NullByte Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение _nullbyte (без точки). Например, файл test.jpg станет файлом test.jpg_nullbyte.
Название вымогателя в данной статье происходит от слова, добавляемого к зашифрованным файлам. Распространяемый через рипаки вредонос имеет название Necrobot.Rebuilt.
© Генеалогия: DetoxCrypto > Serpico > NullByte
Под угрозой распространения вымогателей на основе DetoxCrypto и Serpico находятся пользователи из следующих стран: Италия, Испания, Бельгия, Бразилия и пр.
Записками с требованием выкупа выступают скринлок, встающий обоями рабочего стола, и блокировщик экрана. Далее использую лишь текст с изображения. Текст на блокировщике экране вроде бы тот же.
Скринлок, встающий обоями рабочего стола
Блокировщик экрана, требующий выкуп
Содержание текста о выкупе со скринлока:
All of your personal files have been encrypted.
The only way you can get your information back is to purchase your decryption key.
The current price is set for 0.1 BTC (USD$57.6) and will be released to you upon successful completion of your transfer to us
Our wallet address is: 1HpVz6uSgVjQxzJCeGgwYTbNAaD9tByR4u
and if you are using a BitCoin phone app, you can scan this QR code to transfer us funds.
The more popular BitCoin phone apps include Circle, Coinbase and Airbitz.
To find our more information on BitCoins, and what they are, please do a youtube search.
To put in a decryption key request, please use the application called Decrypt Info on your desktop, it is the same application that opened upon completion of filesystem encryption.
We apologize for the invonvinience and will release your decryption key as soon as you transfer funds to our BitCoin Wallet.
Перевод текста на русский язык (без исправления огрех в оригинале):
Все ваши личные файлы были зашифрованы.
Только одним путём вы можете получить информацию обратно - купить ключ дешифрования.
Текущая цена 0,1 BTC (USD $ 57,6) выставлена вам после успешного завершения вашей передачи к нам
Наш адрес кошелька: 1HpVz6uSgVjQxzJCeGgwYTbNAaD9tByR4u
и если у вас есть Bitcoin phone app, то сосканьте этот QR-код для передачи нам средств.
Популярные Bitcoin phone app включают в себя Circle, Coinbase и Airbitz.
Для поиска подробной информации о биткоинах, пожалуйста, поищите на YouTube.
Для запроса ключа дешифрования, пожалуйста, используйте Decrypt Info на рабочем столе, это одно и то же приложение, которое открыто по окончании шифрования файлов.
Мы приносим извинения за неудобства и пришлем ключ дешифрования, как только придут деньги на наш Bitcoin-кошелек.
Распространяется вымогатель из проекта Github через перепакованное ПО Necrobot (программа для накрутки в PokemonGo), называя себя "Necrobot.Rebuilt". Эта программа запрашивает данные из учетной записи, чтобы делать накрутки, но на самом деле собирает учетные данные и загружает их на FTP-сервер.
Злоумышленники видимо считают, что из Github приложение NecroBot люди будут скачивать чаще, думая, что это законное использование.
Когда кто-то загрузит и запустит приложение, то оно откроет стандартный интерфейс NecroBot и попросит жертву выполнить вход. Если вводится какая-либо информация (реальная или фиктивная) и кнопка Login нажимается, то программа попытается войти в систему на серверах NecroBot. При этом на заднем плане шифровальщик уже начинает шифровать файлы жертвы.
Когда шифрование будет закончено, вымогателем будет выведен экран блокировки, который потребует от пользователя заплатить 0.1 BTC за дешифровку файлов.
Во время работы криптовымогатель завершает процессы chrome, firefox, iexplore, opera, cmd, taskmgr, чтобы усложнить удаление компонентов криптовымогателя или затруднить жертве поиск помощи в Интернете.
Крипто-вымогатель сохраняет скриншот текущего пользовательского рабочего стола Windows и загружает его на свой командно-контрольный сервер. Переданный скриншот обычно используется злоумышленниками и вымогателями для оценки навара, кражи информации или шантажа.
%USERPROFILE%\Documents
%USERPROFILE%\Downloads
%USERPROFILE%\Favorites
%USERPROFILE%\Pictures
%USERPROFILE%\Music
%USERPROFILE%\Videos
%USERPROFILE%\Contacts
%USERPROFILE%\Desktop
Файлы, связанные с NullByte Ransomware:
%UserProfile%\Desktop\DecryptInfo.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost32.exe
%UserProfile%\Documents\bg.jpg
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DecryptInfo.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\enhost32.exe
Сетевой трафик NullByte Ransomware:
хттпs://tools.feron.it/php/ip.php
фтп://ftp.taylorchensportfolio.netai.net/DECRYPTINFO-LAUNCHED
фтп://ftp.taylorchensportfolio.netai.net/DECRYPT-REQUEST
Степень распространённости: низкая.
Подробные сведения собираются.
Внимание!
Для зашифрованных файлов есть декриптер.
В Nullbyte Decrypter требуется указывать полный путь к профилю пользователя, который был заражен, поэтому перед дешировкой нужно убедиться в правильности пути. Если дешифруются файлы с другого компьютера (с диска из другого ПК), нужно будет предоставить точный путь к профилю через Settings -> Set Profile Path (например, "C:\Users\User_Name").
© Amigo-A (Andrew Ivanov): All blog articles.