Halloware Ransomware
🎃 THE HALLOWEEN VIRUS
(шифровальщик-вымогатель или фейк-шифровальщик)
Этот крипто-вымогатель шифрует (или пишет, что шифрует) данные пользователей с помощью AES-256, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Halloware. На файле может быть написано, что угодно. Разработчик: tn cyber squard. В новой версии: Luc1F3R.
К зашифрованным файлам добавляется слово в скобках (Lucifer)
Активность этого крипто-вымогателя пришлась на первую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Текстовая записка с требованием выкупа не оставляется.
Запиской с требованием выкупа выступает onion-сайт, на котором используется "жуткое изображение" из набора обоев (creepy-christmas-wallpaper).
Изображение "creepy-christmas-wallpaper"
Более ранний вариант Halloware со словом Unencrpyt в конце
Требования выкупа на Tor-сайте со словом decrypt в конце
Содержание записки о выкупе (два варианта): Your Data Have Been Encrpyted
If You Need Your Data Back You Need To
Pay Us 150 Dollar bitcoin
btc address = 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
for help contact us Launch browser and go to the link (create email in TOR network): torbox3uiot6wchz.onion Write on email: tncybersquard@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data
***
Your Data Have Been Encrpyted
If You Need Your Data Back You Need To
Pay Us 150 Dollar bitcoin
for help contact us Launch browser and go to the link (create email in TOR network): torbox3uiot6wchz.onion Write on email: tncybersquard@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can decrypt Your Data
Ваши данные были зашифированы
Если вам нужны ваши данные назад, вам нужно
Заплатить нам 150 долларов
btc address = 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
для помощи свяжитесь с нами Запустите браузер и перейдите по ссылке (создайте email в сети TOR): torbox3uiot6wchz.onion Напишите на email: tncybersquard@torbox3uiot6wchz.onion
Ваши данные безопасны, когда вы платите нам. Мы дадим вам ключ, и вы можете расшифровать ваши данные
Технические детали
Был продемонстрирован в частном порядке. После доработки может начать распространяться любым из следующих способов: путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asp, .aspx, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .html, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .odt, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sln, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (131 расширение без дублей).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
Halloware.exe
<random>.exe
Видеопрезентация Halloware.exe - 🎃The Halloween Virus:
ссылка на ролик от 31 октября 2017 >>
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://b6tnq5nrhxu6tqeu.onion
xxxx://b6tnq5nrhxu6tqeu.onion.rip
xxxx://zinrm67igbdcdy5h.onion
xxxx://zinrm67igbdcdy5h.onion.rip
Email: tncybersquard@torbox3uiot6wchz.onion
BTC: 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 2 декабря 2017:
Файлы: hmavpncreck.exe, bill.exe, hma_vpn_crecked.exe
Результаты анализов: VT + VT
Когда этот образец Halloware шифрует файлы с использованием жёстко закодированного ключа AES-256, то добавляет слово (Lucifer) к зашифрованным файлам. Например, после шифрования файл image.png станет (Lucifer)image.png
Примеры зашифрованный файлов от BC
По окончании шифрования Halloware выдаёт окно, показывающее жуткого клоуна с сообщением о выкупе, ссылкой на сайт оплаты и заменяет обои рабочего стола аналогичным сообщением. Эта версия Halloware также не оставляет текстовые записки о выкупе.
Скриншоты этой версии Halloware из статьи на сайте BC
Часть скриншота с продающего сайта (адрес скрыт)
Версия Halloware с реализованным шифрованием продаётся в Даркнете за 40 долларов. Всё, что нужно сделать покупателю, это заменить два изображения и добавить свой сайт с помощью настраиваемой формы для URL-адреса сайта.
---
Обновление от 3 декабря 2017:
Email не менялся: tncybersquard@torbox3uiot6wchz.onion
Обновление от 3 декабря 2018:
Файлы: bill.exe, Bill_Details.docx.exe
URL: lucifer9706.5gbfree.com (209.90.88.135:80 США)
xxxx://lucifer9706.5gbfree.com/hma_vpn_crecked.exe***
xxxx://maxclassic.5gbfree.com/fu/negud.exe***
xxxx://newew.whatisthis988.5gbfree.com/new.zip***
xxxx://paypalload.5gbfree.com/***
xxxx://bankofamerlca.ga/***
Результаты анализов: HA
Обновление от 27 декабря 2017:
Пост в Твиттере >>
Tor-URL: xxxp://j3t2jilixktibqof.onion
Email: blackpanda007@torbox3uiot6wchz.onion
Содержание текста:
Your Data Have Been Encrpyted.
If You Need Your Data Back You Need To
Pay Us $300 Dollar
Contect: torbox3uiot6wchz.onion create a account here and email us blackpanda007@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Halloware) Write-up, Topic of Support *
Added later: Write-up on BC *
Thanks: Roland Dela Paz, dev halloware *
© Amigo-A (Andrew Ivanov): All blog articles.