Если вы не видите здесь изображений, то используйте VPN.

вторник, 16 февраля 2016 г.

Locky

Locky Ransomware

Locky Original Ransomware

(шифровальщик-вымогатель, все итерации)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 3-5-7 биткоинов за дешифровку. Суммы называются разные, были и 0,5 биткоина. Название оригинальное. 
Locky Ransomware
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация выполнена под замочки (англ. Lock), запирающие файлы

Хоть название Locky и звучит как детское имя, ничего детского в нём нет. Он нацелен на большое количество файловых расширений и шифрует данные также на удалённых сетевых ресурсах, как мы видели ранее у DMA Locker. Теперь можно с уверенностью сказать, что эта возможность станет нормой среди функционала вымогателей. 

© Генеалогия: Locky. Начало. 

К зашифрованным файлам добавляется расширение .locky

Файлы переименовываются по шаблону [unique_id][identifier].locky
Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky

Ранняя активность этого крипто-вымогателя пришлась на февраль 2016 г. и продолжалась в течении всего года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.



Более поздние итерации Locky добавляли следующие расширения:
.zepto - [16 июня - июль - август 2016] - см. статью Locky-Zepto Ransomware;
.odin[16 сентября 2016] - см. статью Locky-Odin Ransomware;
.shit[16 октября 2016] - будет рассказано позже;
.thor [16 октября - ноябрь 2016] - будет рассказано позже;
.asier [16 ноября 2016] - будет рассказано позже;
.zzzzz [16 ноября - декабрь 2016] - будет рассказано позже;
.osiris [16 декабря 2016] + [апрель 2017] - см. статьи Locky-Osiris Ransomware и Locky-Osiris 2017 Ransomware;
.loptr - [17 мая 2017] - будет рассказано позже;
.diablo6 - [17 августа 2017] - см. статью Locky-Diablo6 Ransomware;
.lukitus - [17 августа 2017] - будет рассказано позже;
.ykcol - [17 сентября 2017] см. статью Locky-Ykcol Ransomware.
.asasin - [17 октября 2017] см. статью Locky-Asasin Ransomware.
<new_extension> - [17 ноября 2017]
<new_extension> - [17 декабря 2017]


Записки с требованием выкупа у Locky Original называются:
_Locky_recover_instructions.txt
_Locky_recover_instructions.bmp

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
   xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
   xxxx://en.wikipedia.org/wiki/Advanced_Encryption_standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. xxxx://6dtxgqam4crv6rr6.tor2web.org/xxxxxxxxxxxxxx
2. xxxx://6dtxgqam4crv6rr6.onion.to/xxxxxxxxxxxxxx
3. xxxx://6dtxgqam4crv6rr6.onion.cab/xxxxxxxxxxxxxx
4. xxxx://6dtxgqam4crv6rr6.onion.link/xxxxxxxxxxxxxx
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Follow the instructions on the site.
!!! Your personal identification id: xxxxxxxxxxxxxx !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Более подробную информацию о RSA и AES можно найти здесь:
   xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
   xxxx://en.wikipedia.org/wiki/Advanced_Encryption_standard
Дешифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которая находится на нашем секретном сервере.
Чтобы получить свой закрытый ключ, следуйте по одной из ссылок:
1. xxxx://6dtxgqam4crv6rr6.tor2web.org/xxxxxxxxxxxxxx
2. xxxx://6dtxgqam4crv6rr6.onion.to/xxxxxxxxxxxxxx
3. xxxx://6dtxgqam4crv6rr6.onion.cab/xxxxxxxxxxxxxx
4. xxxx://6dtxgqam4crv6rr6.onion.link/xxxxxxxxxxxxxx
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный ID: xxxxxxxxxxxxxx !!!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов (Nuclear и др.), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

С февраля по апрель 2016 было зарегистрировано минимум 10 различных вариантов загрузчика Locky. Каждый из них пытался обойти антивирусы, пряча целевую нагрузку в различных типах файлов (.doc, .docm, .xls и .js), выдаваемых за неоплаченные счета.

Один из ранних примеров, распространялся через email-спам, используя вредоносное вложение — текстовый Документ Microsoft Word с вредоносными макросами ATTN: Invoice J-98223146 (инвойс, счёт-фактура, рапорт) и письменное сообщение "Please see the attached invoice..." /перевод/ "Посмотрите прикрепленный инвойс и сделайте оплату согласно условиям, перечисленным в нижней части счета". Пример одного из таких писем можно увидеть ниже.

Используемый как атачмент (вложение) Документ Microsoft Word invoice_J-17105013.doc при открытии отображает нечитаемый текст и требует включить макросы, чтобы прочитать текст. Если пользователь разрешит включить макросы в документе, запускается вредоносный макрос, загружающий вымогательское ПО с удалённого сервера. Аналогичный способ использовал банковский троян Dridex. В настоящее время известно более 10 различных вариантов Locky Downloader. Каждый из них использует иной метод запутывания и различные типы файлов: .doc, .xls, .docm вместе с .js.

Загружаемый макросом файл помещается в папку %Temp% и запускается на выполнение. Это и есть крипто-вымогатель Locky, который тут же начинает шифровать файлы на компьютере.

Locky шифрует данные и полностью меняет имена файлов, чтобы ещё больше затруднить пострадавшим возможность восстановления нужных данных.

При запуске Locky назначает уникальный 16-шестнадцатеричное число ПК жертве, типа F67091F1D24A922B. Locky сканирует все локальные диски и удаленные (неотображаемые) сетевые папки в поиске искомых файлов. При шифровании файлов он использует алгоритм AES-шифрования и зашифровывает только те файлы, которые соответствуют заданным расширениям.
Схема работы Locky

Итак, запомните схему работы:
1. Жертва получает письмо, содержащее подозрительное приложение (Загрузчик).
2. Жертва открывает вложение, макрос осуществляет нагрузку (Locky) с удаленного сервера.
3. Locky контактирует с C2-серверами для обмена ключами шифрования.
4. Locky шифрует заданные типы файлов и создает записку с требованием выкупа.

Когда Locky шифрует файл, он переименовывает его по формату [unique_id][identifier].locky. Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky. Уникальный идентификатор и другая информация будут вписаны в конец зашифрованного файла.

 Важно заметить, что Locky будет шифровать файлы на сетевых ресурсах, даже если они не отображаются на локальном диске. Шифруются также файлы, находящиеся на подключенных внешних хранилищах, типа Google Drive, OneDrive, ICloud, Dropbox, Яндекс.Диск и пр., если синхронизация файлов работает автономно и вход с сохраненными паролями доступен через интерфейс браузера. Как и предсказывалось выше, похоже, что эта методика получает всё большее распространение и потому уже сейчас системные администраторы должны убедиться в том, что все сетевые ресурсы работают под ограниченным набором прав доступа к файлам, находящимся в их окружении, и заменить все простые пароли на более сложные, как минимум 16-значные, состоящие из цифр, букв в верхнем и нижнем регистре и нескольких символов.

В процессе шифрования Locky также удаляет все теневые копии системы и файлов (Shadow Volume Copies), которые могли бы помочь восстановить данные Recovery-программами, с помощью команды зачистки:
vssadmin.exe Delete Shadows /All /Quiet

На рабочем столе и в каждой папке, где были зашифрованы файлы, Locky создаёт текстовую записку с требованием выкупа и меняет обои на рабочем столе на свой bmp-файл, который содержит те же инструкции, что и текстовая записка.

Locky хранит различную информацию в реестре в следующих ключах:
HKCU\Software\Locky\id — Уникальный идентификатор, присвоенный жертве.
HKCU\Software\Locky\pubkey — Открытый RSA-ключ.
HKCU\Software\Locky\paytext — Текст из записки с требованием выкупа
HKCU\Software\Locky\completed — Процесс шифрования файлов завершён.

Список файловых расширений, подвергающихся шифрованию:
.aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11 (Security copy), .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wallet.dat, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (138 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
Этот список был на том этапе, когда была впервые написана данная статья — 16 февраля 2016 года. При последующих вредоносных кампаниях по распространению этого крипто-вымогателя список не раз изменялся и расширялся. 

Примечательно, Locky пропускает файлы, где полный путь и имя файла содержат одну из следующих строк:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

О странице Locky Decrypter 
Внутри записки с требованием выкупа есть веб-ссылка на сайт Tor — страница Locky Decrypter, которая находится по адресу ***6dtxgqam4crv6rr6.onion и содержит сумму в биткоинах, нужную для оплаты, информацию, как приобрести Bitcoins, и Bitcoin-адрес, на который необходимо отправить платеж. Как только жертва вышлет выкуп на Bitcoin-адрес, эта веб-страница обеспечит отгрузку декриптера, который можно использовать для расшифровки файлов. См. скриншот ниже.
Сайт Locky Decrypter

Файлы, связанные с этим Ransomware:
_Locky_recover_instructions.txt
_Locky_recover_instructions.bmp
<random>.exe - исполняемый файл вымогателя
svchost.exe - исполняемый файл вымогателя
Unlocker.exe - декриптер от вымогателей. 

Расположения:
%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\<random>.exe 
%Temp%\svchost.exe

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed    1
HKCU\Control Panel\Desktop\Wallpaper    "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
См. также ниже результаты анализов.

Сетевые подключения и связи:
***6dtxgqam4crv6rr6.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.


Обновление от 14 мая 2017:
Пост в Твиттере >>
Фальш-имя: benefits
Фальш-копирайт: Theranos
Версия:  9.6.7.517
Записка: loptr-<4_chars>.htm
Расширение: .loptr 
Результаты анализов: HA+VT

Обновление августа 2017:
Locky-IKARUSdilapidated
Масштабная кампания имела место в начале августа. За три дня злоумышленники разослали 62 тыс. спам-писем, содержащих новый вариант Locky под названием IKARUSdilapidated. Письма были разосланы с 11 625 IP-адресов в 133 странах мира, вероятно с помощью ботнета. Сумма выкупа: от 0,5 до 1 BTC.
Статья об этой версии от Comodo >>



 Read to links: 
 Write-up + Locky FAQ
 ID Ransomware (ID as Locky)
 Topic on BC
Added later
Write-up
Write-up
Write-up

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Myself as SNS-amigo
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 14 февраля 2016 г.

Paycrypt

Paycrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,35 за дешифровку файлов. Paycrypt по некоторым признакам похож на BandarChor, потому может быть его клоном. Был активен в феврале 2016. 

 © Генеалогия: Rakhni > Rakhni Family > BandarChor > Paycrypt 


Remove Paycrypt Decrypt Paycrypt Decode Restore files Recovery data Удалить Bandarchor Дешифровать Расшифровать Восстановить файлы



Содержание текста на изображении: 
Attention! Your computer has been attacked by a virus-encoder!
AII your files are now encrypted using cryptographically strong algorithm.
Without the original key recovery is impossible.
To get the decoder and the original key, you need to email us at paycrypt@aol.com
Our assistance is not free, so expect to pay a reasonable price for our decrypting services. No exceptions will be made.
In the subject line of your email include the id number, which can be found in the file name of all encrypted files.
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S. only in case you do not receive a response from the first email address within 48 hours, please use this alternative email address: 
paycrypt@india.com

Перевод на русский: 
Внимание! Ваш компьютер атакован вирусом-шифровальщиком.
Все ваши файлы зашифрованы с криптографически стойкий алгоритмом.
Без оригинального ключа восстановление невозможно.
Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на paycrypt@aol.com
Наша помощь небесплатна, нужно заплатить разумную цену за наши услуги дешифровки. Исключений не будет.
В теме письма вашей email укажите ID номер, которые можно найти в имени всех зашифрованных файлов.
В ваших интересах ответить быстрее, чтобы обеспечить восстановление файлов.
P.S. только если вы не получили ответ с первого email в течение 48 часов, используйте этот альтернативный email-адрес:
paycrypt@india.com

  Текст со скринлока немного похож на тот, что был у BandarChor, но email-адреса другие и платить надо 1,35 BTC. Вполне возможно, что за обоими вымогателями стоит одна и та международная группа, или используется общий шаблон. 

  Распространяется с помощью email-спама и вредоносных вложений, а ссылки могут вести на зараженный сайт, содержащий эксплойты на веб-страницах. Письма приходят якобы от Facebook, Twitter, PayPal и Amazon, а их содержание ссылается на изменения в политике конфиденциальности, возвраты и недавно сделанные покупки. Во вложении могут находиться файлы форматов PDF, DOCX, DOC, XLS и XLSX. Ориентирован главным образом на русскоязычных пользователей. C&C-серверы находятся на скомпрометированных сайтах, в их числе Livingbybuddhism.com и Vonee.com

  Paycrypt шифрует все файлы, которые могут хранить важные данные, кроме исполняемых файлов и DLL-библиотек, чтобы жертва смогла сделать платеж. Например, файл Cat.png будет преобразован в Cat.png.id-[random_number]-paycrypt@aol.com. Теневые копии файлов, сделанные Windows или программами резервного копирования не удаляются, потому их можно использовать для восстановления данных без уплаты выкупа. Но прежде нужно очистить ПК от самого вредоноса. 

Список файловых расширение, подвергающихся шифрованию: 
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db-journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar,, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (329 расширений). 

Степень распространённости: средняя. 
Подробные сведения собираются. 

PadCrypt, PadCrypt 2.0

PadCrypt Ransomware 

PadCrypt2, PadCrypt3

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,8 биткоинов или больше, чтобы вернуть файлы. На уплату выкупа даётся 96 часов. Название оригинальное. 

Его создатели, видимо, фанаты более известного крипто-вымогателя CryptoWall, потому или использовали какой-то его готовый шаблон или скопировали графику этого шифровальщика. Примечательно, что они также впервые в истории шифровальщиков прикрутили чат поддержки, который на момент исследования не работал. По прошествии 6 месяцев со дня шифрования вымогатели обещают дешифровать файлы бесплатно. 16.2.2016

© Генеалогия: CryptoWall шаблон >> PadCrypt > PadCrypt2 > PadCrypt3 ...

К зашифрованным файлам поначалу никакое расширение не добавлялось.
С июля 2016 в обновлённой версии добавляется расширение .padcrypt

Активность этого криптовымогателя пришлась на февраль 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
IMPORTANT READ ME.txt
File Decrypt Help.html

Содержание текстовой записки о выкупе:
PadCrypt Decryption Information
Your personal files, documents, and videos on this computer have been encrypted with AES encryption.
In order to decrypt and repair your files, you will need to pay in Bitcoin or Paysafecard prior to your key destruction date.
After that, nobody will ever be able to recover your files, and they are lost forever.
If your anti virus has deleted PadCrypt, you can still recover your files.
Email our support team providing your unique machine ID in the email and we'll respond within 24 hours.
--
Subject: payment
Email: maliko@inbox.lv
Machine id: ***
---
We advise you not to delete this file. If you delete it, there's no hope of ever getting your files back!
However, if it has been 6 months since your computer was encrypted, send us an email and we'll decrypt your files FREE
Don't play us however, we know the exact date and time your computer was infected!

Перевод записки на русский язык:
PadCrypt дешифрования информация
Ваши личные файлы, документы и видео на этом компьютере зашифрованы с AES-шифрованием.
Чтобы расшифровать и вернуть файлы, вам надо заплатить Bitcoin или Paysafecard до даты уничтожения вашего ключа.
После этого никто и никогда не сможет восстановить ваши файлы, и они будут потеряны навсегда.
Если ваш антивирус удалит PadCrypt, вы все еще можете восстановить файлы.
Email в нашу службу поддержки, указав свой уникальный ID машины в письме, и мы ответим в течение 24 часов.
-
Subject: payment
E-mail: maliko@inbox.lv
Machine id: ***
---
Мы советуем вам не удалять этот файл. Если вы удалите его, нет никакой надежды получить ваши файлы обратно!
Однако, если прошло 6 месяцев, когда ваш компьютер был зашифрован, пришлите нам письмо, и мы расшифруем ваши файлы БЕСПЛАТНО
Не играйте с нами, т.к. мы знаем точную дату и время, когда ваш компьютер был заражен!

Информаторами жертвы также выступают скринлок, встающий обоями рабочего стола и блокировщик экрана, появляющиеся после шифрования файлов. В левом нижнем углу имеется интересная опция - Live Chat (чат поддержки), которая предполагает связь с оператором вымогателей. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, независимо от расширений, находящиеся на всех подключенных дисках и особенно в директориях: 
C:\Users\User_name\Downloads
C:\Users\User_name\Documents
C:\Users\User_name\Pictures
C:\Users\User_name\

Пропускаются и не шифруются только файлы, находящиеся в директориях:
C:\Users, C:\NVIDIA, C:\Intel, C:\Documents and Settings, C:\Windows, C:\Program Files, C:\Program Files (x86), C:\System Volume Information, C:\Recycler
... или содержат строки:
ProgramData, PerfLogs, Config.Msi, $Recyle.Bin

После шифрования удаляются все теневые копии системы и файлов (Shadow Volume Copies) командой: 
vssadmin delete shadows /for=z: /all /quiet

Файлы, связанные с этим Ransomware:
%Desktop%\IMPORTANT READ ME.txt - записка о выкупе
%AppData%\PadCrypt\File Decrypt Help.html - "Помощь" для жертвы
%AppData%\PadCrypt\Wallpaper.bmp - скринлок на обои рабочего стола
%AppData%\PadCrypt\PadCrypt.exe - шифровальщик и блокировщик экрана
%AppData%\PadCrypt\unistl.exe - деинсталлятор для удаления записок о выкупе и самого вредоноса
%AppData%\PadCrypt\padcryptUninstaller.exe  - деинсталлятор для удаления записок о выкупе и самого вредоноса
%AppData%\PadCrypt\decrypted_files.dat - список дешифрованных данных
%AppData%\PadCrypt\Files.txt - список зашифрованных файлов
%AppData%\PadCrypt\data.txt - файл с ключом дешифрования
package.pdcr - вспомогательный файл, загружаемый шифровальщиком
unistl.pdcr - вспомогательный файл, загружаемый шифровальщиком

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PadCrypt" = "%AppData%\PadCrypt\PadCrypt.exe"
HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = "%AppData%\PadCrypt\Wallpaper.bmp
HKEY_CURRENT_USER\Control Panel\Desktop "WallpaperStyle" = 1
HKEY_CURRENT_USER\Control Panel\Desktop "TileWallpaper" = 0

Сетевые подключения (C&C-серверы):
annaflowersweb.com
subzone3.2fh.co
cloudnet.online

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>


Обновление от 24 февраля 2016:
Версия: 2.2.10.0
Обновлен и заработал Live Chat
Добавился текст с насмешкой над жертвой
Добавлена функция "blacklist of computer names" : "PLACEHOL-", MALTEST "," ТЕСТ-PC "," BEA-CHI "," BRBRB "," VMSCAN ". 
Описание этих обновлений >>

Обновление от 8 июля 2016:
Расширение: .padcrypt
Сумма выкупа: 0.8 BTC
Экран блокировки остался с той же датой 01/01/1970.

Обновление от 9 марта 2017:

Версия: 3.4.0
Файл: ptsks.exe
Фальш-имя: Microsoft, Windows Driver Service
Результаты анализов: VT

Обновление от 23 марта 2017:
Версия: PadCrypt 3.4.5
Пост в Твиттере >>
Результаты анализов: HA+VT

Обновление от 5 апреля 2017:
Версия: PadCrypt 3.5.0
Пост в Твиттере >>
Результаты анализов: HA+VT

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware
 *
 Thanks: 
 abuse_ch 
 Lawrence Abrams
 Michael Gillespie
 *
 

пятница, 12 февраля 2016 г.

TeslaCrypt 3.0

TeslaCrypt 3.0 (MP3) Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + ECHD + SHA1, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название скрыто. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: TeslaCrypt 0.x > TeslaCrypt 2.x > TeslaCrypt 3.0

Список используемых крипто-вымогателем расширений версией TeslaCrypt 3.0:
.micro 
.xxx 
.ttt 
.mp3 - расширение для этой версии TeslaCrypt 3.0 (MP3)
Зашифрованные файлы с расширением .MP3

Активность этого крипто-вымогателя пришлась на первую половину февраля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

В рамках 3-й версии записки о выкупе были изменены создателями шифровальщика.

Новые файлы с требованием выкупа теперь называются:
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].png
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].txt
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].HTM

Позже записки получили 5 знаков и приняли вид:
Recovery+[5_characters].txt, например,  Recovery+eubpm.txt
Recovery+[5_characters].png, например,  Recovery+eubpm.png
Recovery+[5_characters].html, например, Recovery+eubpm.html



Примечательно, то из TeslaCrypt этой версии исчез код, отвечающий за отображение окон приложения (GUI). Вместо этого после шифрования TeslaCrypt теперь показывает HTML-записку, заимствованную у ранее известного крипто-вымогателя – CryptoWall 3.0. Похоже, что воровство записок о выкупе входит в моду. 

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE Google Translate
What happened to your files?
All of your files were protected by a strong encryption with RSA
More information about the encryption RSA can be found here: xxxxs://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able work with them, read them o
see them, it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen?
Especially for you, on our SERVER was generated the secret key pair RSA - public and private.
All your files were encrypted with the public key. which has been transferred to your computer via the Internet.
Decrypting of YOUR FILES is only possible with the help of the private key and decrypt program which is on our Secret Server!!!

What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed
If you really need your data, then we suggest you do not waste valuable time searching for other solutions becausen they do not exist.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1.xxxx://jj4dhbg4d86sdgrsdfzcadc.ziraimshi.com/***
2.xxxx://uu5dbnmsedf4s3jdnfbh34fsdf.parsesun.at/***
3.xxxx://perc54hg47fhnkjnfvcdgvdc.clinkjuno.com/***

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: xxxx://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the tor-browser address bar: fwgrhsao3aoml7ej.onion***
4. Follow the instructions on the site.
...

Перевод записки на русский язык:
НЕ ВАШ ЯЗЫК? Используйте Google-переводчик
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным шифрованием с RSA
Подробную информацию о RSA-шифровании можно найти здесь: xxxxs://en.wikipedia.org/wiki/RSA_(cryptosystem)

Что это значит?
Это значит, что структура и данные в ваших файлах были бесповоротно изменены, вы не сможете работать с ними, читать их, видеть их, это то же самое, что потерять их навсегда, но с нашей помощью вы можете их восстановить.

Как это произошло?
Специально для вас на нашем сервере была создана секретная ключ-пара RSA - отрытый и закрытый.
Все ваши файлы были зашифрованы открытым ключом, который был перенесен на ваш компьютер через Интернет.
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы расшифровки, которая находится на нашем секретном сервере!!!

Что мне делать?
Увы, если вы не предпримете необходимые меры в течение указанного времени, тогда условия для получения закрытого ключа будут изменены
Если вам действительно нужны ваши данные, мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что их не существует.

Для получения более конкретных инструкций, пожалуйста, посетите вашу личную домашнюю страницу, есть несколько разных адресов, указывающих на вашу страницу ниже:
1.xxxx://jj4dhbg4d86sdgrsdfzcadc.ziraimshi.com/***
2.xxxx://uu5dbnmsedf4s3jdnfbh34fsdf.parsesun.at/***
3.xxxx://perc54hg47fhnkjnfvcdgvdc.clinkjuno.com/***

Если по некоторым причинам адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxx://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку Tor-браузера: fwgrhsao3aoml7ej.onion***
4. Следуйте инструкциям на сайте.
...


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, наборов эксплойтов (Nuclear, Angler), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также для заражения ПК пользователей этим вымогательским ПО используется компрометация сайтов на базе CMS WordPress и Joomla.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].png
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].txt
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].HTM

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://jj4dhbg4d86sdgrsdfzcadc.ziraimshi.com/***
xxxx://uu5dbnmsedf4s3jdnfbh34fsdf.parsesun.at/***
xxxx://perc54hg47fhnkjnfvcdgvdc.clinkjuno.com/***
fwgrhsao3aoml7ej.onion***
См. ниже обновления.


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 18 февраля 2016:
Расширение: .mp3
TOR: fwgrhsao3aoml7ej.onionЗаписки: Recovery+eubpm.txt
Recovery+eubpm.png
Recovery+eubpm.html
Тема на форуме >>
<< Скриншот записки





 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as TeslaCrypt 3.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *