Если вы не видите здесь изображений, то используйте VPN.

среда, 18 мая 2016 г.

SNSLocker

SNSLocker Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 и требует 0,66 биткойнов ($300) за расшифровку. Файлы, зашифрованные с помощью SNSLocker, получают расширение .RSNSLocked. В названии расширения сокращено название криптовымогателя — Ransomware SNSLocked. Создатель крипто-вымогателя: Saad Nabil Soufyane. Отсюда его аббревиатура SNS. 


© Генеалогия: EDA2 >> SNSLocker

Написан на .Net Framework 2.0, с популярными библиотеками Newtonsoft.Json и MetroFramework UI. 

  Записка с требованием выкупа и с инструкциями для уплаты выкупа устанавливается в качестве обоев Рабочего стола ПК и показывается как уведомления при загрузке системы. В качестве вымогательских обоев, видимо, используется набор картинок, т.е. у разных пострадавших они могут быть разные. Их цель — шокировать жертву и ускорить уплату выкупа.  
 

  Распространяется SNSLocker с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах, с помощью сетей общего доступа, в том числе с помощью кейгенов, активаторов и краков, а также как отдельные файлы SNSLocker.exe и SNSLOcker2.exe

Адрес C&C-сервера базируется в Германии и после того, как SNSLocker подключается к нему, то посылает следующую информацию с зараженного ПК:
- ID машины жертвы (8 символов, например, yas9yc92);
- имя компьютера;
- имя пользователя;
- публичный IP-адрес;
- MAC-адрес;
- дата шифрования.

Закончив шифрование файлов SNSLocker открывает окно-записку с требованием выкупа и инструкцией для расшифровки файлов, а также сообщает жертве присвоенный ID машины

 

Список файловых расширений, подвергающихся шифрованию:
 .1pa, .3dm, .3g2, .3gp, .aaf, .aep, .aepx, .aet, .aif, .als, .as3, .asf, .asx, .avi, .bik, .bmp, .bps, .c, .cal, .cdr, .cdt, .cdx, .cgn, .cis, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .die, .db, .dbf, .der, .dies, .doc, .docb, .docm, .docx, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .glas, .h, .höchste, .icbm, .idml, .iff, .iif , .img, .indb, .indd, .indl, .indt, .inx, .iso, .java, .jpeg, .jpg, .js, .klasse, .klopfen, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mitte, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, natter, .nd, .obdachlos, .out, .pcd, .pct, .pcx, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prproj, .ps, .psd, .psp, .ptb, .punkt, .py, .qbb, .qbi, .qbm, .qbo, .qbp, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .rar, .raw, .roh, .rb, .rif, .rtf, .rtp, .sct, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wanderwege, .wav, .webm, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xii, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zu (204 расширения). 
В список расширений у некоторых исследователей вкрались повторы одних и тех же расширений. Я убрал повторы и пересчитал количество расширений. Их оказалось не 229, а 204. Список перед вами. 

Примечательно, что если размер файла больше, чем нужно шифровальщику по умолчанию, то используются функции SplitFileBasedOnSize и SizeSplit, призванные разбить файл на равные части, которым добавляется расширение .RSplited. Вероятно, что потом файл всё-таки шифруется, перезаписывается и расширение заменяется на .RSNSlocked


По данным TrendMicro вымогатель атаковал пользователей по всему миру, отдавая предпочтение жертвам из США, среди которых и оказалось больше всего пострадавших.
Еще примечательно, что создатели SNSLocker забыли удалить из кода информацию о собственном сервере. Видимо, в целях сэкономии, они вместо выделенного сервера держали свой управляющий сервер у провайдера бесплатного виртуального хостинга, который оперативно отреагировал на запрос экспертов Trend Micro и заблокировал источник вредоносов. Также оператор SNSLocker использовал легитимный шлюз для приема платежей. Пока командный сервер еще работал, исследователи воспользовались учетными данными из кода SNSLocker и получили доступ к панели управления шифровальщиком, в том числе ко всей статистике и ключам дешифрования. 

Исполняемый файл, чтобы не быть замеченным, может менять имя:
[random_name].exe
ransomware.exe
svchost.exe
notepad.exe
Your Confirmation.exe
Receipt.exe

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Сетевые подключения:
хттп://saad.eu5.org/getinfo.php (C&C)
хттпs://i.imgur.com/VRJBpep.jpg (загружаемая картинка)

Степень распространённости: высокая.
Подробные сведения собираются.



 Read to links: 
 Write-up on BC
 ID Ransomware
 TrendMicro blog (added much later)
 *

 Thanks: 
 Lawrence Abrams of BC
 Michael Gillespie
 *
 *
 

вторник, 17 мая 2016 г.

777, Seven Legion

777 Ransomware

Legion (Seven Legion) Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует файлы, используя алгоритм XOR или аналог, а затем требует выкуп $800 в Bitcoins, чтобы вернуть файлы сегодня, и $1000 — завтра утром. Название дано по добавляемому расширению, другие названия: Sevleg или Seven legion. 

  К зашифрованным файлам добавляется расширение .777 или .legion, а его имя модифицируется согласно установленной схеме: 
FileName.[nativefiletype]_[timestamp]_$[emailtocontact]$.777
Имя файла.[расширение]_[число-месяц-год-время]_$[email для связи]$.777

  Таким образом файл Sales_May_2016.xls в зашифрованном виде принимает вид 
Sales_May_2016.xls_18-05-2016-08-32-40_$seven_legion@india.com$.777

  Если шифрование было прервано, то у пострадавших могло не оказаться записки с требованием выкупа. 

  Примечательно, что вредонос (или его прототип) известен в дикой природе с сентября 2015 г.  

  Сейчас пострадавшие получили записку о выкупе Read_this_file.txt:
FOR DECRYPT FILES
SEND ONE FILE IN E-MAIL
kaligula.caesar@aol.com

или 
FOR DECRYPT FILES
SEND ONE FILE IN E-MAIL
ninja.gaiver@aol.com

Замеченные email вымогателей: 
ninja.gaiver@aol.com
kaligula.caesar@aol.com
seven_legion@india.com

  Список файловых расширений, подвергающихся шифрованию: 
.1cd, .3ds, .3gp, .4db, .4dd, .7z, .7zip, .a3d, .abf, .accdb, .accdt, .aep, .aes, .ai, .alk, .arj, .asm, .avi, .axx, .bak, .bpw, .cdr, .cdx, .cer, .cpt, .crp, .crt, .csv, .db, .db3, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .drc, .dwfx, .dwg, .dwk, .dxf, .eml, .enz, .fbf, .fbk, .fbw, .fbx, .fdb, .flk, .flka, .flkb, .flkw, .flwa, .gbk, .gdb, .gho, .gpg, .gxk, .gzip, .hid, .hid2, .idx, .ifx, .iso, .iv2i, .jpeg, .jpg, .k2p, .kdb, .kdbx, .key, .keystore, .ksd, .ldf, .m2v, .m3d, .max, .mdb, .mdf, .mkv, .mov, .mp3, .mpd, .mpeg, .mpp, .myo, .nba, .nbd, .nbf, .nrw, .nsf, .nv2, .nx1, .odb, .odc, .odp, .ods, .odt, .ofx, .old, .orf, .ost, .p12, .pdb, .pdf, .pef, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .psw, .ptx, .pz3, .qba, .qbb, .qbo, .qbw, .qfx, .qic, .qif, .r3d, .rar, .raw, .rfp, .rpt, .rsa, .rtf, .rwl, .rx2, .saj, .sbs, .sdc, .sdf, .sef, .sko, .sldasm, .sldprt, .sn1, .sna, .spf, .sql, .sqlite, .sr2, .srf, .srw, .sxc, .tar, .tax, .tbl, .tc, .tib, .tis, .txt, .wdb, .wps, .x3f, .xbrl, .xls, .xlsm, .xlsx, .xml, .zip (172 расширения).

Список игнорируемых расширений:
dll, exe, msi, 777 (зашифрованные). 

Файлы размером меньше 100 байт тоже игнорируются.

Вредонос изменяет системные файлы, удаляет или портит теневые копии, шифрует файлы не только на локальных, но и на сетевых дисках. 

Степень распространённости: относительно низкая.
Подробные сведения собираются. 


Внимание!!! 

Для зашифрованных файлов есть декриптер.



GhostCrypt

GhostCrypt Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы, используя алгоритм AES-256, а затем требует 2 Bitcoins, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .Z81928819

© Генеалогия: Hidden Tear >> GhostCrypt

GhostCrypt cоздан на основе криптоконструктора HiddenTear. 

  Записка о выкупе READ_THIS_FILE.txt размещается на Рабочем столе. 

Перевод записки на русский язык:
Файлы были зашифрованы с помощью CryptoLocker.
Для того, чтобы расшифровать и получить обратно ваши файлы, надо заплатить 2 BTC (Bitcoin).
Вы должны сделать следующие шаги:
1. Android-пользователи должны загрузить приложение Bitcoin Wallet. iOS-пользователи должны загрузить приложение под названием Copay.
2. После регистрации и получения аккаунта Bitcoin, вы должны купить 2 BTC (Bitcoins) и загрузить в свой аккаунт.
3. Вы должны отправить эти Bitcoins на один из следующих счетов.
Аккаунты:
1. 19YWTHeSf1c4a2j1YNPTb3VCJn5ee21GRX
2. 1546jBPBRnR4NVrCZzVm7NtaH8FMQEy9mQ
После получения оплаты вам будет выдан ключ дешифрования и ваши файлы будут расшифрованы.
Для дополнительной информации посетите: https://goo.gl/wDhp4J

Примечательно, что ссылка ведет на итальянский раздел Bitcoin-вики. 

  Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .avi, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .eml, .htm, .html, .index, .jpeg, .jpg, lnk , .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .msg, .odt, .ogg .pdf, .php, .png, .ppt, PPTX, psd, .rar, .sln , .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip

Степень распространённости: низкая.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер. 

SeginChile

SeginChile Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует файлы, используя алгоритм AES-256, а затем предлагает ввести полученный идентификатор и расшифровать файлы бесплатно. Создан на основе крипто-конструктора EDA2. 

© Генеалогия: EDA2 >> SeginChile

К зашифрованным файлам добавляется расширение .seginchile

Записки о выкупе, написанные на испанском языке, создаются в текстовом и html-вариантах — instrucciones.html и instrucciones.txt, и сохраняются на Рабочем столе. 
HTML-вариант записки о выкупе
TXT-вариант записки о выкупе

Перевод записки на русский язык: 
Инструкции
• Откройте https://victima.hackinq.cl
• Введите идентификатор, который вам предоставили ниже
• Скачайте дешифровщик
• Сгенерированный ключ дешифрования введите в дешифровщик
• Уникальный идентификатор: [*************]

Вымогатели предлагают свои жертвам посетить сайт Victima.hacking.cl, ввести полученный идентификатор и дешифровать файлы. Бесплатно. 

В качестве обоев Рабочего стола ставится следующее изображение

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd.sln, .sql, .txt, .xls, .xlsx, .xml

Степень распространённости: средняя.
Подробные сведения собираются. 

понедельник, 16 мая 2016 г.

BuyUnlockCode

BuyUnlockCode Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы с помощью алгоритма шифрования RSA-1024, а затем требует выкуп — приобретение уникального ключа разблокировки. Сначала файлы шифруются с помощью AES-шифрования, а затем AES-ключ шифруется с помощью RSA-ключа. К зашифрованным файлам прибавляется расширение .encoded.<unique id> . Например, файл example.txt примет вид example.txt.encoded.JS8521121, где буквенно-цифровой код в конце файла и будет уникальным идентификатором - ID. Можно представить также в виде схемы (.*).encoded.([A-Z0-9]{9})

  Распространяется через троянские программы и фальшивые обновления программного обеспечения. Тома теневых копий файлов не удаляются. 

  Когда шифровальщик закончит шифрование файлов, то показывает по пострадавшему пользователю записку о выкупе BUYUNLOCKCODE.txt, располагающуюся по адресу: C:\Users\User\AppData\Roaming\SunDevPackUpdate\BUYUNLOCKCODE.txt  
А также изменяет обои Рабочего стола на следующее изображение.
Обои вымогателя

Записка о выкупе

Содержание записки о выкупе:
Hi, your ID = JSOXXXXXXXX
All important files were encoded with RSA-1024 encryption algorithm.
There is the only way to restore them - purchase the unique unlock code.
Warning! Any attempt to recovering files without our "Special program" will cause data damage or complete data loss.
As we receive your payment, we will send special program and your unique code to unlock your system.
Guarantee: You can send one of the encrypted file by email and we decode it for free as proof of our abilities.
No sense to contact the police. Your payment must be made to the e-wallet. It's impossible to trace.
Don`t waste your and our time.
So, if you are ready to pay for recovering your files, please reply this email ChiuKhan@tom.com
Then we will send payment instructions.

В записке указаны email-адреса: 
nick.jameson@expressmail.dk
ChiuKhan@tom.com

  Список файловых расширений, подвергающихся шифрованию: 
.crt, .xls, .docx, .doc, .cer, .key, .pem, .pgp, .der, .rtf, .xlsm, .xlsx, .xlsb, .txt, .xlc, .docm, .ptb, .qbb, .qbw, .qba, .qbm, .xlk,.dbf, .mdb, .mdf, .mde, .accdb, .text, .jpg, .jpeg, .ppt, .pdf, .cdx, .cdr, .bpg, .vbp, .php, .css, .dbx, .dbt, .arw, .dwg, .dxf, .dxg, .eps, .indd, .odb, .odm, .nrw, .ods, .odp, .odt, .orf, .pdd, .pfx, .kdc, .nef, .mef, .mrw, .crw, .dng, .raf, .psd, .rwl, .srf, .srw,.wpd, .odc, .sql, .pab, .vsd, .xsf, .pps, .wps, .pptm, .pptx, .pst, .zip, .tar, .rar

  Файлы связанные с BuyUnlockCode Ransomware: 
%AppData%\SunDevPackUpdate\
%AppData%\SunDevPackUpdate\BUYUNLOCKCODE.txt
%AppData%\SunDevPackUpdate\pbinfoset.sww
%AppData%\SunDevPackUpdate\wallpp.bmp

  Записи реестра связанные с BuyUnlockCode Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\bcdel   cmd.exe /c del "%AppData%\SunDevPackUpdate\<random>.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\oldex   cmd.exe /c del "path-to-installer\installer.exe"
HKCU\Control Panel\Desktop\Wallpaper   "%AppData%\SunDevPackUpdate\wallpp.bmp"


Степень распространённости: не определена.
Подробные сведения собираются. 

пятница, 13 мая 2016 г.

8lock8

8lock8 Ransomware

   Этот криптовымогатель шифрует файлы с с помощью алгоритма AES-256. К зашифрованным файлам добавляется расширение .8lock8

© Генеалогия: Hidden Tear >> 8lock8

  Записка о выкупе READ_IT.txt написана на английском и русском. Размещается на Рабочем столе и в корне каждого диска. Примечательно, что в записке имеются email-адреса, которые указывают на Индию и Индонезию. 

Контакты из записки:
d1d81238@tuta.io
d1d81238@india.com

   Распространяется, главным образом, как вредоносное вложение в email, или посредством ссылки на вредоносный сайт, размещенной в фишинг-письме, или даже в новостях с предложением "Узнать подробнее" или "Поучаствовать". Никогда не посещайте подобные ссылки, если у вас стоит антивирус Free!

  Есть сведения, которые связывают 8lock8 с криптовымогателями MireWare и KimcilWare, тоже созданными на основе конструктора HiddenTear, и имеющими в записке о выкупе email тех же регионов. Есть и другие совпадения. 

  Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .htm, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, PPTX , .rar, .sln, .sql, .txt, .wav, .xls, .xlsx, .xml, .zip 

Степень распространённости: низкая.
Подробные сведения собираются. 

Для файлов, зашифрованным этим криптовымогателем Майклом Джиллеспи, был создан декриптер (дешифровщик). 


 Внимание!!! 
Для зашифрованных файлов есть декриптер. 



четверг, 12 мая 2016 г.

GNL Locker

GNL Locker Ransomware


   Криптовымогатель GNL Locker при запуске проверяет IP-адрес компьютера и шифрует файлы с помощью алгоритма AES-256 только в том случае, если компьютер находится в Нидерландах или Германии. Отсюда его название  — G+N+L (Германско-Нидерландский Локер). 

 Файлы, зашифрованные с помощью GNL Locker, получают расширение .locked, а к ним прилагаются записки с требованием выкупа: 
UNLOCK_FILES_INSTRUCTIONS.txt
UNLOCK_FILES_INSTRUCTIONS.html


HTML-записка о выкупе

Степень распространённости: низкая.
Подробные сведения собираются. 

Приемником GNL Locker стал Zyklon Locker

Crypren

Crypren Ransomware 


   Этот криптовымогатель шифрует данные, а затем требует 0.1 Bitcoins (45.06 USD), чтобы вернуть файлы обратно. К счастью, криптовымогатель имеет дефект, потому специалистам удалось создать дешифратор DecryptCrypren. Шифрование в данном случае условно, скорее это базовая арифметика, больше похожая на обфускацию, чем шифрование. Просто генерируется случайная строка, а затем дополняется байтами, полученными с помощью ключа, взятого из каждого 64-байтного блока.

  К зашифрованным файлам добавляется расширение .encrypted . Закончив шифрование, вымогатель выводит на экране следующее сообщение, призывающее жертву перезагрузить ПК, чтобы получить инструкции и прочитать записку о выкупе READ_THIS_TO_DECRYPT.html


HTML-записка о выкупе. 

Файл READ_THIS_TO_DECRYPT.html размещается во всех системных папках и информирует жертву о том, то случилось с файлами. Для оплаты выкупа прилагается Bitcoin-адрес, на который нужно сделать перевод денег: Предупреждается, что ключ шифрования будет удалена через одну неделю после заражения компьютера. Но это требование, как показало изучение, не соответствует действительности.

Кнопки "How to buy Bitcoins #1" и "How to buy Bitcoins #2" внизу требования информируют жертву, как она может купить биткоины для последующей уплаты выкупа. 

 Согласно записи в реестре, файл READ_THIS_TO_DECRYT.html также отображается при каждом запуске системы. 
Записка о выкупе прописывается в автозагрузку.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .accde, .accdr, .accdt, .bmp, .cpp, .cs, .css, .csv, .csy, .doc, .docm, .docx, .docxml, .docz, .gif, .gzip, .html, .jpg, .jpg2, .mdb, .mp3, .mp4, .mp4infovid, .mp4v, .pdf, .php, .php3, .png, .ppt, .pptm, .pptx, .py, .rar, .rar5, .rb, .rtf, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .swfhtml, .tar, .targz, .targz2, .tarlzma, .tarxz, .txt, .xlmv, .xls, .xlsm, .xlsx, .xml, .zip, .zipx 

Как показало исследование, ключ шифрования хранится непосредственно в каждом из измененных файлов, потому этот помогло получить информацию без оплаты его создателей. Пароль имеет буквенно-цифровой код длиной 64 байта. 

После дешифровки с помощью утилиты DecryptCrypren к дешифрованным файлам добавляется расширение .decrypt. Например, зашифрованный файл изображения test.jpg.ENCRYTED станет test.jpg.ENCRYTED.decrypt .

Файлы, связанные с Crypren Ransomware:
Crypren.exe
READ_THIS_TO_DECRYPT.html
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\READ_THIS_TO_DECRYPT.html

Записи реестра, связанные с Crypren Ransomware:
См. ниже гибридный анализ.

Сетевые подключения и связи:
хттпs://bitcoin.org/en/getting-started
хттпs://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
хттп://www.openssl.org/support/faq.html

Результаты анализов:

Степень распространённости: низкая. 
Подробные сведения собираются. 

Petya + Mischa

Petya + Mischa Ransomware

Petya & Mischa Ransomware

Aliases: Green Petya, Petya-2

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель является тандемом ранее известного крипто-вымогателя Petya и нового — Mischa. Именно Misha шифрует все файлы пользователей с помощью AES, а затем требует выкуп в 1,93380 BTC, чтобы вернуть файлы. Оригинальное название: Mischa Ransomware

© Генеалогия: Petya > Petya + Mischa (Petya-2) > GoldenEye, PetnaBitch 

Обратите внимание на логотип крипто-вымогателя. 
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами. Только теперь вместо PETYA написано MISCHA. 

Этимология названия Mischa: 
Братья-вымогатели получили название не от каких-то реальных Пети и Миши, а от киношных советских спутников, которые фигурируют в одном из фильмов об агенте 007 Джеймсе Бонде ("GoldenEye" или "Золотой глаз", 1995). В декабре 2016 появится новый вымогатель. получивший название из того фильма, это GoldenEye Ransomware. GoldenEye по фильму - это название советского космического оружия, частью которого и являются спутники-близнецы. Спутник Petya выходит на орбиту в первой половине фильма, а Mischa во второй половине, ближе к концу фильма. 
Примечательно, что по-английски имя Миша пишется как Misha, а по-немецки Mischa, но фильме на экране монитора указано именно Mischa, и именно так написано название вымогателя в оригинале. 
Порядковое название данной версии: Petya-2 или Petya 2.0

К зашифрованным файлам Mischa добавляет четырёхсимвольное расширение, т.е. .<random{4}>

Примеры расширений: 
.7GP3
.A3BN
.KJP8

Активность этого крипто-вымогателя пришлась на первую половину мая 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: YOUR_FILES_ARE_ENCRYPTED.TXT и YOUR_FILES_ARE_ENCRYPTED.HTML

Содержание записки о выкупе:
You became victim of the MISCHA RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://mlschapuk6hyrn72.onion/7RP8fM
xxxx://mischa5xyix2mrhd.onion/7RP8fm
3. Enter your personal decryption code there:
17RP8fM*****

Перевод записки на русский язык:
Вы стали жертвой MISCHA RANSOMWARE!
Файлы на вашем компьютере были зашифрованы с помощью алгоритма шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице тёмной сети, указанной на шаге 2.
Чтобы приобрести ключ и восстановить свои данные, выполните следующие три простых действия:
1. Загрузите Tor-браузер со страницы "https://www.torproject.org/" Если вам нужна помощь, то погуглите для "доступа к onion-сайтам".
2. Посетите одну из следующих страниц с помощью Tor-браузера:
хххх://mlschapuk6hyrn72.onion/7RP8fM
хххх://mischa5xyix2mrhd.onion/7RP8fm
3. Введите ваш личный код дешифрования:
17RP8fM*****


Страницы Tor-сайта вымогателей:




Технические детали

Установщик Petya+Mischa распространяется через фишинговые email-рассылки (email-спам). Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exeСм. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Когда жертва по неосторожности запускает этот файл, то сначала в системе пытается получить админ-права и установиться Petya, чтобы изменить MBR, а если это невозможно (потому что права пользователя ограничены или на запрос UAC он ответил "Нет"), то устанавливается шифровальщик Mischa, которому админ-права не нужны. 

Если же пользователь ответит "Да", то всё равно вредонос запустится и установит вредоносный модуль Petya для модификации MBR. Тогда всё произойдет, как ранее описано в статье Petya Ransomware, только на этот раз при загрузке компьютера будет показано стилизованное изображение черепа с костями на зелёно-чёрном фоне. Текст записки о выкупе будет написан зелёными буквами на чёрном фоне. 




Вредоносные действия Mischa Ransomware

При установке Mischa будет сканировать компьютер на наличие определённых файлов, которые будет шифровать с помощью AES-алгоритма, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.7GP3. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла. 

Список файловых расширений, подвергающихся шифрованию Misha Ransomware:
.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .dds, .default, .der, .dfm, .directory, .disc, .dll, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .exe, .fff, .flv, .frm, .gfx, .gif, .gzip, .htm, .html, .ico, .idl, .iiq, .indd, .inf, .ini, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lib, .lit, .lnk, .localstorage, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p7b, .p7c, .pages, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pspimage, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .tiff, .toast, .ts,.txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip (240 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Обратите внимание, что среди шифруемых файлов есть EXE-файлы. Это значит, что никакая программа не запустится, но и сама Windows уже не сможет загрузиться. Уплата выкупа бесполезна. 

Misha не шифрует файлы, находящиеся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome, по-видимому это нужно, чтобы скрыть своё присутствие до некоторого времени.

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT
PDFBewerbungsmappe.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Коллекция образцов Petya за всё время (см. вкладку "Родство") >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


💫💫💫

Примечание 1.
💀 Примечательно, что оба крипто-вымогателя получили "взрослые" имена Пётр и Михаил только в "Лаборатории Касперского": это Trojan-Ransom.Win32.Petr и Trojan-Ransom.Win32.Mikhail
У других антивирусов они в детекте просто Petya и Mischa. 🙆🙌



 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Topic of Support
 Video review, Video review-2
 Thanks: 
 Lawrence Abrams
 CyberSecurity GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Shujin

Shujin Ransomware


(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует документы китайских пользователей, а затем требует 1 биткоин, чтобы вернуть файлы обратно. Другое название: KinCrypt

  Записка о выкупе "文件解密帮助.txt" (Help file decryption.txt) помещается на Рабочем столе C:\Users\MMD\Desktop\文件解密帮助.txt . Содержит информацию о том, что случилось с файлами, и подробную инструкцию о том, как вернуть эти файлы.



  Имеется предупреждение от вымогателей: 
Не используйте антивирусное ПО или другие инструменты для проверки ПК и восстановления зашифрованных файлов, потому что антивирус может удалить специальный зашифрованный файл, который нельзя будет восстановить. 

Содержимое инструкции для возврата файлов: 
- скачать и запустить китайскую версию TOR-браузера для подключение к onion-сайту;
- открыть специальный веб-сайт "eqlc75eumpb77ced.onion";
- скопировать машинный код из "Help file decryption.txt";
- отправить оператору вымогателя;
- получить Bitcoin-адрес для уплаты выкупа;
- добыть биткоины согласно инструкции;
- уплатить выкуп на данный Bitcoin-адрес;
- проверить состояние платежа;
- получить ссылку для загрузки декриптера Decrypt.exe;
- получить с его помощью ключ дешифрования;
- ввести этот ключ в специальное поле;
- нажать кнопку "Дешифровать мои файлы". 


 


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.Shujin >>
TrendMicro обзор >>

Степень распространённости: высокая. 
Подробные сведения собираются. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *