SynAck Ransomware
El_Cometa Ransomware
(шифровальщик-вымогатель)
Как удалить? Как расшифровать? Как вернуть данные?
👮 Если вы стали жертвой преступления в России, Беларуси, Казахстане или Украине, то вам нужно написать онлайн-заявление в Управление "К" МВД России, Беларуси и соответствующие ведомства МВД Казахстана и Украины (инструкция).
👮 Если вы стали жертвой преступления в Европе, вам нужно обратиться в местную полицию. При необходимости они сами свяжутся с Европолом или Интерполом.
👮 If you are the victim of a crime in Europe, you need to contact your local or national police. The authorities will contact Europol or Interpol if required.
👮 Are recommended that anyone citizen of the USA who is affected by this Ransomware file an official complaint with the FBI by going to this URL.
Информация о шифровальщике
Этот крипто-вымогатель шифрует данные пользователей с помощью ECIES + AES-256 (режим ECB), или в другом варианте с помощью RSA-2048 и AES-256, а затем требует выкуп в $2100 в BTC, чтобы вернуть файлы. Оригинальное название: SynAck (содержится в строках записки о выкупе и в логине email). Разработчики: SynAck Team.
© Генеалогия: SynAck
К зашифрованным файлам добавляется случайно расширение, которое можно записать как .<random10>
Примеры зашифрованных файлов:
document01.txt.wxdrJbgSDa
document02.doc.nUZPveYgIp
document03.zip.SMGfqOEIwE
Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. По данным ЛК пострадавшие в США, Кувейте, Германии и Иране.
Записка с требованием выкупа называется: RESTORE_INFO-[ID].txt и выглядит как RESTORE_INFO-xxxxxxxx.txt
Шаблон записки можно записать так:
RESTORE_INFO-<A-Z 0-9 {8}>.txt - т.е. английские буквы в верхнем регистре и цифры, восемь знаков
Примеры записок:
RESTORE_INFO-C3E24FCE.txt
RESTORE_INFO-4ABFA0EF.txt
RESTORE_INFO-3E376EE0.txt
Три варианта записок SynAck
Как оказалось, существует несколько вариантов записок о выкупе. Специалисты выявили различия и представили их в виде таблицы.
Сравнительная таблица записок SynAck
Содержание записок о выкупе:
Files on your computer are encrypted.
Algorithm: ecc-secp192r1 & aes-ecb-256
To decrypt your files, please contact us using one of these e-mail addresses:
synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
Please include the following text in your message:
zMp9IPE******************
....................................................................
Syn---- >
Ack---- >
===
Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
To decrypt your files, please contact us using this e-mail address:
tyughjvbn13@scryptmail.com
If for unknown reasons you did not receive any answer on e-mail,
write to BitMessage (using site xxxxs://bitmsg.me/):
BM-2cStoatQC4mDNWDHAoo2C1nYZJXhDsjCLj
Please do not perform any manipulations with encrypted files.
If you want to try to restore your files manually, do backups first.
And please do not remove files with text notes, because they contain important information required for file restoring.
Please include the following text in your message:
0R/Bau5ip******************
....................................................................
Syn---- >
Ack---- >
===
Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
To decrypt your files, please contact us using this e-mail address:
bubkjdws@scryptmail.com
If for unknown reasons you did not receive any answer on e-mail,
write to BitMessage (using site xxxxs://bitmsg.me/):
BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k
Please do not perform any manipulations with encrypted files.
If you want to try to restore your files manually, do backups first.
And please do not remove files with text notes, because they contain important information required for file restoring.
Please include the following text in your message:
QOfVQofGO******************
Перевод записок на русский язык:
Файлы на вашем компьютере зашифрованы.
Алгоритм: ecc-secp192r1 & aes-ecb-256
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя один из этих email-адресов:
synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
Пожалуйста, добавьте следующий текст в сообщение:
zMp9IPE******************
....................................................................
Syn---- >
Ack---- >
===
Файлы зашифрованы, использован алгоритм: ecies-secp192r1 & aes-ecb-256.
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя этот email-адрес:
tyughjvbn13@scryptmail.com
Если по неизвестным причинам вы не получили никакого ответа по email,
напишите в BitMessage (используя сайт xxxxs://bitmsg.me/):
BM-2cStoatQC4mDNWDHAoo2C1nYZJXhDsjCLj
Не делайте никаких манипуляций с зашифрованными файлами.
Если вы хотите попытаться восстановить файлы вручную, сначала сделайте резервную копию.
И, пожалуйста, не удаляйте файлы с текстовыми записками, потому что они содержат важную информацию, необходимую для восстановления файла.
Пожалуйста, добавьте следующий текст в сообщение:
0R/Bau5ip******************
....................................................................
Syn---- >
Ack---- >
===
Файлы зашифрованы, использован алгоритм: ecies-secp192r1 & aes-ecb-256.
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя этот email-адрес:
bubkjdws@scryptmail.com
Если по неизвестным причинам вы не получили никакого ответа по email,
напишите в BitMessage (используя сайт xxxxs://bitmsg.me/):
BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k
Не делайте никаких манипуляций с зашифрованными файлами.
Если вы хотите попытаться восстановить файлы вручную, сначала сделайте резервную копию.
И, пожалуйста, не удаляйте файлы с текстовыми записками, потому что они содержат важную информацию, необходимую для восстановления файла.
Пожалуйста, добавьте следующий текст в сообщение:
QOfVQofGO******************
По разумным причинам, текстовой код записок в этой статье обрезан.
Один из пострадавших, связавшись с вымогателями, предоставил их ответ.
Ответ вымогателей:
The cost of the decoder is $ 2100
We accept money only in bitcoins since this is the most anonymous currency in the world.
To buy bitcoins, we recommend using one of these services: https://www.bestchange.com or localbitcoins.com
To create a purse, this: blockchain.info
Transfer funds to this address: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
After payment send us a link to the transaction or the address of your wallet and after receiving 3 confirmations we will send you a decoder.
Перевод ответа на русский язык:
Стоимость декодера составляет 2100 долларов
Мы принимаем деньги только в биткоинах, т.к. это самая анонимная валюта в мире.
Чтобы купить биткоины, мы рекомендуем использовать одну из этих услуг: https://www.bestchange.com или localbitcoins.com
Чтобы создать кошелек, идите на: blockchain.info
Перечислите средства на этот адрес: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
После оплаты отправьте нам ссылку на транзакцию или адрес вашего кошелька, и после получения 3-х подтверждений мы вышлем вам декодер.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ SynAck атакует главным образом англоговорящих пользователей и использует для этого брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла. Вероятнее всего используется установка через незащищенную конфигурацию RDP. Затем запускается самозачистка.
➤ На ранней стадии выполнения SynAck проверяет работу ПК по своему списку стран, в том числе по раскладке клавиатуры. Если он находит соответствие своему белому списку стран, то засыпает на 300 секунд, а затем вызывает функцию ExitProcess для предотвращения шифрования файлов, принадлежащих жертве из этих стран.
➤ SynAck очищает все системные журналы событий.
➤ SynAck в новой версии модифицирует экран входа пользователя Windows следующим образом.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
➤ Пропускаются исполняемые файлы: .exe и другие.
Файлы, связанные с этим Ransomware:
RESTORE_INFO-[ID].txt - записка с требованием выкупа;
myfile.exe - исполнямый файл вымогателя; msiexec.pdb - название файла проекта Ransomware;
<random>.exe - случайное название вредоносного файла.
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
BTC: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 11 марта 2018:
Email: synack@scryptmail.com
synack@countermail.com
Записка (шаблон): ==READ==THIS==PLEASE==[id{8}].txt
Пример: ==READ==THIS==PLEASE==xxxxxxxx.txt
Содержание записки:
SynAck FES
(Files Encryption Software)
Dear client, we apoligize for inconvinience with your files.
So we make a business offer to order file recovery service from us.
We do not extort money, files restore is an optional service.
Also we will do auditing of your network FOR FREE if you order file recovery service.
Some details about SynAck FES:
This software uses ecies-secp192r1 algorithm to create unique pair of private and public keys for the session.
Each file is encrypted with random key using aes-ecb-256 algorithm.
We strongly recommend you not to use third-party decryptors because they can damage your files.
But if you want to try to restore your files by yourself, make sure you have made backup copies of encrypted files.
And please do not remove files with text notes, because they contain important information required for file restoring.
If you want to order file recovery service, please contact our support using one of the following e-mail addresses:
synack@scryptmail.com
synack@countermail.com
If you have not get a response in 24 hours, please do not panic and write on BitMessage (using site https://bitmsg.me/):
BM-2cTp9eosgjWs8SV14kYCDzPN3HJkwYk1LQ
Keep in mind that there are fake services offering decryption; do not believe them or you will lose your money.
Anyway, there is one method you can use for proof: ask to decrypt some files for free.
No one except us will be able to do that.
!!!!! PLEASE INCLUDE THE FOLLOWING TEXT IN YOUR MESSAGE !!!!
***6 lines and a quarter of random text***
Best regards,
SynAck Team.
=== SynAck FES ===
Пост на форуме >>
Обновление от 7 мая 2018:
SynAck стал использовать вредоносную технологию Doppelgänging, т.е. известную с декабря 2017 года технику внедрения вредоносного кода, которая способна обойти антивирусную защиту. Эта вредоносная техника работает через транзакции NTFS и потому позволяет избежать использования подозрительных процессов в памяти. Вредонос не сохраняется на диске, потому невидим для антивирусных продуктов и уже получил название "бестелесный вредонос".
Атаки SynAck носят целевой характер и уже зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа: 3000 долларов.
SynAck использует ECIES, гибридную схема шифрования на открытых ключах, основанную на эллиптических кривых.
Обновление от 11 мая 2018:
Результаты анализов: HA + VT + VT
Сообщение от 12-13 августа 2021:
Группа вымогателей SynAck выпустила главные ключи дешифрования после ребрендинга в El_Cometa.
В конце июля 2021 года SynAck была переименована в El_Cometa и вымогатели стали работать на новой платформе уже как RaaS, нанимая партнеров для взлома корпоративных сетей и развертывания своего шифратора.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet
ID Ransomware (ID as SynAck)
Write-up, Topic of Support
Добавлено позднее:
Статья ЛК о технике Doppelgänging >> (от 21 мая 2018 года)
Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decryptor для дешифровки >>
Прочтите подробную инструкцию перед запуском.
Thanks:
BleepingComputer, Lawrence Abrams
Michael Gillespie
Catalin Cimpanu
(victim in the topic of support)
© Amigo-A (Andrew Ivanov): All blog articles.