Если вы не видите здесь изображений, то используйте VPN.

пятница, 23 сентября 2016 г.

UnblockUPC

UnblockUPC Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 0,18 биткоина или 100 евро, чтобы разблокировать файлы. Название получил от адресов сайтов вымогателей - unblockupc

К зашифрованным файлам добавляется не расширение, а приставка enc.
Пример зашифрованных файлов с приставкой "enc"

Записки с требованием выкупа называются: 
   Files encrypted.txt с текстом и uid.txt с идентификатором во всех папках с зашифрованными файлами;
   скринлок, встающий обоями с аналогичным текстом;
   веб-страницы с расширенным вариантом вымогательского текста.
Текстовые файлы Files encrypted.txt и uid.txt

Записки и exe-файлы (decryptor.exe и einfo.exe) размещаются на рабочем столе, в Документах, в %Temp%, %Users\User_Name\AppData%, %ProgramData% и некоторых других местах системы. 

Содержание записки о выкупе "Files encrypted.txt":
You used to download illegal files from the internet.
Now all of your private files has been locked and encrypted!
To unblock them visit one of these websites:
http://unblockupc.xyz
http://unblockupc.in
http://unblockupc.club
http://moscovravir.ru
http://213.167.243.215
http://185.45.192.17
Your UID: *****

Перевод записки на русский язык (без коррекции):
Ты использовал загрузки нелегальных файлов из Интернета.
Теперь все твои личные файлы блокированы и шифрованы!
Для разблокировки их посети один из этих сайтов:
хттп://unblockupc.xyz
хттп://unblockupc.in
хттп://unblockupc.club
хттп://moscovravir.ru
хттп://213.167.243.215
хттп://185.45.192.17
Твой UID: *****

На указанных выше сайтах можно прочесть подробные требования о выкупе.

Текст со скриншота (красным выделены файлы с ошибками):
Here you can ublock your files
You probably used to download illegal files from the internet...
Well, that's why we encrypted all your private files on your computer.
But fortunately you can ublock them for just... ~100 EURO (0.18 BTC)
I know, you probably don't want to pay but belive me, it's pretty good opportunity for you! We had access to all your private files, your email, facebook, bank account, sometimes credit cards... And we only decided to encrypt your files and get 100 euro, we are not so bad!
There is no other way to unlock your files than paying us. If you want to do this, follow these steps:
1. First of all, we need to know your UID, it is your unique identyfication number, your unlock password is connected with these uid. It is located in uid.txt file on your Desktop or in My Documents/Documents folder.
2. Now you need to put your UID below and press submit
---
This page will work only until 1.10.2016 so better hurry up.
After 1.10.2016 you won't be able to unlock your files

Перевод на русский язык:
Здесь ты можешь ublock файлы
Ты делал загрузки нелегальных файлов из Интернета ... 
Потому мы зашифрованы все твои личные файлы на компьютере. 
Но, к счастью, ты можешь ublock их за... ~100 EURO (0.18 BTC) 
Я знаю, ты, наверно, не хочешь платить, но верь мне, это лучшая возможность для тебя! Мы получили доступ ко всем твоим личным файлам, email, facebook, банковский счет, кредитные карты... И мы лишь решили зашифровать твои файлы и взять 100 евро, мы не так плохи! 
Нет иного способа разлочить файлы, чем заплатить нам. Если ты согласен, сделай эти шаги: 
1. Сначала, мы должны знать твой UID, это твой уникальный номер идентификации, твой пароль разлочки связан с этим UID. Он есть в файле uid.txt на рабочем столе или в папке Мои документы / Документы. 
2. Теперь тебе нужно вставить UID ниже и нажать отправить
---
Эта страница будет работать только до 1.10.2016, так что поторопись. 
После 1.10.2016 ты не сможешь разлочить файлы

Слова с ошибками в английском тексте я пометил красным, например: ublock [unlock - разлочить].

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Распространение вышло за рамки одной страны, пострадавшие есть в Европе, США, Японии...

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mm, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, .n64, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sq, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xm, .zip (169 расширений). 

Пропускаются файлы с расширением .txt, т.к. используются текстовые записки с текстом вымогателей и UID, сгенерированным для ПК. 

Файлы, связанные с Ransomware:
C:\Users\User_Name\AppData\Local\Temp\D68E8D0-AB5E775-FC244EF7-7E79FE21
C:\Users\User_Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe
C:\Users\User_Name\AppData\Roaming\uid.txt
%Temp%\einfo.exe
C:\Users\User_Name\Desktop\decryptor.exe
C:\Users\User_Name\Desktop\uid.txt
C:\Users\User_Name\Desktop\Files encrypted.txt
C:\Users\User_Name\Documents\Files encrypted.txt
C:\Users\User_Name\Documents\decryptor.exe
C:\Users\User_Name\Documents\uid.txt
C:\Users\User_Name\Documents\einfo.exe
C:\ProgramData\uid.txt
C:\ProgramData\encfiles.log
C:\ProgramData\encinfo.jpg
C:\ProgramData\uid.txt
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
... и другие.

Если запустить файл decryptor.exe, то он потребует ввести 16-значный "секретный код", который можно получить на указанных выше сайтах вымогателей. При моей проверке они открывались все. 

Файл einfo.exe может находиться во временных директориях Temp и самоудаляется, если жертвой запускается decryptor.exe. Последний нужен только для того, чтобы отобразить перед жертвой записку с требованием выкупа, поэтому это совсем не дешифровщик. 

Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***

Детект на VirusTotal на файл decryptor.exe >>

Степень распространённости: высокая.
Подробные сведения собираются.

https://id-ransomware.malwarehunterteam.com/index.php
http://www.bleepingcomputer.com/forums/t/627582/unblockupc-ransomware-help-support-topic-files-encryptedtxt/
https://www.pcrisk.com/removal-guides/10521-unblockupc-ransomware
Thanks:
Michael Gillespie (Demonslay335)
Lawrence Abrams (Grinler)
Tomas Meskauskas by PCrisk

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 21 сентября 2016 г.

Mobef-Parisher

Mobef-Parisher Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные на взломанных серверах, а затем требует написать на почту вымоагтелей, приожить к письму 1 зашифрованный файл не более 1 МБ и файл с ключом, а также уплатить выкуп в 5 биткоинов, чтобы получить дешифровщик и вернуть файлы. Название получил от логина почты вымогателей.

© Генеалогия: Mobef >> Mobef-Parisher 

К зашифрованным файлам никакое расширение не добавляется. Файлы не переименовываются. 

Активность этого криптовымогателя пришлась на сентябрь-ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа в зависимости от разных атак могут называться по разному, например:
1NFORMAT1ONFOR.YOU
HELLO.0MG

К ним прилагается специальный файл, видимо с открытым ключом шифрования, который может иметь разные названия, например: 
ENCRYPT1ON.KEY123
LOKMANN.KEY993

Содержание текста о выкупе:
ID:255482
PC:SERVER08
USER:Administrator
---
Hello there. I can decrypt your files.
Email me: parisher@protonmail.com
In case you don’t get a reply, please email me here*:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com
* check your junk/spam folder first though
These files have been encrypted (please, keep this .log): C:\Windows\255482.log

Перевод текста на русский язык:
ID:255482 (идентификатор)
PC:SERVER08 (имя машины)
USER:Administrator
---
Привет. Я могу дешифровать твои файлы.
Напиши мне: parisher@protonmail.com
В случае, если ты не получил ответ, то напиши мне сюда *:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com
* проверь папку хлам / спам сначала
Эти файлы зашифрованы (только сохрани этот .log): C:\Windows\255482.log

Распространяется с помощью эксплойтов, перепакованных и заражённых инсталляторов, главным образом выявляются уязвимые серверы и при помощи утилиты для работы по протоколу RDP атакуется 3389 порт. 

Известные email вымогателей: 
parisher@protonmail.com
parisher@india.com
parisher@inbox.lv
parisher@mail.bg

После шифрования удаляются тома теневых копий файлов и точки восстановления системы, в том числе на подключенных дисках. Есть также сообщения, что удаляются все имеющиеся резервные копии и резервные копии NAS или внешних накопителей. 

Список файловых расширений, подвергающихся шифрованию:
 .3d, .3dm, .3ds, .3g2, .3gp, .7z, .abk, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bac, .bak2, .bak, .bak3, .bat, .bin, .bkp, .bmp, .bup, .cab, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .old, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd, .vcf, .vob, .wav, .wbb, .wma, .wmv, .wpd, .wps, .wsf, .xhtml, .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (163 расширения) и другие
Это документы, базы данных, бэкапы, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
C:\Windows\<6_digit_number>.log например, 255482.log - список зашифрованных файлов
ENCRYPT1ON.KEY123 или LOKMANN.KEY993 - нужно приложить к письму
HELLO.0MG или 1NFORMAT1ONFOR.YOU - сообщение для жертвы

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Voluntary contribution wished to remain anonymous
 ID Ransomware (ID under Mobef)
 *
 *
 Thanks: 
 Unknown assistant
 Michael Gillespie
 Mihay Ice
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fs0ciety Locker

Fs0ciety Locker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 CBC и 32-байтного ключа. Новый 16-байтный идентификатор генерируется для каждого файла и сохраняется в его заголовке. Вымогатели требуют выкуп в 1,5 биткоинов в течение 24 часов, чтобы вернуть файлы. Оригинальное название: Fs0ciety, указано в записке. Там же упоминанется и как Fs0ci3ty. Написан на Python. 
---
Обнаружения: 
BitDefender -> Generic.Ransom.Python.SocCrypt.D175215F
ESET-NOD32 -> Python/Filecoder.F
Kaspersky -> Trojan-Ransom.Python.Agent.c
Microsoft -> Ransom:Win32/Ranscrape
Symantec -> ML.Attribute.HighConfidence
TACHYON -> Ransom/W32.FsocietyLocker.9045323
Tencent -> Win32.Trojan.Raasmd.Auto
TrendMicro -> Ransom_SociePy.A
---
© Генеалогия: Fs0ciety Locker > SD Ransomware
!!! Не путайте с вымогателем FSociety Ransomware

К зашифрованным файлам добавляется расширение .realfs0ciety@sigaint.org.fs0ciety

Оригинальное имя файла вместе с оригинальным раширением сохраняются. Таким образом после шифрования файл document.doc станет document.doc.realfs0ciety@sigaint.org.fs0ciety

Шаблон: <original_filename>.realfs0ciety@sigaint.org.fs0ciety

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. 

Записка с требованием выкупа называется fs0ciety.html и размещается на рабочем столе. 


Содержание записки о выкупе:
Welcome To Fs0ci3ty
realfs0ciety@sigaint.org
You Will need to make a Payment of 1.5 Bitcoins within the next 24 Hours or Ransome goes to 1 Btc more daily. Your File System has been encrypted using state of the art Technology 
You may already understand how this works, if you do good but if you are confused or are unaware of how this works we are hoping to be more informative with our clients. 
Buying bitcoins can be very hard to do, so to make this more trust worthy than most we are going to have a secure cold payment system set up that will allow us to secure bitcoins. 
As well as a different wallet address per client, each user is given a unique identifier by the server that is used to track distributed keys as well wallet addresses assigned. 
You can head to http://localbitcoins.com/ and create a new account in seconds flat, than go to the wallet and send 1.5 btc to the address you were given in the ransome message 
you will use the bitcoin you get through local bitcoins to pay to the unique wallet we gave you the identifier in the bottom left of this page is tied to your key contact us via email

Перевод записки на русский язык:
Добро пожаловать в Fs0ci3ty
realfs0ciety@sigaint.org
Вам нужно внести платеж в размере 1.5 биткоина в течение 24 часов или выкуп станет расти на 1 BTC ежедневно. Ваша файловая система была зашифрована с использованием самой современной технологии.
Вы можете понять, как это работает, если всё делаете хорошо, но если вы запутались или не знаете, как это работает, мы надеемся быть более информативными с нашими клиентами.
Покупка биткоинов может показаться трудной, чтобы сделать это проще и безопаснее, мы настроим безопасную платежную систему, что позволит нам безопасно получить биткоины.
А также другой адрес кошелька на одного клиента, каждому пользователю присваивается сервером уникальный идентификатор, который используется для отслеживания распределяемых ключей, присвоенный также адреса кошелька.
Вы можете отправиться в http://localbitcoins.com/ и создать новую учетную запись за секунды, перейти к кошельку и отправить 1.5 btc по указанному в сообщении о выкупе адресу.
Вы будете использовать биткоины, вы сможете через местные биткоины заплатить на уникальный кошелек, мы дали вам идентификатор в нижней левой части этой страницы, привязан к вашему ключу, свяжитесь с нами по email.


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, в том числе документов с  вредоносными макросами, фальшивых обновлений, перепакованных и заражённых инсталляторов.

После шифрования Fs0ciety Locker удаляет тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:
популярные типы файлов. 

Файлы, связанные с Ransomware:
C:\Users\Ricoh\driver_update.exe 
discovered.txt - содержит список файлов, которые будут зашифрованы;
fs0ciety.html - записка о выкупе;
Invoice_payment.docm - документ с вредоносным макросом. 


Результаты анализов:
VirusTotal анализ >>
Гибридный анализ >>
VirusTotal анализ на файл Invoice_payment.docm

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
ID Ransomware
Tweet on Twitter
Topic on BC + Write-up on BC
 Thanks: 
 Michael Gillespie
 xXToffeeXx (PolarToffee)
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

Usr0

Usr0 Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует отправить письмо вымогателям, чтобы получить дешифратор. Сумма выкупа  называется разная: 0,5... 1,24... 1,5 биткоинов. Название от добавляемого к файлам расширения.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .usr0

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Важная информация.txt

Содержание записки о выкупе:
Для того, чтобы узнать, как получить дешифратор, отправте номер 3769660 в письме на адрес usr0@riseup.net. 
Ни в коем случае не используйте сторонние дешифраторы, т.к. файлы будет невожно восстановить. 
Если Вы решили попробовать восстановить информацию своими силами, то сделайте сначала резервные копии.

Ошибки в тексте:
отправте 
невожно 

Перевод записки на английский язык:
To learn how to get the decoder, number 3769660, send in a letter to the address usr0@riseup.net.
In no case do not use third-party decoders, because files can not be restored.
If you decide to try to recover information on their own, you must first back up.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.3d, .3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bat, .bin, .bmp, .cab, .cad, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .encoded, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gis, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .wsf, .xhtml., .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (158 расширений). 

Файлы, связанные с Usr0 Ransomware:
Важная информация.txt
1cv8s.exe
<random>.exe

Записи реестра, связанные с Usr0 Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 19 сентября 2016 г.

MarsJoke, Runner, Polyglot

MarsJoke Ransomware

Aliases: JokeFromMars, Runner, Polyglot 


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме ECB), а потом требует выкуп в 0,7 или 1,1 биткоина, чтобы вернуть файлы. Оригинальное название: Runner. Примечательно, что ни одна (!) антивирусная компания не упомянула его в своих отчетах. 
---
Обнаружения: 
DrWeb -> Trojan.Encoder.5704
ALYac -> Trojan.Ransom.Filecoder
BitDefender -> Trojan.Mikey.DD2C1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHO
Kaspersky -> Trojan-Ransom.Win32.Polyglot.a
Kingsoft -> Win32.Troj.Generic_a.a.(kcloud)
Malwarebytes -> Generic.Malware/Suspicious
Microsoft -> Ransom:Win32/Polyglot.A
Qihoo-360 -> Win32/Ransom.Generic.HwkA1BgB
Rising -> Ransom.Polyglot!8.DD61 (CLOUD)
Symantec -> Ransom.MarsJoke
Tencent -> Win32.Trojan.Polyglot.Gbs
TrendMicro -> Ransom_JOKEMARS.A
---

© Генеалогия: более ранние варианты >> MarsJoke (Runner, Polyglot)

История названия 
1) Название JokeFromMars получил от мьютекса (строки в исходном коде) "HelloWorldItsJokeFromMars", найденного в образцах вредоноса. Фразу из мьютекса можно перевести так: "Привет, народ, это шутка от Марса". Марс или Марсель - это имя, популярное в разных странах, в их числе Италия, Франция и Россия (среди татарского населения). Позже в ID Ransomware закрепилось международное название: MarsJoke. 

2) Другие название: фальшивый CTB-Locker, Zip-Locker или Polyglot

3) Антивирусные компании любят давать исследованным вредоносам свои псевдо-словарные названия, отчего возникает неразбериха. Так аналитики ЛК дали этому шифровальщику название Polyglot (Trojan-Ransom.Win32.Polyglot.a), хотя есть как минимум ещё три крипто-вымогателя с похожим многоязычным интерфейсом, среди которых данный "полиглот" в меньшей степени. К тому же в ЛК написали статью гораздо позже первых исследователей, когда в мире уже устоялись и JokeFromMars, и MarsJoke, и моя статья была опубликована (см. дату). Потому я лишь добавил в конце своей статьи небольшой абзац из статьи ЛК о шифровании и ссылку на их декриптор. 

   Данный крипто-вымогатель впервые был обнаружен в конце августа 2016 г., но лишь в третьей декаде сентября дал о себе знать активным распространением в спам-кампаниях. Целями, главным образом, являются государственные учреждения, государственные органы местного самоуправдения и образовательные учреждения в США. Гораздо меньше были затронуты учреждения здравоохранения, телекоммуникации, страхование, производство и пр. 

После запуска жертвой заражённого файла как бы ничего не происходит, но в это время вредонос копируется под случайными именами в несколько мест в системе, прописывается в Автозапуск, а также в TaskScheduler. После установки начинается шифрование файлов. 

Внешне зашифрованные пользовательские файлы не меняются, но открыть их не получится. Содержимое шифруемых файлов сначала упаковывается в ZIP-архив, а затем шифруется AES-256. 

К шифруемым файлам добавляется расширение .a19 или .ap19 на момент шифрования файлов, а по окончании шифрования специальное расширение убирается, чтобы запутать пострадавших. 

Буквально так:
file_name.jpg > file_name.a19 или picture.ap19 > file_name.jpg

Пример смены расширения в процессе шифрования

По неизвестным причинам иногда расширения .a19, .ap19 у зашифрованных файлов всё же остаются. 

Записки с требованием выкупа называются: 
ReadMeFilesDecrypt!!!.txt
!!! For Decrypt !!!.bat
!!! Readme For Decrypt !!!.txt

Они размещаются в самых разных местах, например, в этих:


Кроме них с целью информирования жертвы и подведения её к уплате выкупа вымогателями используются скринлок, встающий обоями рабочего стола и блокировщик экрана с кнопками управления.


Содержание записки о выкупе:
Your personal files are encrypted !!!
Your documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this computer. 
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key. 
If you see the main locker window follow the instructions on the locker. Otherwise, it's seems that you or you antivirus deleted the locker program. Now you have the last chance to decrypt your files. 
Open site http://rd7v7mhidgrulwqg.onion.link or http://rd7v7mhidgrulwqg.torlink.co or http://rd7v7mhidgrulwqg.onion.to in your browser. They are public gates to the secret server. 
If you have problems with gates, use direct connection: 
1.Download Tor Browser from http://torproject.org/ 
2.In the Tor Browser open the rd7v7mhidgrulwqg.onion
Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable. 
3.Copy and paste the following public key in the input form on server. Avoid misprints. 
7B4E8A-A0C141-43B58C-674143-269A32-E0WPXP
BYKCAY-BZBYNW-BYKCAY-CZCLEN-NPMPMW-PNXSEM
0F065F-78F599-78E59C-4FBC7E-3423D5-1A9390
4.Follow the instructions on the server. 
These instructions are also saved to the file named ReadMeFilesDecrypt!!!.txt in Documents folder. You can open it and use copy-paste for address and key.

Перевод записки на русский язык:
Ваши личные файлы зашифрованы !!!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с сильным алгоритмом шифрования AES-256 и уникальным ключом, сохданным для этого компьютера.
Секретный ключ дешифрования хранится на секретном интернет-сервере и никто не дешифрует файлы, пока не платите и получите ключ дешифрования.
Если вы видите главное окно локера, следуйте инструкциям на локере. Иначе, может вы или антивирус удалили программу локера. Теперь у вас есть последний шанс, чтобы дешифровать файлы.
Откройте хттп://rd7v7mhidgrulwqg.onion.link или хттп: //rd7v7mhidgrulwqg.torlink.co или хттп: //rd7v7mhidgrulwqg.onion.to в вашем браузере. Они открывают путь на секретный сервер.
Если есть проблемы с открытием, используйте прямое подключение:
1. Загрузите Tor-браузер из хттп: //torproject.org/
2. В Tor-браузере откройте rd7v7mhidgrulwqg.onion
Заметьте, этот сервер доступен только в Tor-браузер. Пробуйте через 1 час, если сайт недоступен.
3. Копируйте и вставьте следующий открытый ключ в форме ввода на сервере. Избегайте опечаток.
7B4E8A-A0C141-43B58C-674143-269A32-E0WPXP
BYKCAY-BZBYNW-BYKCAY-CZCLEN-NPMPMW-PNXSEM
0F065F-78F599-78E59C-4FBC7E-3423D5-1A9390
4. Следуйте инструкциям на сервере.
Эти инструкции также сохраняются в файл с именем ReadMeFilesDecrypt !!!. TXT в папке Документы. Вы можете открыть его и оттуда копировать-вставить адрес и ключ.

Кроме того, что рисунок рабочего стола изменяется, появляется еще экран бокировки с требованием выкупа. Он доступен на нескольких языках (английском, русском, итальянском, испанском и украинском). Пострадавшим даётся 96 часов на уплату выкупа, после чего файлы будут удалены.

Блокировщик экрана поверх скринлока, вставшего обоями

Пострадавший, перешедший на Tor-сайт, должен вставить ключ в форме ввода на сайте, чтобы открыть нужную информацию по уплате выкупа. 


Лишь потом откроется следующее окно, в котором есть кнопки-флажки для переключения с английского языка на русский и итальянский. 


Распространяется с помощью email-спама и вредоносных exe-вложений, ссылок на зараженные архивы и сайты, с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов. Поставщиками шифровальщика могут выступать ботнеты, например, Kelihos (Waledac).

Что касается графического исполнения, этот крипто-вымогатель во всем подражает другому известному шифровальщику CTB-Locker, но общего кода у них не найдено. Но разработчики сделали всё так, чтобы внешне работа их детища выглядела как результат атаки CTB-Locker, а пользователи реально испугались и погуглив потеряли всякую надежду на бесплатное восстановление своих файлов.

Список файловых расширений, подвергающихся шифрованию:
.7z, .backup, .backupdb, .doc, .docx, .dotm, .jpeg, .jpg, .mpg, .pdf, .ppt, .psd, .rar, .txt, .xlm, .zip (16 расширений). 

Файлы, связанные с MarsJoke Ransomware:
sysmonitor.exe - исполняемый файл вымогателя
ReadMeFilesDecrypt!!!.txt
!!! For Decrypt !!!.bat
!!! Readme For Decrypt !!!.txt
[All_first_level_directories]\!!! For Decrypt !!!.bat
[All_first_level_directories]\!!! Readme For Decrypt !!!.txt
%UserProfile%\My Documents\[Random_characters].bmp
%UserProfile%\My Documents\[Random_characters].exe
%UserProfile%\My Documents\My Music\[Random_characters].exe
%UserProfile%\Start Menu\Programs\Startup\[Random_characters].exe
%UserProfile%\Start Menu\Programs\Startup\x.vbs
%Users%\Public\Music\<Random_8_characters>.exe
%AllUsersProfile%\Documents\!!!ForDecrypt!!!.exe
%AllUsersProfile%\Documents\!!!ForDecrypt!!!.exe
%AllUsersProfile%\Documents\[Random_characters].exe
%AllUsersProfile%\Documents\My Music\[Random_characters].exe
%AllUsersProfile%\Documents\My Pictures\[Random_characters].exe
%AllUsersProfile%\Documents\My Videos\[Random_characters].exe
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup\<random_name_64_chars>.exe
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup\<random_name_8_chars>.exe

MarsJoke создает следующие записи в реестре, чтобы запускаться при каждом запуске Windows: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%AllUsersProfile%\Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%AllUsersProfile%\Documents\My Pictures\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%AllUsersProfile%\Documents\My Videos\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%AllUsersProfile%\Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%UserProfile%\My Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%UserProfile%\My Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%AllUsersProfile%\Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%AllUsersProfile%\Documents\My Pictures\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%AllUsersProfile%\Documents\My Videos\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%AllUsersProfile%\Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%UserProfile%\My Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%UserProfile%\My Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"Run" = "%UserProfile%\My Documents\[Random_chars].exe"

MarsJoke создает следующие записи реестра: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\!!!ForDecrypt!!!.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Music"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Pictures"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Pictures\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Videos"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Videos\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\My Documents\My Music"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\My Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\My Documents"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\My Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "explorer.exe,%UserProfile%\My Documents\[Random_chars].exe"

Сетевые подключения и связи:
103.198.0.2:80 (Сингапур)
54.225.210.40 (США)
jjuwnj2ejjmafg74.onion.link/n.php
jjuwnj2ejjmafg74.onion.nu/decrypter.exe
lj7qcktsne4nftzn.onion.link/index1.html
24fkxhnr3cdtvwmy.onion.link/
xiwayy2kn32bo3ko.onion.link/test/read.cgi/tor/1428194957/l50 
deepdot35wvmeyd5.onion.link/2015/02/
drec5tbop7q6uwvz.onion.link
kr36yggvf2kpps2k.onion.link
kauy4vb5tep6mhfc.onion.link
buxnfuoim27a3yvh.onion.link
rf2rnm5nbkxnkhua.onion.link

Обновление из статьи ЛК от 30 сентября:
Вредонос Polyglot зашифровывает файлы в три этапа, с созданием промежуточных файлов:
- сначала оригинальный файл помещается в запароленный zip-архив, созданный архив имеет имя оригинального файла, но расширение «a19»;
- созданный запароленный архив Polyglot зашифровывает алгоритмом AES-256-ECB, получившийся файл опять же имеет имя оригинального файла, но расширение на этот раз – «ap19»;
- далее зловред удаляет оригинальный файл и файл с расширением «a19», а расширение зашифрованного архива меняет с «ap19» на расширение оригинального файла.

Внимание! 
Для зашифрованных файлов есть декриптор


VirusTotal анализ >>
Malwr анализ >>
Гибридный анализ >>
Symantec: Ransom.MarsJoke >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links:
 ID Ransomware
 Tweet on Twitter
 PCrisk blog
*
Added later: 
Proofpoint overview
Symantec Security Response
 Thanks:
 Darien Huss (Proofpoint)
 Michael Gillespie (aka Demonslay335)
 Tomas Meskauskas (PCrisk)
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *