PowerWare Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES (CBC-режим), а затем требует посетить Tor-сайт вымогателей, чтобы ознакомиться с инструкциями, заплатить выкуп $500 в биткоинах, чтобы вернуть файлы. Через неделю после шифрования сумма удваивается до $1000. Шифрование выполняется, используя Windows PowerShell. Название получил от сложения слов PowerShell и Ware в описании исследователей из Carbon Black.
© Генеалогия: PowerShell Locker 2015 > PowerWare > FTCODE
К зашифрованным файлам никакое расширение не добавляется.
Активность этого криптовымогателя пришлась на март-апрель 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: FILES_ENCRYPTED-READ_ME.HTML
Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
---
For more specific instructions, please visit this home page:
1.xxxp://v2aahacan6ed564p.onion.nu
Please scroll below for your #UUID
---
If for some reasons the address is not available, follow these steps:
1. Download and install tor-browser: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: v2aahgcan6ed564p.onion
4. Follow the instructions on the site.
---
IMPORTANT INFORMATION:
Your Home PAGE: xxxp://v2aahqcan6ed564p.onion.nu
Your Home PAGE(using TOR): 3afd57c4dchzp3pe.onion
Please scroll below for your #UUID
---
Your #UUID is MNfYUEmu30dlgv5jnIPoD9akc
The price to obtain the decrypter goes from 500$ to 1000$ on the day of 04/01/2016 02:37:20
Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены сильным шифрованием с RSA-2048.
Более подробную информацию о ключах шифрования с помощью RSA-2048 можно найти здесь: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
Что это значит?
Это значит, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете восстановить их.
Как это произошло?
Специально для Вас, на нашем сервере был создан парный секретный ключ RSA-2048 - открытый и секретный.
Все ваши файлы зашифрованы с помощью открытого ключа, который передан на компьютер через Интернет.
Дешифровать файлов можно только с помощью секретного ключа и декриптера, находящихся на нашем секретным сервере.
Что мне делать?
Увы, если не принять нужные меры в заданное время, то будут изменены условия для получения секретного ключа.
Если вы точно цените свои данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет.
---
Более подробные инструкции, пожалуйста, посетите домашнюю страницу:
1.xxxp://v2aahacan6ed564p.onion.nu
Пожалуйста, прокрутите ниже для вашего #UUID
---
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите TOR-браузер: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: v2aahgcan6ed564p.onion
4. Следуйте инструкциям на сайте.
---
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша домашняя страница: xxxp://v2aahqcan6ed564p.onion.nu
Ваша домашняя страница (с использованием ТЗ): 3afd57c4dchzp3pe.onion
Пожалуйста, прокрутите ниже для вашего #UUID
---
Ваш #UUID является MNfYUEmu30dlgv5jnIPoD9akc
Цена для получения Decrypter идет от 500 $ до 1000 $ в день 04/01/2016 02:37:20
В записке о выкупе в качестве алгоритма шифрования указан RSA-2048 для устрашения пострадавшей стороны.
Распространяется с помощью email-спама и вредоносных вложений (например, Invoice 2016-M.docm, Faktura_2016-M.doc, Invoice 2016.zip, Invoice_2016_M.lnk и пр.), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
PowerWare маскируется под документы Microsoft Word в качестве счета-фактуры.
При открытии этого файла предлагается включить макрос, якобы для правильного отображения содержимого документа. Если пользователь разрешит это действие, то будет создан процесс cmd.exe и вызван Windows PowerShell для загрузки и запуска вредоносного скрипта с сайта вымогателей. Таким образом вредоносную работу выполняет PowerShell, который не надо загружать из Интернета, потому что он компонент системы.
После шифрования файлов PowerWare оставляет записки о выкупе в каждой папке с зашифрованными файлами, в которых подробно расписано как пострадавший пользователь может получить свои файлы обратно. Затем крипто-вымогатель самоликвидируется.
На Tor-сайте вымогателей приведены инструкции по покупке биткоинов и передаче их вымогателям. Есть функция предварительной дешифровки файлов, чтобы доказать наличие работающего декриптера.
Обманчивая простота в коде и "бестелесность" PowerWare представляет собой новый подход к производству программ-вымогателей.
Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spf, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xpi, .xpt, .xtwx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений).
Это документы MS Office, PDF, базы данных, фотографии, анимация, музыка, видео, архивы, файлы налоговых деклараций, Adobe Photoshop, CorelDRAW и пр.
Файлы, связанные с этим Ransomware:
FILES_ENCRYPTED-READ_ME.HTML
Invoice 2016-M.docm
Faktura_2016-M.doc
Invoice 2016.zip
Invoice_2016_M.lnk
<random>.exe
<random>.tmp
<random>.lnk
<random>.docm
<random>.doc
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения:
skycpa.in/pi.php
piecelaw.top
ruttslaw.work
104.131.129.248
162.243.240.178
Результаты анализов:
Гибридный анализ на инвойс >>
VirusTotal анализ на инвойс >>
Malwr анализ >>
По умолчанию выполнение сценариев Windows PowerShell в системе запрещено. По соображениям безопасности все скрипты PowerShell должны быть подписаны цифровой подписью. Если скрипт не соответствует этому условию, то выполнение сценариев PowerShell в системе запрещено. Это связано с тем, что в скрипте может находиться вредоносный код, который может нанести вред операционной системе. Но так как известно немало случаев воровства цифровой подписи или получения её мошенниками, то лучше вообще отключить использование в Windows работу PowerShell как компонента.
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Read to links: Write-up ID Ransomware Write-up * *
Thanks: Carbon Black Trend Micro * *
© Amigo-A (Andrew Ivanov): All blog articles.