Marlboro Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-2048 и AES-128 (на самом деле всего лишь XOR), а затем требует выкуп в 0,2 биткоина, чтобы получить декриптер и вернуть файлы. Название оригинальное, другое: DeMarlboro. Написан на C++.
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение .oops
Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Зафиксированы пострадавшие из следующих стран: Сербия, Хорватия, Чехия и Малайзия.
Записки с требованием выкупа называются: _HELP_Recover_Files_.html
Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about RSA and AES can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encnption_Standard
Decrypting of your files is only possible with private key and decrypt program, which is on our secret server.
To receive your private key you need to make payment to us.
After you make payment, run program called 'DecryptFiles' that is located on your Desktop and your Documents.
Program will automatically decrypt all of your files!
If you try to decrypt files with another software your files can be forever lost.
How to buy decrypter?
1. You can make a payment with BitCoins, there are many methods to get them.
Bitcoin
2. You should register BitCoin wallet (simplest online wallet OR some other methods of creating wallet).
3. Purchasing Bitcoins - Although it is not yet easy to buy bitcoms, it is getting simpler every day.
Here are our recommendations
• Localbitcoms.com (WU) - Buy Bitcoins with Western Union
• Coincafe.com - Recommended for fast, simple service.
• Localbitcoms.com - Service allows you to search for people in your community willing to sell bitcoins to you directly.
• CEX.IO - Buy Bitcoins with VISA MASTERCARD or Wire Transfer
• btcdirect.eu - THE BEST FOR EUROPE
4. Send - 0.2 BTC to Bitcoin address: *****
5. After you make payment, run program called ’DecryptFiles' that is located on your Desktop and your Documents.
Program will automatically decrypt all of your files!
Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!
Все ваши файлы зашифрованы с шифрами RSA-2048 и AES-128.
Более подробную информацию о RSA и AES можно найти здесь:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encnption_Standard
Дешифрование файлов возможно только с закрытым ключом и декриптером, который находится на нашем секретном сервере.
Чтобы получить секретный ключ вам нужно заплатить нам.
После того, как вы сделаете оплату, запустите программу под названием "DecryptFiles", находящуюся на вашем рабочем столе и в ваших документах.
Программа будет автоматически расшифровывать все ваши файлы!
Если попытаться расшифровать файлы с другой программой, то ваши файлы могут быть навсегда потеряны.
Как купить Decrypter?
1. Вы можете произвести оплату в Bitcoins, есть много методов, чтобы получить их.
Bitcoin
2. Вы должны зарегистрировать Bitcoin-кошелек (простейший интернет-кошелек или некоторые другие методы создания кошелька).
3. Покупка Bitcoins - Несмотря на то, что еще непросто купить bitcoins, она становится проще с каждым днем.
Вот наши рекомендации
• Localbitcoms.com (WU) - Купить Bitcoms с Western Union
• Coincafe.com - Рекомендуется для быстрого и простого обслуживания.
• Localbitcoms.com - Сервис позволяет искать людей в вашем сообществе, готовых продать Bitcoins напрямую вам.
• CEX.IO - Купить Bitcoins с VISA MASTERCARD или банковским переводом
• btcdirect.eu - ЛУЧШИЙ ДЛЯ ЕВРОПЫ
4. Передать - 0,2 BTC на Bitcoin адрес: *****
5. После сделанной оплаты запустите программу под названием "DecryptFiles", находящуюся на вашем рабочем столе и в ваших документах.
Программа будет автоматически расшифровывать все ваши файлы!
Как можно заметить нет контакта для связи, ни email, ни какого-то другого. Уплата выкупа бессмысленна!
Декриптер, выданный вымогателями, предлагает пострадавшим пройти проверку на предмет "человек ли вы?", прежде чем проверять, оплатили они или нет. Затем уже проверяет состояние оплаты.
Текст с этого экрана:
WE PRESENT YOU A SPECIAL SOFTWARE - DOCUMENTS DECRYPTER -
Which allows to recover and return control to all your encrypted files
Just retype this number to verify you are human: -> 13186 <- 13186
[+] Please wait connecting to server...
[-] We are unable to verify your payment...
-> If you already paid, please try again in half an hour
Перевод на русский:
Мы представляем вам специальный софт - Декриптер документов -
Он позволит вернуть доступ ко всем вашим зашифрованным файлам
Пропечатайте эти цифры для проверки, что вы человек: -> 13186 <- 13186
[+] Пожалуйста, ждите, подключение к серверу ...
[-] Мы не можем подтвердить платеж ...
-> Если вы уже оплатили, то попробуйте еще раз через полчаса
Цифры на разных ПК различаются.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Во вложении используется документ DOCM с вредоносными макросами, производящими загрузку шифровальщика.
После шифрования удаляются теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet
Список файловых расширений, подвергающихся шифрованию:
.aes, .ARC, .asc, .asf, .asm, .asp, .aspx, .avi, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dat, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mpeg, .mpg, .ms11, .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, (140 расширений без дублей).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и другие изображения, музыка, видео, файлы образов, общие файлы и пр.
Файлы, связанные с этим Ransomware:
_HELP_Recover_Files_.html
maxi.docm
maxi.docm.doc
maxi.docm.lnk
DecryptFiles.exe
<random>.exe
<random>.tmp
u00000.wicked.exe
IpOverUsbSvc.exe
и другие.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
***tsoft.16mb.com (31.220.104.93:80 - Литва)
***mhustler2018.000webhostapp.com (153.92.15.10:80 - Германия)
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >> Ещё >> Ещё >> Ещё >>
VirusTotal анализ >> Ещё >> Ещё >> Ещё >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links:
Tweet on Twitter
ID Ransomware (ID as Marlboro)
Video review
*
Thanks:
MalwareHunterTeam
Michael Gillespie
GrujaRS
Fabian Wosar
© Amigo-A (Andrew Ivanov): All blog articles.