Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 1 марта 2015 г.

VaultCrypt, CrypVault

VaultCrypt Ransomware

CrypVault Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует посетить сайт в Tor-сети, чтобы заплатить выкуп (10000-30000 рублей) и вернуть файлы. Оригинальное название: Vault
---
Обнаружения: 
Для ранних вариантов обнаружения не сохранились. 
DrWeb -> Trojan.Encoder.10184
Avira (no cloud) -> HEUR/AGEN.1108497
BitDefender -> Adware.GenericKD.43296380
ESET-NOD32 -> Win32/Filecoder.FH
Kaspersky -> Trojan-Ransom.Win32.Scatter.lj
Microsoft -> Ransom:Win32/Genasom!rfn
Qihoo-360 -> Win32/Trojan.Ransom.688
Rising -> Ransom.Teerac!8.57A (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114b09f6
TrendMicro -> Ransom_CRYPVAULT.F116L6
---

© Генеалогия: VaultCrypt

К зашифрованным файлам добавляется расширение .vault

Активность этого крипто-вымогателя началась с февраля 2015 г. и продолжалась до конца 2016 года. Ориентирован, главным образом, на русскоязычных пользователей, что не помешало распространять его и в других странах.

Этот вымогатель сам не выводит сообщение с требованием выкупа. Вместо этого он регистрирует в реестре Windows новое расширение .vault, в результате чего у всех зашифрованных файлов появляется новая иконка с изображением замка. 


Если жертва попытается открыть такой файл двойным нажатием кнопки мыши, на экране появится сообщение: «Stored in Vault» («Убрано в сейф»). 



Сообщения от VaultCrypt 

В сообщении также же указано, что ключ можно приобрести, посетив onion-сайт, доступный через Tor-браузер.

Записки с требованием выкупа называются: VAULT.txt, VAULT.hta и 
VAULT-README.txt
Одна из них демонстрируется жертве при каждом входе в Windows. Сначала это текстовый файл, а после перезапуска HTA-файл. 


Содержание записки о выкупе:
Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.
   ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид
ДЕТАЛЬНО
   Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
   Шаг 2:
Используя Tor браузер посетите сайт: xxxx://restoredz4xpmuqr.onion
   Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
   STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас 
c) Стоимость полного восстановления на ресурсе не окончательная
Время блокировки: 02.03.2015 (10:31)


Сообщение VAULT.hta



Подробности работы VaultCrypt 

При первом запуске VaultCrypt с помощью GnuPG генерирует уникальную пару ключей RSA 1024, публичный и приватный. Публичным он зашифровывает найденные на машине файлы с расширениями XLS, DOC, PDF, RTF, PSD, DWG, CDR, CD, MDB, 1CD, DBF, SQLITE, JPG и ZIP. При этом шифровальщик игнорирует некоторые папки (список см. ниже), видимо, чтобы не нарушить нормальную загрузку ОС. Одновременно создаётся VBS-файл для удаления всех теневых копий на диске.

Приватный RSA-ключ, необходимый для расшифровки, VaultCrypt экспортирует и сохраняет в файле vaultkey.vlt. Сюда же он помещает информацию о конфигурации, кодовое имя заражённого ПК и общий счёт зашифрованных файлов по каждому расширению из своего списка. Эти данные нужны для персонализации страницы приёма платежей, а также для сбора статистики по типам шифруемых файлов.

VaultCrypt шифрует файл vaultkey.vlt с помощью публичного мастер-ключа, единого для всех жертв шифровальщика. Итог сохраняется на заражённой машине как %AppData%\VAULT.KEY. Этим же мастер-ключом зловред шифрует файл CONFIRMATION.KEY, содержащий общий список зашифрованных файлов. Приватный мастер-ключ хранится у злоумышленников.

Затем VaultCrypt загружает с другого onion-адреса Browser Password Dump, бесплатный инструмент командной строки для восстановления паролей, и сохраняет его как ssl.exe. С его помощью VaultCrypt попытается украсть идентификаторы при заходе жертвы на разные сайты. Список этих учётных данных он сохраняет в файле cookie.vlt, который впоследствии будет загружен на тот же сайт в Tor-сети.

Чтобы исключить возможность восстановления зашифрованных файлов с помощью программа восстановления данных, VaultCrypt запускает очистку с помощью утилиты SDelete и делает 16 проходов перезаписи. После этого восстановить прежнее содержимое файлов практически невозможно. Затем VaultCrypt создает ряд записей в системном реестре, чтобы сообщение с требованием выкупа отображалось пользователю с каждым заходом в Windows.

При первом переходе жертвы на Tor-сайт по указанной в сообщении ссылке ей предлагают зарегистрироваться путем загрузки файла VAULT.KEY. После этого авторизация производится автоматически, и для посетителя генерируются личный идентификатор и пароль, которые он должен использовать при последующих визитах. На следующей странице ему отображается бегущая строка с информацией о зашифрованных файлах, размере выкупа и т.п., а также с приглашением в чат, чтобы что-то спросить. На момент проведения анализа экспертами Bleeping Computer злоумышленники требовали $247 — около 1 BTC (эквивалент на март 2015 года).

VaultCrypt предлагает жертве бесплатно расшифровать любые четыре файла семи "разрешенных" форматов в качестве теста. 

Все страницы этого onion-сайта выполнены на русском языке, лишь некоторые поля на английском. Имеется также ссылка на англоязычные инструкции, выложенные на Pastebin.

Содержание инструкций на английском языке:
---------
PROBLEM:
[!] Our site is NOT AVAILABLE
SOLUTION:
[+] Try to visit it again after 12 hours
[+] If it is not accessible after 72 hours. Check mirrors:
xxxx://1.onion
xxxx://2.onion
xxxx://3.onion
xxxx://4.onion
[+] If all of the above fails, read explanation about Tor network and try again: xxxx://deepdotweb.com/how-to-access-onion-sites/
[+] .ONION sites CANNOT be accessed via standard browser (like Chrome, IE, Firefox or Safari). Therefore, you need to use Tor Browser: http://torproject.org
---------
PROBLEM:
[!] Cannot find VAULT.KEY or CONFIRMATION.KEY
SOLUTION:
Those authorization keys is stored on your computer in different folders.
1. Go to "My Computer"
2.1. In address line write %APPDATA% and press Enter. At the bottom of the list you can find those AUTH keys
2.2. In address line write %TEMP% and press Enter. Try to find VAULT.KEY a copy there.
2.3. Also it could be found on your User Desktop.
3. Therefore, VAULT.KEY is stored in 3 different places on your computer for preventing accidental deletion.
4. If your machine has multiple users, try to find VAULT.KEY on each user.
5. Warning. Do not modify VAULT.KEY or CONFIRMATION.KEY. In this case, you can not get access to your panel.
---------
PROBLEM:
[!] Everything else what is not listed above
SOLUTION:
[+] Still experiencing problems? Read about BitMessage and write us a letter with a description of your problem.
BitMessage address: BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
[+] To simplify the process of communication via BitMessage you can use xxxx://bitmsg.me
---------



Технические детали

Может распространяться с помощью email-спама и вредоносных вложений (DOC.JS), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует командные файлы Windows, а также программу GnuPG (GNU Privacy Guard, для шифрования данных и создания ЭЦП), утилиту SDelete (Secure Delete, удаляющую файлы, папки) и программу BPD (Browser Password Dump, для сбора паролей). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .cd, .cdr, .dbf, .doc, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .zip.    
Это документы 1С, документы MS Office, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Шифровальщик пропускает файлы, содержащие следующие строки в именах:
abbyy
adobe
amd64
appdata
application
autograph
avatar
avatars
cache
clipart
com_
common
csize
framework64
games
guide
intel
internet
library
manual
maps
msoffice
profiles
program
recycle
resource
resources
roaming
sample
setupcache
support
temp
template
temporary
texture
themes
thumbnails
uploads
windows

Примеры файлов email-вложений:
Счета для оплаты февраль 2015 года - согласовано Коммерческим директором согласовано Главным бухгалтером _ долг letter-attachment_scannеd-OK.dосх{.js}
Акт сверки за 2014 год (сверка проведена - февраль 2015 года) подписано и согласовано Главным бухгалтером _ для контрагента-letter-attachment_scannеd-OK.dосх{.js}
акт сверки (март) 2015 год по итогам первого квартала согласовано бухгалтерией — аttасhmеnt_Dr.Wеb_Sсаnnеd — OK.dосx{.js}

Файлы, связанные с этим Ransomware:
vault.txt
revault.js
svchost.exe
CONFIRMATION.KEY
VAULT.hta
VAULT.KEY
VAULT2.KEY
VAULT.txt
VAULT-README.txt
win.vbs
secring.gpg
trustdb.gpg
и другие

Расположения:
%Desktop%\vault.txt
%Temp%\revault.js
%Temp%\svchost.exe
%AppData%\CONFIRMATION.KEY
%AppData%\ddae25beb5b57d6e.hta
%AppData%\VAULT.hta
%AppData%\VAULT.KEY
%User Temp%\VAULT2.KEY
%User Temp%\VAULT.txt
%User Temp%\VAULT.hta
%User Temp%\a.qq
%User Temp%\gk.vlt
%User Temp%\pk.vlt
%User Temp%\vaultkey.vlt
%User Temp%\cryptlist.lst
%User Temp%\conf.list
%User Temp%\confclean.list
%User Temp%\cryptlist.cmd
%User Temp%\up.vbs
%User Temp%\ultra.js
%User Temp%\ch.vlt
%User Temp%\cookie.vlt
%User Temp%\random_seed
%User Temp%\secring.gpg
%User Temp%\trustdb.gpg
%User Temp%\win.vbs
%UserProfile%\Desktop\VAULT.KEY
%UserProfile%\Desktop\VAULT-README.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vlt notify = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vlt notify" = "mshta %UserProfile%\Application Data\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\VAULT Notification = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"tnotify" = "notepad %Temp%\VAULT.txt"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vltexec" = "wscript //B //Nologo %Temp%\revault.js"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-сайты: restoredz4xpmuqr.onion
tj2es2lrxelpknfp.onion.city
BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>


Степень распространённости: высокая.  
Подробные сведения собраны. Распространение VaultCrypt прекращено.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение 1 к статье:
Скрипт устанавливает свой обработчик открытия файлов с расширением «vault»: при открытии такого файла пользователю должно показываться окно со ссылкой на ключ, но если эти команды отказываются отрабатываться, то файлы с расширением .vault ведут себя как обычные файлы с неизвестным расширением.
Затем созданное ранее HTML-приложение (%AppData%\ddae25beb5b57d6e.hta) добавляется в автозапуск, чтобы его окно отображалось на экране при каждой загрузке системы:
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
После этого из автозапуска удаляются ранее созданные там ключи, открывающие текстовый документ с инструкциями по получению ключа (теперь при загрузке ОС пользователь увидит не текстовый файл, а окно HTML-приложения). 
Также из автозапуска удаляется вызов процедуры шифрования (т.к. к этому моменту все файлы уже зашифрованы).
После этого запускается HTML-приложение, отображающее радостное сообщение о том, что все файлы на ПК зашифрованы.
Предпоследний шаг — вызов для всех томов утилиты cipher с параметром, предписывающим перезаписать всю информацию на секторах жесткого диска, неотведённых ни под один файл. С помощью этой команды данные удалённых ранее файлов окончательно перезатираются на физическом уровне на всех доступных дисках от A до Z.

Дополнение 2 к статье:
Анализ одной из модификаций шифровальщика VaultCrypt
Ссылка: habrahabr.ru/post/266077/

---



Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.10184
Avira (no cloud) -> HEUR/AGEN.1108497
BitDefender -> Adware.GenericKD.43296380
ESET-NOD32 -> Win32/Filecoder.FH
Kaspersky -> Trojan-Ransom.Win32.Scatter.lj
Microsoft -> Ransom:Win32/Genasom!rfn
Qihoo-360 -> Win32/Trojan.Ransom.688
Rising -> Ransom.Teerac!8.57A (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114b09f6
TrendMicro -> Ransom_CRYPVAULT.F116L6




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VaultCrypt)
 Write-up, Topic of Support, Topic of Support, Write-up
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Maxim Zaitsev
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 27 февраля 2015 г.

TeslaCrypt 2.x

TeslaCrypt 2.x Ransomware

(шифровальщик-вымогатель)

Translation into English


Помощь нужна с разбивкой расширений по месяцам и версиями в рамках от 0.x до 2.x. Кто располагает достоверной информацией, напишите мне. Контактный адрес здесь

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-4096, а затем требует выкуп в 1.5 BTC (~$415 на данный день) или $1000 при оплате через PayPal, чтобы вернуть файлы. Были также требования в 2 BTC. Оригинальное название: TeslaCrypt. В записках о выкупе может представляться как другой, более ранний и более известный на момент своего "выхода в свет" шифровальщик. На файле может быть написано, что угодно. 

© Генеалогия: TeslaCrypt > TeslaCrypt 2.x > TeslaCrypt 3.x > TeslaCrypt 4.x > 

К зашифрованным файлам добавляется одно из расширений:
.vvv - в феврале 2015
.ecc - в феврале-марте 2015
.ezz - в апреле-мае 2015, как Alpha Crypt
.exx - в мае 2015, как новый Alpha Crypt (другой экран блокировки)
.abc - а июне 2015
.aaa - в июле-августе 2015
.zzz - в июле-августе и далее в 2015
.xyz - в январе-феврале 2016

Активность этого крипто-вымогателя пришлась на 2015-2016 г. Ориентирован на англоязычных пользователей, что помогло распространять его по всему миру. Больше всего от TeslaCrypt пострадали пользователи в США, Германии, Великобритании, Франции, Италии и Испании.

Записки с требованием выкупа называются:
Howto_Restore_FILES.TXT -  текстовая записка
Howto_Restore_FILES.HTM - веб-страница
Howto_Restore_FILES.BMP - изображение на обои рабочего стола. 

Запиской с требованием выкупа также выступает экран блокировки.
Графический интерфейс, включая заголовок окна заимствован у CryptoLocker Ransomware.

 
Примеры экрана блокировки TeslaCrypt 2.x

Содержание текста о выкупе:
Your personal files are encrypted!
Your files have been safely encrypted on this PC: photos, videos, documents, etc.
Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files...
In order to decrypt the files open your personal page on site
xxxxs://34r6hq26q2h4jkzj.tor2web.fi and follow the instruction.
Use your Bitcoin address to enter the site:
***
Click to copy Bitcoin address to clipboard if xxxxs://34r6hq26q2h4jkzj.tor2web.org is not opening, please follow the steps:
You must install this browser wvw.torproiect.org/proiects/torbrowser.html.en
After instalation,run the browser and enter address 34r6hq26q2h4jkzj.onion
Follow the instruction on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
Any attempt to remove or corrupt this software will result
in immediate elimination of the private key by the server.
---
[Show encrypted files]   [Check Payment]   [Enter Decrypt Key]
[Click to Free Decryption on site]
---
Your private key will be destroyed on:
2/29/2015

Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши файлы были надежно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Нажмите кнопку "Show encrypted files", чтобы увидеть весь список зашифрованных файлов, и вы можете убедиться в этом.
Шифрование создано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ после периода времени, указанного в этом окне.
Как только это будет сделано, никто никогда не сможет восстановить файлы...
Чтобы расшифровать файлы, откройте свою личную страницу на сайте
xxxxs://34r6hq26q2h4jkzj.tor2web.fi и следуйте инструкциям.
Используйте свой Bitcoin-адрес для входа на сайт:
***
Нажмите, чтобы скопировать Bitcoin-адрес в буфер обмена, если xxxxs://34r6hq26q2h4jkzj.tor2web.org не открывается, выполните следующие действия:
Вы должны установить этот браузер wvw.torproiect.org/proiects/torbrowser.html.en
После установки запустите браузер и введите адрес 34r6hq26q2h4jkzj.onion
Следуйте инструкциям на веб-сайте. Напоминаем, что чем скорее вы это сделаете, тем больше шансов восстановить файлы.
Любая попытка удалить или испортить это программное обеспечение приведет к немедленному удалению сервером закрытого ключа.
---
Показывать зашифрованные файлы [Проверить платеж] [Ввести ключ дешифрования]
[Нажмите, для бесплатной дешифровки на сайте]
---
Ваш закрытый ключ будет уничтожен:
2/29/2015



На Tor-сайте TeslaCrypt содержатся инструкции о том, как можно оплатить выкуп в биткоинах или с картой PayPal My Cash. Сайт также позволяет дешифровать один файл бесплатно, чтобы доказать, что они правда могут расшифровать файлы. Сайт имеет систему сообщений, которая позволяет жертве конфиденциально общаться с разработчиками шифровальщика.
Скриншоты сайта оплаты



Технические детали

С начала 2015 года новые варианты TeslaCrypt загружает Nemucod. Nemucod - это вредоносный JavaScript, который обычно появляется как .zip-приложение и пытается загрузить на ПК другой вредонос. Известно, что Nemucod загружает такие угрозы, как Fareit, CryptoWall и несколько других угроз. Распространяется через скомпрометированный веб-сайт, который загружает TeslaCrypt в систему посетивших сайт пользователей. Кроме того, браузер может быть перенаправлен на страницу, где будет применён набор эксплойтов Angler EK. 

В общем плане может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Разработчики TeslaCrypt создавали свой вредонос, чтобы требовать выкуп не только за документы или фотографии, но за файлы, которые относятся к компьютерным играм. Среди них следующие игры и серии:
 Assassin's Creed (файлы игры)
 Bethesda Softworks (файлы настроек игр)
 Bioshock 2
 Call of Duty
 Day Z (файлы профиля)
 Diablo
 Dragon Age: Origins (файлы игры)
 EA Sports
 Fallout 3
 F.E.A.R. 2 (файлы игры)
 Half-Life 2
 Leagues of Legends
 Metin2
 Metro 2033
 Minecraft (моды)
 Resident Evil 4
 RPG Maker VX (RGSS)
 S.T.A.L.K.E.R. (файлы игры)
 Saints Row 2
 Skyrim animation
 Star Craft 2 (сохранения)
 Star Wars: The Knights Of The Old Republic
 Steam NCF Valve Pak
 The Elder Scrolls
 Unity3D (сцены)
 Unreal 3
 Unreal Engine 3 (файлы игры)
 WarCraft 3
 World of Tanks (битвы)
 World of Warcraft

После первоначального выполнения TeslaCrypt копирует свои файлы в папку AppData: 
\AppData\Roaming\<random{7-11}>.exe - например, iylipul.exe
\AppData\Roaming\key.dat 
\AppData\Roaming\log.html 

TeslaCrypt завершает работу процессов:
taskmgr
procexp
regedit
msconfig
cmd.exe

TeslaCrypt удаляет теневые копии файлов командой:
 vssadmin.exe Delete Shadows / All / Quiet

TeslaCrypt изменяет в реестре параметр "EnableLinkedConnections" на значение 1, чтобы заставить Windows сделать доступ к сетевым дискам из программ, запущенных с админ-правами, как для административных, так и для стандартных учетных записей. Это позволит без проблем выполнять поиск и шифрование файлов на сетевых и съёмных дисках.
Для этого используется команда:
reg add «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System» /v «EnableLinkedConnections» /t REG_DWORD /d 0x00000001 /f  

ВНИМАНИЕ! Если вы храните файлы на внешнем жёстком диске, то не подключайте этот диск, когда выходите в Интернет, что-то скачиваете и устанавливаете. Будьте также осторожны с DropBox, OneDrive, Яндекс.Диск и другими облачными сервисами. Если у вас там есть папки, синхронизированные с онлайн-хранилищем, то вредоносное ПО также получит к ним доступ. С ними следует поступать также, как и с внешними дисками (см. выше) — отключать. Иначе шифровальщик, на примере TeslaCrypt, без труда получит доступ к хранимым там файлам и зашифрует их. 

Затем он вызывает API GetLogicalDriveStringsW и перечисляет все доступные диски в системе. Он ищет целевые файлы для шифрования на всех локальных, сетевых и съёмных дисках, но избегает следующих:
- файлов из директорий \Windows\, \ProgramFiles\, \AllUsers\ 
- файлов, содержащие строки и расширения, такие как "recove" и ".vvv", ".ecc", чтобы избежать шифрования файлов инструкции Howto_Restore_FILES.TXT и тех файлов, которые уже были зашифрованы.

TeslaCrypt также создает в реестра запись автозапуска, чтобы его копия выполнялась при каждой перезагрузке компьютера и продолжала шифровать новые и найденные файлы.
Например: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe

Наконец, он сохраняет записки о выкупе Howto_Restore_FILES.TXT и Howto_Restore_FILES.HTM на Рабочем столе и устанавливает одноимённое с ними BMP-изображение с белым текстом на чёрном фоне на обои Рабочего стола. 

После выполнения всех своих задач TeslaCrypt снова сохраняет свою копию в каталоге %AppData% и удаляет себя. Для обеспечения дальнейшей работы только одного экземпляра он создает мьютекс «2134-1234-1324-2134-1324-2134».

Вымогатели позволяют в качестве демонстрации работы своего дешифровщика восстановить один файл бесплатно. На Tor-сайте есть встроенный чат, в котором пользователь может получить техническую поддержку от вымогателей, например, если ему что-то непонятно в механизмах приобретения биткоинов.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arc, .arch00, .arw, .bar, .bay, .bc6, .bc7, .big, .bkf, .bkp, .blob, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lrf, .lvl, .m2, .m3u, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdb, .qdf, .qic, .r3d, .raf, .raw, .rb, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sb, .sid, .sidd, .sidn, .sie, .sis, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wmo, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (164 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Howto_Restore_FILES.TXT
Howto_Restore_FILES.HTM
Howto_Restore_FILES.BMP
<random{7-11}>.exe
key.dat
log.html

Расположения:
%Desktop%\CryptoLocker.lnk - ярлык на исполняемый файл
%Desktop%\<ransom_notes> - записки о выкупе на Рабочем столе
\AppData\Roaming\<random{7-11}>.exe - исполняемый файл, например, iylipul.exe
\AppData\Roaming\key.dat - специальный файл
\AppData\Roaming\log.html - список зашифрованных файлов

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\crypto13 %AppData%\<random>.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://34r6hq26q2h4jkzj.2kjb8.net
xxxxs://34r6hq26q2h4jkzi.tor2web.fi
xxxx://atendercrumb.com/***
xxxx://aumentopenis.org/***
xxxx://apiercephoto.com/***
xxxx://austinberean.com/***
xxxx://attlecostumiers.com/***
xxxx://athomegirl.com/***
и другие, см. ниже результаты анализов.

BTC: 15Y2TmHrxjmRFxfNUttwb9aU4DifvDpWKM
1BCH7nezhy3mN4Ksp5L53erpUdmb5NTopa

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ: VT(17-2-15)>  VT(3-4-15)>  VT(15-6-15)>
Другой анализ >>

Степень распространённости: была очень высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Decryptor
 ID Ransomware (ID as TeslaCrypt 2.x)
 Write-up, Topic of Support, Guide + FAQ
 Topic of Support (.VVV, .CCC, .EXX, .EZZ, .ECC, etc) 
 Thanks: 
 Lawrence Abrams (BleepingComputer)
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 26 января 2015 г.

Coin Locker

Coin Locker Ransomware

CoinLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью шифра Цезаря (
Ceasar Cipher), а затем требует перейти на сайт в сети Tor, чтобы узнать, как вернуть файлы. Оригинальное название: Coin Locker. 


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января - начало февраля 2015 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: Coin.Locker.txt


Содержание записки о выкупе: 
You have been infected with the Coin Locker malware.
All files on this system have been encrypted.
To regain access to your files you will need the Coin Locker decryption software.
To obtain our software you will need to access the deep web with TOR, download TOR here:
https://www.torproject.org/download/download-easy.html.en
Launch TOR and navigate to our website:
http://unjbvgrxu2mpobuj.onion
Follow the steps on the site to use the decryption software and your files will be unlocked.

Перевод записки на русский язык: 
Вы инфицированы вредоносом Coin Locker.
Все файлы в этой системе зашифрованы.
Чтобы вернуть доступ к своим файлам, вам нужна программа для расшифровки Coin Locker.
Чтобы получить нашу программу, вам потребуется доступ к темной сети с TOR, загрузите TOR здесь:
https://www.torproject.org/download/download-easy.html.en
Запустите TOR и перейдите на наш сайт:
http://unjbvgrxu2mpobuj.onion
Следуйте инструкциям на сайте, чтобы использовать программу для расшифровки, и ваши файлы будут разблокированы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Подробности о шифровании: 
Когда Coin Locker шифрует файл, он использует шифр подстановки символов, известный как Ceasar Cipher (шифр Цезаря), который использовал Юлий Цезарь для шифрования конфиденциальных сообщений. В нем применяется замена букв, когда каждый символ заменяется другой буквой на определенное количество мест до или после него в том же алфавите. Поскольку этот тип шифра просто использует замену букв, его расшифровка довольно проста. Пример смещения шифра на четыре символа вправо показан на рисунке ниже. 


Используемое преобразование обычно обозначают как ROTN, где N — сдвиг на N-ное число позиций, ROT — сокращение от слова ROTATE, в данном случае "циклический сдвиг". Пример того, как будет выглядеть текст с разным числом позиций, показан ниже. 


Список файловых расширений, подвергающихся шифрованию:
Шифрует каждый файл, включая исполняемые. 
Среди зашифрованных наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает только директории, в имени которых есть слова: 
Windows 
Mozilla 
Google 
Notepad

Файлы, связанные с этим Ransomware:
Coin.Locker.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Top-URL: http://unjbvgrxu2mpobuj.onion
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление февраля 2015:
Стараниями сообщества BleepingComputer был создан дешифратор CoinLocker Decrypter, который исправлял файлы. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Coin Locker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *