Если вы не видите здесь изображений, то используйте VPN.

суббота, 13 мая 2017 г.

Zelta Free

Zelta Free Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. На уплату выкупа даётся 6 часов, после чего удаляется случайный файл. Через 96 часов ключ дешифрования удалится. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stampado > Zelta Free

К зашифрованным файлам добавляется расширение .locked 

Продвижение этого крипто-вымогателя пришлось на первую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, уже знакомый нам по ряду других вымогателей, в том числе Stampado Ransomware

Содержание текста о выкупе:
All your files have been encrypted.
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc.) were encrypted The encryption was done using a secret key that is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
Note that every 6 hours, a random file is permanently deleted. The faster you are, the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
What can I do?
Contact us by email telling your ID (below) and wait for us to send the instructions.
Contact us by: HiddenMan0135@protonmail.com
As a proof, you can send one encrypted file, so we will send it back decrypted. Use it as a guarantee that we can decrypt your files.
Next Russan Roulette file deletion: 5 hours, 59 minutes and 53 seconds
Time until total loss: 3 days, 23 hours, 59 minutes and 53 seconds
Last (0) file deleted: ***
Your ID: [1.86A6603F] [Copy to clipboard]
Got the code? [***]
See the files I'll get back if I'm a good boy
[Get back my files]

Перевод текста  на русский язык:
Все ваши файлы были зашифрованы.
Все ваши файлы были зашифрованы!
Все ваши документы (базы данных, тексты, изображения, видео, музыка и т. д.) Были зашифрованы. Шифрование сделано с помощью секретного ключа, который теперь находится на наших серверах.
Чтобы расшифровать ваши файлы, вам нужно будет купить секретный ключ у нас. Мы единственные в мире, кто может предоставить это вам.
Обратите внимание, что каждые 6 часов удаляется случайный файл без возможности восстановления. Чем раньше вы поторопитесь, тем меньше файлов потеряете.
Кроме того, через 96 часов ключ будет удален окончательно и не будет никакого способа вернуть ваши файлы.
Что я могу сделать?
Свяжитесь с нами по email, указав свой ID (ниже) и дождитесь отправки инструкций.
Свяжитесь с нами по: HiddenMan0135@protonmail.com
Для доказательства вы можете отправить нам один зашифрованный файл, потом мы отправим его обратно в дешифрованном виде. Используйте это в качестве гарантии, что мы можем расшифровать ваши файлы.
Следующее удаление файла русской рулеткой: 5 часов, 59 минут и 53 секунды
Время до полной потери: 3 дня, 23 часа, 59 минут и 53 секунды
Последний (0) файл удален: ***
Your ID: [1.86A6603F] [Копировать в буфер обмена]
Получил код? [***]
Посмотри файлы, которые я верну, если я хороший мальчик
[Получить мои файлы]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Zelta - Free Ransomware.exe
How to recover files.txt
Recover my files.exe
6C329C688***.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: HiddenMan0135@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Malware Blocker
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 12 мая 2017 г.

WanaCrypt0r 2.0

WanaCrypt0r 2.0 Ransomware

WannaCry: NSA Exploit Edition

WannaCry NSA EE

(шифровальщик-вымогатель)

(первоисточник)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
 Теперь уже известно, что обе версии WannaCry управлялись одной группой. В распространении шифровальщика участвовала группировка Lazarus (активна с 2007 года) или одно из её подразделений. Специалисты Symantec представили целый ряд доказательств связей между WannaCry и Lazarus. Утечка эксплойта EternalBlue позволила злоумышленникам превратить WannaCry в гораздо более мощную угрозу, чем она была до этого. Как потом оказалось, 98% инфицированных WannaCry компьютеров работали под управлением Windows 7, из них 60% - в 64-рязрядной ОС.
 В России атакам подверглись компьютеры крупных компаний и госструктур, в том числе Сбербанка, мобильного оператора «Мегафон», МВД и МЧС. Зато те российские структуры, которые были подключены к государственной системе выявления и предупреждения хакерских атак, не пострадали. Всем надо сделать соответствующие выводы. 
 WannaCry использует два инструмента из арсенала АНБ США: эксплоит EternalBlue для уязвимости в Windows и бэкдор DoublePulsar, позволяющий вредоносу распространяться по сетям. Оба были опубликованы хакерами из The Shadow Brokers в начале 2017. Потому США уверены, что за этой атакой стоит Lazarus Group. 

⛳ Проанализировав тексты записок и сравнив их через Google-переводчик, я обнаружил, что почти все тексты переведены с английского, который был шаблонным источником перевода. И только китайский текст расходится с английским, видимо потому, что был написан с нуля. Причем в английском тексте присутствуют незначительные ляпы, которые могут говорить только о том, что для составителя шаблонного текста о выкупе английский не был родным.  
➤ Чтобы убедиться в правильности выводов об английском тексте, я предложил знакомым англоязычным специалистам посмотреть на него и получил подтверждение. Но данный факт не доказывает того, что за атакой стояли исключительно китайцы. Это верно только для текста о выкупе, который мог быть написан и на заказ. Интересно было бы в будущем получить анализ китайского текста, хотя бы в упрощенном китайском. 
➤ Русский текст о выкупе вы можете сравнить с мои переводом ниже. 

ВНИМАНИЕ! После нашумевшей атаки этого шифровальщика появились фальшивые WannaCry, в том числе фальшивки-пугалки в виде простых блокировщиков экрана. Также вымогатели из Amnesia2 Ransomware подхватили и используют расширение .wncry совместно со своей запиской о выкупе, где они пугают пострадавших тем, что они якобы стали жертвой WannaCry. Не верьте! Amnesia2 Ransomware дешифруется. Ссылка на мою статью с дешифратором от антивирусной компании Emsisoft. 

Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 + RSA, а затем требует выкуп от 0.1 до 1.0 BTC, чтобы вернуть файлы. На экранах блокировки есть также указание на $300 и $600.  

Оригинальное название версии: WanaCrypt0r 2.0. Внутреннее: WanaCrypt0r. Фальш-имена: diskpart.exe, cliconfg.exe, lhdfrgui.exe и многие другие. Фальш-копирайт: Microsoft Corporation. Написан на языке C/C++. Среда разработки: MS Visual Studio. 

Обнаружения:
DrWeb -> Trojan.Encoder.11432
BitDefender -> Trojan.Ransom.WannaCryptor.G, Trojan.GenericKD.40267082
Malwarebytes -> Ransom.WannaCrypt

© Генеалогия: WcryWannaCry (WannaCryptor) > WanaCrypt0r 2.0
© Genealogy: Wcry > WannaCry (WannaCryptor) > WanaCrypt0r 2.0

К зашифрованным файлам добавляются расширения:
.WCRY 
.WNCRY
.WNCRYT
Расширение .WNCRY — основное. 
Расширение .WNCRYT — временное. 
Расширение .WRCY — атавизм от предыдущих версий. 

Когда Wannacry шифрует файлы, он считывает информацию из исходного файла, шифрует содержимое и сохраняет его в файл с расширением .WNCRYT. После шифрования Wannacry меняет расширение .WNCRYT на .WNCRY и удаляет исходный файл. 

Всплеск активности этого крипто-вымогателя пришёлся на первую половину мая 2017 г. В первые дни (12-15 мая 2017) было осуществлено массовое заражение персональных компьютеров и серверов по всему миру. В числе первых пострадавших медицинские учреждения (47 больниц лишь в Великобритании), университеты, производственные заводы (Hitachi, Renault, Nissan), железнодорожные системы (Россия, Германия), провайдеры мобильной связи, банки, полицейские департаменты, правительственные учреждения и многое другое. Карта инфекций в режиме реального времени. Страны: Россия, Тайвань, Испания, Украина, Япония, Франция, Германия...


Масштабы инфекции WanaCrypt0r на мировой карте

WanaCrypt0r на мировой карте (11-15 мая 2017)


График распределения по странам мира (12-24 мая 2017)
Топ распределения инфекции по странам (12-24 мая 2017)

Ориентирован на разноязычных пользователей, что позволяет быстро и с успехом распространять его по всему миру. Мультиязычен только экран блокировки. 

Список поддерживаемых языков, руководства на которые включены в список: 
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese.


💫
...В ответ на тиражирование зарубежными СМИ фактов о пострадавших банках России...
Конечно, компьютерные сети банков тоже пострадали. Но мировая банковская практика такова, что принято скрывать факты атак до последнего момента, когда этот факт будет невозможно скрыть.

...In response to the replication of foreign mass media of facts about the affected banks of Russia...
Of course, computer networks of banks also suffered. But the world banking practice is such that it is customary to hide the facts of attacks until the last moment, when this fact will be impossible to hide.



Скриншоты и описание


Записка с требованием выкупа называется: @Please_Read_Me@.txt

Содержание записки о выкупе:
Q:  What's wrong with my files?
A:  Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
    If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
    Let's start decrypting!
Q:  What do I do?
A:  First, you need to pay service fees for the decryption.
    Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
    Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
    Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q:  How can I trust?
A:  Don't worry about decryption.
    We will decrypt your files surely because nobody will trust us if we cheat users.
*   If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.

Перевод записки на русский язык:
В: Что не так с моими файлами?
О: Упс, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.
     Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
     Давайте начнем расшифровку!
В: Что мне делать?
О: Во-первых, вам нужно заплатить выкуп за услуги расшифровки.
     Отправьте биткоины на сумму $300 на этот биткоин-адрес: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
     Затем найдите файл приложения с именем «@WanaDecryptor@.exe». Это программа дешифровки.
     Запустите и следуйте инструкциям! (Возможно, вам нужно временно отключить антивирус.)
В: Могу ли я доверять?
О: Не беспокойтесь о расшифровке.
     Мы расшифруем ваши файлы, т.к. никто не будет нам доверять, если мы обманем пользователей.
* Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us> в окне расшифровки.

Другими информаторами жертв выступают экран блокировки с таймером и скринлок, встающий обоями рабочего стола. 
Скринлок, встающий обоями рабочего стола


Скриншоты экрана блокировки (раздельно, на фоне обоев, на русском, английском, испанском, китайском):

Экран блокировки и содержание папки

Собственно экран блокировки

Обои, экран и папка с файлами

Экран, файлы шифровальщика и зашифрованные файлы

 
Содержание требований на испанском и китайском языках

Содержание требований о выкупе из экрана блокировки:
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt all your files, you need to pay.
You only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don’t pay in 7 days, you won’t be able to recover your files forever.
We will have free events for users who are so poor that they couldn’t pay in 6 months.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payments>. Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking <Contact Us>.
We strongly recommend you to not remove this software, and disable your antivirus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

Перевод этого текста на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас совсем немного времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы сделать платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы никогда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения дополнительной информации нажмите <About bitcoin>.
Пожалуйста, проверьте текущую стоимость биткоинов и купите биткоины. Для получения дополнительной информации нажмите <How to buy bitcoins>.
И отправьте правильную сумму на адрес, указанный в этом окне.
После оплаты нажмите <Check Payments>. Лучшее время для проверки: 9:00 am - 11:00 am GMT с понедельника по пятницу.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
Настоятельно рекомендуем вам не удалять эту программу и временно отключить антивирус, пока не заплатите и платёж не обработается. Если ваш антивирус обновится и автоматически удалит эту программу, мы не сможем восстановить ваши файлы, даже если вы заплатили!


Оригинальный текст из окна экрана блокировки (для сравнения):
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткойнах. Для получения дополнительной информации нажмите <About bitcoin>.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж. Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!


Как можно заметить, текст на русском языке сделан вымогателями с помощью Google-переводчика. (См. выводы в начале статьи под флажком). 


Сообщение подтверждения оплаты и запуска дешифровки
Сообщение завершения дешифровки


Рекомендации по предотвращению угрозы


1. Этот вредонос использует уязвимость, описанную в следующих статьях Microsoft
   Microsoft Security Bulletin MS17-010 - Critical
   MS17-010: Описание обновления безопасности для Windows SMB Server: 14 марта 2017 г.
Короче говоря, там рекомендуется скачать патч, закрывающий эту уязвимость, согласно версии вашей Windows.
Еще проще! Ниже в комментариях есть все прямые ссылки для всех версий Windows, включая XP и Vista. Скопируйте ссылку для своей ОС и вставьте в адресную строку браузера. 
Сделать это необходимо НЕМЕДЛЕННО!
После установки потребуется перезагрузить компьютер. Дождитесь завершения обновления. 

2. Если установка патча по каким-то причинам невозможна, то следует отключить SMB v1, v2, v3, протокола SMB (Server Message Block) в Windows и Windows Server, а также блокировать все версии SMB, путем блокировки TCP портов 445 и 139, а также UDP портов 137-138. 

Например, быстро заблокировать порты 139 и 445 можно с помощью следующих команд:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Другие порты — аналогично. С правами администратора. 

Хотя отключение SMB может создать администраторам немало проблем, но в данном случае плюсы перевешивают минусы, так как потенциальная угроза для пользователей страшнее.

См. статьи от Microsoft: 
Как включить и отключить SMBv1, протокола SMB версии 2 и SMBv3 в Windows и Windows Server
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Сделать это необходимо также НЕМЕДЛЕННО! 


Технические детали


Для распространения использует два инструмента из арсенала АНБ США: эксплоит EternalBlue для уязвимости в Windows и бэкдор DoublePulsar, позволяющий вредоносу распространяться по сетям самостоятельно, наподобие червя, сканируя Интернет на наличие открытых портов. 
В рамках другой вредоносной кампании вполне может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

С помощью этой уязвимости в старых ОС Windows червь для SMB распространяется по локальной сети организации или предприятия без каких-то действий со стороны пользователя компьютера.

Этот Ransomware создаёт мьютекс "Global\MsWinZonesCacheCounterMutexA" и запускает удаление теневых копий файлов, точек восстановления и отключает отладку ошибок загрузки Windows единой командой:
cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Контроль учетных записей (UAC) не обходит. Если UAC не отключен заранее, то выйдет предупреждение на выполнение этой команды.

Чтобы подготовить компьютер к шифрованию WanaCrypt0r выполняет специальную команду iCACLS, чтобы изменить права доступа к файлам и папкам, расположенным в папке и подпапках, откуда WanaCrypt0r был запущен. Затем он завершает процессы , связанные с серверными базами данных и почтовыми серверами, чтобы шифровать базы данных и почтовые ящики.

Если файл большой, то шифруется не весь файл, а только его часть. Например, если файл больше 10 Мб, тогда шифруется только 1/3 часть и ~20 байт в конце. Используются шифры RSA-512 и AES-128. 

В случае, если файлы расположены в важных папках ("Рабочий стол", "Мои документы"), WannaCry перезаписывает оригинальные файлы и восстановить их будет невозможно (кроме как заплатить выкуп). 

Если файлы не находятся в "важных" папках, то исходные файлы будут перемещены в %TEMP%\%d.WNCRYT (где %d обозначает числовое значение). Эти файлы содержат исходные данные и не перезаписываются, а лишь удаляются с диска, потому их можно восстановить с помощью специального ПО для восстановления данных.

Список файловых расширений, подвергающихся шифрованию:
1-й список (один образец)
.123, .3dm, .3ds, .3g2, .3gp, .602, .accdb, .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch,.der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (166 расширений).

2-й список (второй образец) 
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (176 расширений).

3-й список (третий образец) 
.123, .3dm, .3ds, .3g2,  .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (179 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wcry.zip
@WanaDecryptor@.exe
@Please_Read_Me@.txt
@WanaDecryptor@.bmp
WanaDecryptor.exe
WanaDecryptor.exe.lnk
taskse.exe
taskdl.exe
tasksche.exe
mks.exe
hptasks.exe
<random>.exe
c:\windows\mssecsvc.exe
и другие. 

Расположения:
C:\Users\User\AppData\Local\@WanaDecryptor@.exe.lnk
Файлы вымогателя @WanaDecryptor@.exe и @Please_Read_Me@.txt находятся во всех папках с зашифрованными файлами. 

Файлы, установившиеся вместе с шифровальщиком, нужные для работы WanaCrypt0r/Wana Decrypt0r:
[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@WanaDecryptor@.exe
[Installed_Folder]\@WanaDecryptor@.exe.lnk
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe

WanaCrypt0r сам скачивает клиент TOR из xxxxs://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip и извлекает его в папку TaskData
Этот клиент ТОР затем используется им для связи с C&C-серверами: gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion и cwwnhwhlz52maqm7.onion.

WanaCrypt0r завершает процессы баз данных:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange

Записи реестра, связанные с WanaCrypt0r Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd    [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper    "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com - сайт Killswitch
57g7spgrzlojinas.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
gx7ekbenv2riucmf.onion
sqjolphimrr7jqw6.onion
xxlvbrloxvriy2c5.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ с .WNCRY >>  Ещё >>  Ещё >>
VirusTotal анализ с .WNCRY >>  Ещё >>
Гибридный анализ с .WNCRYT >>
VirusTotal анализ с .WNCRYT >>
Malwr анализ с .WNCRYT >>  Ещё >>
Intezer анализ >>

WannaCry: javaupdate.exe, creates g.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/

WannaCry: svchost.exe, creates lsasvs.exe
https://www.virustotal.com/ru/file/91146ee63782a2061701db3229320c161352ee2bc4059ccc3123a33114774d66/analysis/

WannaCry: lsasvs.exe, creates 50793105.exe
https://www.virustotal.com/ru/file/a7ea1852d7e73ef91efb5ec9e26b4c482ca642d7bc2bdb6f36ab72b2691ba05a/analysis/

WannaCry: 50793105.exe, creates taskhcst.exe
https://www.virustotal.com/ru/file/7f8166589023cd62ae55a59f5fca60705090d17562b7f526359a3753eb74ea2f/analysis/

WannaCry: taskhcst.exe
https://www.virustotal.com/ru/file/043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2/analysis/

WannaCry: armsvc.exe, javaupdate.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/

WannaCry: jusched.exe
https://www.virustotal.com/ru/file/524f8f0f8c31a89df46a77c7a30af5d2a1dc7525b08bfafbed98748c3d8a3f1c/analysis/

WannaCry: msinj32.exe
https://www.virustotal.com/ru/file/41e9d6c3374fd0e78853e945b567f9309446084e05fd013805c70a6a8205cd70/analysis/

WannaCry: goyqsvc.dll
https://www.virustotal.com/ru/file/436195bd6786baae8980bdfed1d7d7dbcccb7d5085e79ebdcc43e22d8bae08a8/analysis/

WannaCry: exldcmgmt.dll
https://www.virustotal.com/ru/file/9f177a6fb4ea5af876ef8a0bf954e37544917d9aaba04680a29303f24ca5c72c/analysis/

WannaCry: oledbg32.dll
https://www.virustotal.com/ru/file/ae8e9ff2dc0ec82b6bae7c4d978e3feac93353cb3cd903e15873d31e30749150/analysis/

WannaCry: bitssvcs.dll
https://www.virustotal.com/ru/file/fc079cefa19378a0f186e3e3bf90bdea19ab717b61a88bf20a70d357bf1db6b8/analysis/

Степень распространённости: высокая (глобальная атака).
Подробные сведения собираются регулярно.
Схему распространения этой угрозы см. онлайн.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

СМИ сообщают о новых атаках WannaCry и массовых инфекциях. На самом деле всё иначе. Несколько других вредоносов могли маскироваться и выдавать себя за WannaCry. Эти случаи известны и вряд ли они последние. При этом опасность представляет не только сам вредонос (любой из имитаторов и дубликатов), а также то, что в них используются эксплойты из арсенала АНБ, от которых в операционных системах нет защиты, кроме послевременного патча. 
В мае 2018 года специалисты Symantec предупреждали, что разрушительный потенциал WannaCry будет опасен всегда и не имеет срока давности. Потому новые заражения, о которых истерят СМИ, были вызвано бездействием обслуживающего персонала и нерациональными действиями руководства, решившего, что они умнее атакующих. 
Необходимо защищаться всегда! Для этого я выработал и опубликовал здесь "Комплекс мероприятий для защиты от Ransomware". Это на сегодняшний день единственная защита. Изучите эти рекомендации и выработайте комплекс мероприятий для защиты своего предприятии и организации от Ransomware. 

---


Обновление от 23 января 2020:
Пост в Твиттере >>
Результаты анализов: VT



Внимание!
Есть 3  дешифровщика, но их возможности ограничены: 
1) WannaKey - только для Windows XP (скачать)
2) wanakiwi - для Windows XP, x86 Windows 7, 2003, Vista, Server 2008, 2008 R2 (скачать)
wanakiwi поможет, если ПК не выключался и не перезагружался после атаки WannaCry
Описание >> *
3) WannaCry Decryption tool на китайском, если непонятно, пишите мне. 
Описание и загрузка >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaCryptor)
 Added later:  Video review
 Write-up, Topic, Research
 Write-up on BC, Topic on BC  История WannaCry 5 лет спустя
Dr.Web: Trojan.Encoder.11432, известный как WannaCry
Подробности о шифровальщике (May 16, 2017)
Symantec Official Blog (May 22, 2017)
WannaCry: Ransomware attacks show strong links to Lazarus group
TrustLook blog (May 16, 2017)
386 WannaCry Ransomware Samples 
FireEye (May 23, 2017)
WannaCry Malware Profile
Kryptos Logic (May 29, 2017)
WannaCry: Two Weeks and 16 Million Averted Ransoms Later
Securelist (June 1, 2017)
WannaCry mistakes that can help you restore files after infection
 Thanks: 
 MalwareHunterTeam, Jakub Kroustek
 Michael Gillespie
 Alex Svirid, GrujaRS
 BleepingComputer
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *