Locky-Odin Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель является новой версией крипто-вымогателя Locky, отличающейся по ряду признаков.
This Locky's logo was developed on this site
К зашифрованным файлам добавляется расширение .odin.
Название зашифрованного файла меняется особым образом. Например, после шифрования файл test.jpg станет 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin
Название получил от добавляемого расширения с указанием на основного крипто-вымогателя. То есть основным является Locky, а с расширением .odin распространяется всего лишь его новая итерация.
Записки с требованием выкупа называются:
_HOWDO_text.html,
_HOWDO_text.bmp,
_[2_digit_number]_HOWDO_text.html
Содержание записки о выкупе:
!!! IMPORTANT INFORMATION!!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxx://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxx://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
hxxxs://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxx://jhomitevd2abj3fk.onion.to/D56F3331E80*****
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Follow the instructions on the site.
!!! Your personal identification ID: D56F3331E80***** !!!
Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ!!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Подробную информацию о RSA и AES можно найти здесь:
hxxx://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxx://en.wikipedia.org/wiki/Advanced Encryption Standard
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы расшифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
hxxxs://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxx://jhomitevd2abj3fk.onion.to/D56F3331E80*****
Если все эти адреса недоступны, сделайте следующие действия:
1. Загрузите и установите Tor Browser:
hxxps://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Следуйте инструкциям на сайте.
!!! Ваш персональный идентификационный ID: D56F3331E80 ***** !!!
Распространяется с помощью email-спама и вредоносных вложений, упакованных в архив, внутри которых находятся wsf-файлы (ws или js). Если получатель дважды кликнет на один из этих файлов сценариев, то будет загружен зашифрованный инсталлятор DLL, затем дешифрован и запущен с помощью легитимной программы для Windows под названием Rundll32.exe.
Название получил от добавляемого расширения с указанием на основного крипто-вымогателя. То есть основным является Locky, а с расширением .odin распространяется всего лишь его новая итерация.
Записки с требованием выкупа называются:
_HOWDO_text.html,
_HOWDO_text.bmp,
_[2_digit_number]_HOWDO_text.html
Содержание записки о выкупе:
!!! IMPORTANT INFORMATION!!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxx://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxx://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
hxxxs://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxx://jhomitevd2abj3fk.onion.to/D56F3331E80*****
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Follow the instructions on the site.
!!! Your personal identification ID: D56F3331E80***** !!!
Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ!!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Подробную информацию о RSA и AES можно найти здесь:
hxxx://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxx://en.wikipedia.org/wiki/Advanced Encryption Standard
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы расшифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
hxxxs://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxx://jhomitevd2abj3fk.onion.to/D56F3331E80*****
Если все эти адреса недоступны, сделайте следующие действия:
1. Загрузите и установите Tor Browser:
hxxps://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Следуйте инструкциям на сайте.
!!! Ваш персональный идентификационный ID: D56F3331E80 ***** !!!
Распространяется с помощью email-спама и вредоносных вложений, упакованных в архив, внутри которых находятся wsf-файлы (ws или js). Если получатель дважды кликнет на один из этих файлов сценариев, то будет загружен зашифрованный инсталлятор DLL, затем дешифрован и запущен с помощью легитимной программы для Windows под названием Rundll32.exe.
Команда, которая выполняется для запуска DLL:
rundll32.exe %Temp%\[name_of_dll],qwerty
Примеры писем:
Dear [Receiver_name],
Please find attached documents as requested.
---
Best Regards,
[Sender name]
Our sincere apology for the incorrect invoice we sent to you yesterday.
Please check the new updated invoice #3195705 attached.
We apologize for any inconvenience.
---
Socorro Bishop
Executive Director Marketing PPS
Tel.: (324) 435-35-73
Список файловых расширений, подвергающихся шифрованию:
.7zip, .aac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db_journal, .dbf, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (security copy), .msg, .myd, .myi, .ndd, .ndf, .nef, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wks, .wma, .wmv, .wpd, .wps, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (372 расширения).
Гибридный анализ >>
Детект на VirusTotal >>
Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются.
Read to links: Write-up
Thanks: Lawrence Abrams MyOnlineSecurity
© Amigo-A (Andrew Ivanov): All blog articles.