howto_Restore_FILES.TXT и тех файлов, которые уже были зашифрованы.

TeslaCrypt также создает в реестра запись автозапуска, чтобы его копия выполнялась при каждой перезагрузке компьютера и продолжала шифровать новые и найденные файлы.
Например: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe

Наконец, он сохраняет записки о выкупе Howto_Restore_FILES.TXT и Howto_Restore_FILES.HTM на Рабочем столе и устанавливает одноимённое с ними BMP-изображение с белым текстом на чёрном фоне на обои Рабочего стола. 

После выполнения всех своих задач TeslaCrypt снова сохраняет свою копию в каталоге %AppData% и удаляет себя. Для обеспечения дальнейшей работы только одного экземпляра он создает мьютекс «2134-1234-1324-2134-1324-2134».

Вымогатели позволяют в качестве демонстрации работы своего дешифровщика восстановить один файл бесплатно. На Tor-сайте есть встроенный чат, в котором пользователь может получить техническую поддержку от вымогателей, например, если ему что-то непонятно в механизмах приобретения биткоинов.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arc, .arch00, .arw, .bar, .bay, .bc6, .bc7, .big, .bkf, .bkp, .blob, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lrf, .lvl, .m2, .m3u, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdb, .qdf, .qic, .r3d, .raf, .raw, .rb, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sb, .sid, .sidd, .sidn, .sie, .sis, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wmo, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (164 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Howto_Restore_FILES.TXT
Howto_Restore_FILES.HTM
Howto_Restore_FILES.BMP
<random{7-11}>.exe
key.dat
log.html

Расположения:
%Desktop%\CryptoLocker.lnk - ярлык на исполняемый файл
%Desktop%\<ransom_notes> - записки о выкупе на Рабочем столе
\AppData\Roaming\<random{7-11}>.exe - исполняемый файл, например, iylipul.exe
\AppData\Roaming\key.dat - специальный файл
\AppData\Roaming\log.html - список зашифрованных файлов

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://34r6hq26q2h4jkzj.2kjb8.net
xxxxs://34r6hq26q2h4jkzi.tor2web.fi
xxxx://atendercrumb.com/***
xxxx://aumentopenis.org/***
xxxx://apiercephoto.com/***
xxxx://austinberean.com/***
xxxx://attlecostumiers.com/***
xxxx://athomegirl.com/***
и другие, см. ниже результаты анализов.

BTC: 15Y2TmHrxjmRFxfNUttwb9aU4DifvDpWKM
1BCH7nezhy3mN4Ksp5L53erpUdmb5NTopa

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ: VT(17-2-15)>  VT(3-4-15)>  VT(15-6-15)>
Другой анализ >>

Степень распространённости: была очень высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Decryptor
 ID Ransomware (ID as TeslaCrypt 2.x)
 Write-up, Topic of Support, Guide + FAQ
 Topic of Support (.VVV, .CCC, .EXX, .EZZ, .ECC, etc) 
 Thanks: 
 Lawrence Abrams (BleepingComputer)
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 26 января 2015 г.

Coin Locker

Coin Locker Ransomware

CoinLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью шифра Цезаря (
Ceasar Cipher), а затем требует перейти на сайт в сети Tor, чтобы узнать, как вернуть файлы. Оригинальное название: Coin Locker. 


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января - начало февраля 2015 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: Coin.Locker.txt


Содержание записки о выкупе: 
You have been infected with the Coin Locker malware.
All files on this system have been encrypted.
To regain access to your files you will need the Coin Locker decryption software.
To obtain our software you will need to access the deep web with TOR, download TOR here:
https://www.torproject.org/download/download-easy.html.en
Launch TOR and navigate to our website:
http://unjbvgrxu2mpobuj.onion
Follow the steps on the site to use the decryption software and your files will be unlocked.

Перевод записки на русский язык: 
Вы инфицированы вредоносом Coin Locker.
Все файлы в этой системе зашифрованы.
Чтобы вернуть доступ к своим файлам, вам нужна программа для расшифровки Coin Locker.
Чтобы получить нашу программу, вам потребуется доступ к темной сети с TOR, загрузите TOR здесь:
https://www.torproject.org/download/download-easy.html.en
Запустите TOR и перейдите на наш сайт:
http://unjbvgrxu2mpobuj.onion
Следуйте инструкциям на сайте, чтобы использовать программу для расшифровки, и ваши файлы будут разблокированы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробности о шифровании: 
Когда Coin Locker шифрует файл, он использует шифр подстановки символов, известный как Ceasar Cipher (шифр Цезаря), который использовал Юлий Цезарь для шифрования конфиденциальных сообщений. В нем применяется замена букв, когда каждый символ заменяется другой буквой на определенное количество мест до или после него в том же алфавите. Поскольку этот тип шифра просто использует замену букв, его расшифровка довольно проста. Пример смещения шифра на четыре символа вправо показан на рисунке ниже. 


Используемое преобразование обычно обозначают как ROTN, где N — сдвиг на N-ное число позиций, ROT — сокращение от слова ROTATE, в данном случае "циклический сдвиг". Пример того, как будет выглядеть текст с разным числом позиций, показан ниже. 


Список файловых расширений, подвергающихся шифрованию:
Шифрует каждый файл, включая исполняемые. 
Среди зашифрованных наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает только директории, в имени которых есть слова: 
Windows 
Mozilla 
Google 
Notepad

Файлы, связанные с этим Ransomware:
Coin.Locker.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Top-URL: http://unjbvgrxu2mpobuj.onion
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление февраля 2015:
Стараниями сообщества BleepingComputer был создан дешифратор CoinLocker Decrypter, который исправлял файлы. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Coin Locker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 22 декабря 2014 г.

NSB, VirLock

NSB Ransomware

Virlock Ransomware

ViraLock Ransomware

(гибрид-вымогатель, деструктор)
Translation into English


Этот вымогатель блокирует и шифрует данные пользователей с помощью XOR, а затем требует выкуп в ~0.6-0.8 BTC, чтобы вернуть файлы. Оригинальное название: не указано. В окне написано: NATIONAL SECURITY BUREAU и NSB. На файле написано: что попало, в том числе: Virlock.exe, ViraLock.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: семейство VirLock. 

К перезаписанным и зашифрованным файлам добавляется расширение: .exe

Ранний образец этого вымогателя известен с октября 2014 г., потом он был модифицирован, и заново обнаружен в конце 2014 - начале 2015 г. Видимо активно распространялся до конца 2016 года. Разные исследователи находили и описывали его позже — в 2017 и 2018 гг. В ID Ransomware был добавлен только в июле 2018 как NSB Ransomware. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Наибольшее распространение было в США, Канаде, Европе, Китае, Австралии, на Филиппинах. 

Сообщение в окне экрана блокировки содержит текст предупреждения для пользователя и предлагает оплатить сумму выкупа в биткоинах. 

Содержание записки о выкупе:
NATIONAL SECURITY BUREAU                                                                       NSB
Your computer was automatically blocked. Reason: Pirated software found on this computer.
Your computer is now blocked. 184 files have been temporarily blocked on your computer.
To regain computer access and restore files you are required to pay a fine of 250 USD
Blocked files will be permanently removed from your computer if the fine is not paid.
The NSB has two ways to pay a fine:
1. You can pay your fine online through BitCoin. BitCoin is available nationwide.
Click the tabs below to find the nearest vendor. Your computer will be unlocked after you make your payment.
2. You an come to your provincial courthouse and pay your fine at the Cashiers window.
Your computer will be unlocked within 4-5 working days.
To regain access transfer bitcoins to the following address (click to copy):
198tX7NmLg 6o 8qcTT2Uv9cSBVzN3oEozpv
After the payment is finalized enter Transfer ID below.
Amount:  Transfer ID:
BTC 0.661  [ _____________________________________ ] [PAY FINE]
If the fine is not paid, a warrant will be issued for your arrest,
which will be forwarded to your local authorities. You will be charged, fined, convicted for up to 5 years.
Payment BitCoin Information BitCoin Exchanges BitCoin ATMs Internet Browser Notepad

Перевод записки на русский язык:
НАЦИОНАЛЬНОЕ БЮРО БЕЗОПАСНОСТИ NSB
Ваш компьютер был автоматически заблокирован. Причина: пиратское программное обеспечение найдено на этом компьютере.
Ваш компьютер заблокирован. 184 файла были временно заблокированы на вашем компьютере.
Чтобы восстановить доступ к компьютеру и восстановить файлы, вам надо заплатить штраф в размере 250$ США
Заблокированные файлы будут удалены с вашего компьютера навсегда, если штраф не оплачен.
У NSB есть два способа заплатить штраф:
1. Вы можете оплатить свой штраф онлайн через BitCoin. BitCoin доступен по всей стране.
Перейдите на вкладку ниже, чтобы найти ближайшего поставщика. Ваш компьютер будет разблокирован после оплаты.
2. Вы приходите в свой провинциальный суд и оплачиваете штраф в окне Кассиров.
Ваш компьютер будет разблокирован в течение 4-5 рабочих дней.
Чтобы вернуть биткойны доступа к следующему адресу (нажмите, чтобы скопировать):
198tX7NmLg 6o 8qcTT2Uv9cSBVzN3oEozpv
После завершения платежа введите ID перевода ниже.
Сумма: ID перевода:
BTC 0.661 [_____________________________________] [PAY FINE]
Если штраф не уплачен, ордер будет выдан на ваш арест,
который будет отправлен вашим местным властям. Вам будет предъявлено обвинение, оштрафован, осужден на срок до 5 лет.
Платеж BitCoin информация BitCoin обмен BitCoin банкоматы Интернет-браузер Блокнот



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробности о работе вредоноса (из статьи ESET):
  Вместо обычного метода побайтового шифрования всего файла или его начала, Virlock преобразует целевой файл в исполняемый и дописывает к нему свой код. 
  При заражении (шифровании) неисполняемого файла Virlock создает для него новый исполняемый Win32 PE-файл, в который записывается код вируса и зашифрованное содержимое документа. Оригинальный файл удаляется, а на его месте появляется новый с тем же именем и добавленным к его имени расширением .exe. При запуске такого файла на исполнение, он расшифровывает оригинальный файл, записывает его в текущую директорию и открывает.
  Запуск зараженного Virlock файла сопровождается созданием двух его новых файлов, которые аналогичны оригинальному дропперу, но из-за полиморфизма содержат разный исполняемый код. Один файл создается в директории %USERPROFILE%, а второй в %ALLUSERPROFILE%. Для обеспечения автозагрузки вредонос прописывает путь к своему файлу в соответствующем Run-разделе реестра в HKLM и HKCU. 
  Часть кода вымогателя отвечает за отображение пользователю экрана блокировки, при этом использует типичные методы самозащиты, в том числе завершение процессов проводника и диспетчера задач. 
  Полиморфизм Virlock гарантирует уникальность тела вредоносной программы в каждом зараженном файле. Virlock использует несколько слоев шифрования файла. Исполняемый файл Virlock включает в себя специальный код, который мы назвали XOR stub builder. Он находится в файле в незашифрованном виде. Остальные данные вредоноса и ее код, а также данные оригинального файла (в случае, если мы имеем дело не с оригинальным дроппером, а файлом который был заражен) находятся в зашифрованном виде. 
  Нами наблюдались модификации Virlock, которые извлекали из себя третий исполняемый файл. Он регистрировался в качестве сервиса. Эти извлеченные файлы отвечали за дальнейшее заражение файлов в системе.

Больше информации от ESET смотрите в оригинальных статьях (на английском, на русском).

Список файловых расширений, подвергающихся блокировке:
Целевыми являются файлы следующих типов: .bmp, .cer, .crt, .doc, .exe, .gif, .jpeg, .jpg, .mdb, .mp3, .mpg, .p12, .p12, .p7b, .pdf, .pem, .pfx, .png, .ppt, .psd, .rar, .wma, .xls, .zip

➤ Создаёт много процессов. Может заражать файлы на сетевых дисках и съемных носителях.

➤ Использует процессы cmd.exe, conhost.exe, cscript.exe, taskkill.exe, reg.exe для изменения содержимого файлов и ключей реестра.

➤ Перезаписывает файлы, добавляя в них свою копию и превращая их в EXE-файлы, которые при открытии снова инфицируют систему и снова запускают блокировщик экрана с текстом якобы от NATIONAL SECURITY BUREAU. Оригинальное содержимое файла шифруется. 
➤ Заражённый файл содержит значок, как у исходного значка незашифрованного файла, потому ничего не подозревающий пользователь может попытаться открыть и при этом запустить такой файл на исполнение.

➤ В более новых версиях на компьютер также дроппируется архив Win64.Trojan.GreenBug.zip

Файлы, связанные с этим Ransomware:
ViraLock.exe
<random>.exe - множество файлов со случайными названиями
Win64.Trojan.GreenBug.zip - сбрасываемый архив с копией себя

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC-1: 198tX7NmLg6o8qcTT2Uv9cSBVzN3oEozpv
BTC-2: 1N43vMz9qB1xcBFFzCGnENSmBrE3sXifrn
См. ниже результаты анализов.

Результаты анализов на 20 июля 2018 года:
Hybrid анализ на Win64.Trojan.GreenBug.zip >>
𝚺  VirusTotal анализ >>  VT>> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: высокая на момент распространения.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Декабрь 2014 - январь 2015
Ниже представлен экран блокировки более новой версии Virlock, он позволяет пользователю использовать приложения веб-браузер и блокнот.


Вредонос способен определять локализацию интерфейса самого экрана. Для этого используется соединение с веб-сайтом google.com и дальнейший анализ домена, на который осуществляется перенаправление, например, google.com.au, google.ca, google.co.uk, google.co.nz. Также используется функция GetUserGeoID. Для стран, соответствующих вышеперечисленным доменам, отображается свой флаг, стоимость биткоинов и текущий курс национальной валюты.

Обновление от 13 марта 2016 года:

Ссылка на статью >>


Обновление от 17 июля 2016 года:

Ссылка на статью >>
Результаты анализов: VT + VTVT + VT + VT+HAVT+HA
Обновление от 20 июля 2018 года:

Пост в Твиттере >>
Результаты анализов: VT + VT + VT
На ПК дроппируется архив Win64.Trojan.GreenBug.zip





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Write-up, Write-up, Write-up, Write-up
 ID Ransomware (ID as NSB Ransomware)
 Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 ESET, TrendMicro, Mosh, CyberSecurity GrujaRS
 Michael Gillespie, JAMESWT
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *