Если вы не видите здесь изображений, то используйте VPN.

понедельник, 28 марта 2016 г.

Coverton

Coverton Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Активность этого крипто-вымогателя пришлась на март 2016 г. Распространялось несколько вариантов вымогателя. 

В зависимости от того, каким вариантом Coverton компьютер был заражен, зашифрованные файлы получали расширения .coverton, .enigma, .czvxce

Так, например, файл test.jpg становился файлом test.jpg.coverton, test.jpg.enigma или test.jpg.czvxce. 

  Некоторые жертвы, пострадавшие от атаки этого вредоноса, поспешили выплатить выкуп, но после получения дешифровщика оказалось, что он не может дешифровать зашифрованные файлы

  Записки с требованием выкупа называются:  !!!-WARNING-!!!.html и !!!-WARNING-!!!.txt. 

Они размещаются в каждой папке с зашифрованными файлами. В них есть инструкция о том, как получить доступ к TOR-сайту вымогателей для дешифрования и проведения оплаты.
HTML-записка с требованием выкупа

TXT-записка с требованием выкупа

 Содержание записки о выкупе: 
Warning! 
What happened to your computer?
All your files on hard drives, removable media and network files were encrypted by a cryptographically strong algorithm AES-256 with encryption key RSA-2048. The expansion of encrypted files is.
For the time the decryption of AES-256 is impossible.

What have you to do?

To receive a pair of keys for decrypting your files you have to go through the following steps:
Simple variant: click to {custom URL for the infected user} and follow the instructions OR complex variant:
1. Download TOR Browser: ***link delete***
2. Open link in TOR Browser: ***link delete***
3. Follow the instructions.

We recommend you not to disconnect your computer from the electrical supply.

We recommend you not to disconnect your computer from the Internet.
We recommend you not to extract the encrypted electronic data carriers.

Danger!

Do not try to cheat the system, do not attempt to edit encrypted files, do not attempt to remove the program.
Such actions can easily bring to the inability to recover your files and data, so we can not help.
The key to decrypt your files is stored on our remote server.

 Перевод записки на русский язык: 
Внимание!
Что случилось с вашим компьютером?
Все ваши файлы на жестких дисках, сменных носителях и сетевые файлы были зашифрованы с помощью криптостойкого алгоритма AES-256 с ключом шифрования RSA-2048. Расширение у зашифрованных файлов... Сегодня дешифровать AES-256 невозможно. 

Что вам делать?

Для получения пары ключей для дешифровки файлов вы должны сделать следующие шаги:
Простой вариант: кликнуть тут {скрыт URL для зараженного пользователя} и по инструкции или сложным вариант:
1. Скачать TOR Browser: *** ссылка удалена ***
2. Открыть ссылку в Tor-браузере *** ссылка удалена ***
3. Следовать инструкциям.

Мы рекомендуем не отключать компьютер от электросети.

Мы не рекомендуем отключать компьютер от сети Интернет.
Мы не рекомендуем извлекать зашифрованные носители информации.

Опасно!

Не пытайтесь обмануть систему, не пытайтесь редактировать зашифрованные файлы, не пытайтесь удалить программу.
Такие действия могут легко привести к невозможности восстановления файлов и данных, потому мы не сможем помочь.
Ключ для дешифровки файлов хранится на нашем удаленном сервере.



Технические детали


 Распространяется с помощью email-спама и вредоносных вложений. Запустившись в первый раз в системе Coverton копирует себя в %UserProfile%\userlog.exe и настраивает автозагрузку вместе с Windows. Сканируя файлы на компьютере, он ищет файлы с целевыми расширениями и шифрует их. 

 Список файловых расширений, подвергающихся шифрованию: 
1cd, 1st, 2bp, 3dm, 3ds, 3fr, 4db, 4dl, 4mp, 73i, 787, 7z, 7z001, 7z002, 8xi, 980, 9png, a00, a01, a02, a3d, abm, abs, abw, accdb, accdc, accde, accdr, accdt, accdw, accft, ace, act, adn, adp, af2, af3, aft, afx, agg, agif, agp, ahd, ai, aic, aim, ain, albm, alf, alz, ani, ans, apd, apm, apng, aps, apt, apx, apz, ar, arc, arh, ari, arj, ark, art, artwork, arw, asc, ascii, ase, ask, asp, aspx, asw, asy, aty, avatar, awdb, awp, awt, aww, axx, azz, b1, b64, ba, backup, bad, bak, bay, bbs, bdb, bdp, bdr, bean, bh, bhx, bib, blend, blkrt, bm2, bmp, bmx, bmz, bna, bnd, bndl, boc, bok, boo, brk, brn, brt, bss, btd, bti, btr, bz, bz2, bza, bzabw, bzip, bzip2, c00, c01, c02, c10, c4, c4d, cal, cals, can, car, cb7, cba, cbr, cbz, cd5, cdb, cdc, cdg, cdmm, cdmt, cdmtz, cdmz, cdr, cdr3, cdr4, cdr6, cdrw, cdt, cdz, cf, cfu, cgm, chart, chord, cimg, cin, cit, ckp, clkw, cma, cmx, cnm, cnv, colz, cp9, cpc, cpd, cpg, cps, cpt, cpx, cr2, crd, crwl, css, csv, csy, ct, cv5, cvg, cvi, cvs, cvx, cwt, cxf, cyi, czip, daconnections, dacpac, dad, dadiagrams, daf, daschema, db, db2, db3, dbc, dbf, dbk, dbs, dbt, dbv, dbx, dc2, dca, dcb, dcr, dcs, dct, dcx, dd, ddl, ddoc, dds, deb, ded, design, df1, dgc, dgn, dgs, dgt, dhs, dib, dicom, dist, diz, djv, djvu, dm3, dmi, dmo, dnc, dne, doc, docm, docx, docxml, docz, dot, dotm, dotx, dp1, dpp, dpx, dqy, drw, drz, dsk, dsn, dsv, dt, dt2, dta, dtsx, dtw, dvi, dvl, dwg, dx, dxb, dxf, dxl, dz, eco, ecs, ecw, ecx, edb, efd, efw, egc, eio, eip, eit, email, emd, emf, emlx, ep, epf, epi, epp, eps, epsf, eql, erf, err, etf, etx, euc, exr, f, fadein, fal, faq, fax, fb2, fb3, fbl, fbx, fcd, fcf, fdb, fdf, fdp, fdr, fds, fdt, fdx, fdxt, fes, fft, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fic, fid, fif, fig, fil, flc, fli, flr, fm5, fmp, fmp12, fmpsl, fmv, fodt, fol, fountain, fp3, fp4, fp5, fp7, fp8, fpos, fpt, fpx, frt, ft10, ft11, ft7, ft8, ft9, ftn, fwdn, fxc, fxg, fzb, fzv, g3, gca, gcdp, gdb, gdoc, gdraw, gem, geo, gfb, gfie, ggr, gif, gih, gim, gio, glox, gmbck, gmspr, gmz, gpd, gpn, gro, grob, grs, gsd, gthr, gtp, gv, gwi, gz, gz2, gza, gzi, gzip, ha, hbc, hbc2, hbe, hbk, hdb, hdp, hdr, hht, his, hki, hki1, hki2, hpg, hpgl, hpi, hpl, hs, htc, html, hwp, hz, i3d, ib, icn, icon, icpr, idc, idea, idx, igt, igx, ihx, iil, iiq, imd, info, ink, int, ipf, ipx, itc2, itdb, itw, iwi, j, j2c, j2k, jarvis, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jis, jng, joe, jp1, jp2, jpe, jpeg, jpg, jpg2, jps, jpx, jrtf, jtf, jtx, jwl, jxr, kdb, kdbx, kdc, kdi, kdk, kes, kic, klg, knt, kon, kpg, kwd, latex, lbm, lbt, lgc, lis, lit, ljp, lmk, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwo, lwp, lws, lxfml, lyt, lyx, m3d, ma, mac, maf, man, map, maq, mat, max, mb, mbm, mbox, md5txt, mdb, mdbhtml, mdf, mdn, mdt, me, mef, mell, mft, mgcb, mgmf, mgmt, mgmx, mgtx, mhtml, min, mmat, mng, mnr, mnt, mobi, mos, mpf, mpo, mrg, mrxs, msg, mt9, mud, mwb, mwp, mxl, myd, myl, ncr, nct, ndf, nfo, njx, nlm, notes, now, nrw, ns2, ns3, ns4, nsf, nv2, nwctxt, nyf, nzb, obj, oc3, oc4, oc5, oce, oci, ocr, odb, odm, odo, ods, odt, ofl, oft, omf, openbsd, oplc, oqy, ora, orf, ort, orx, ota, otg, oti, ott, ovp, ovr, owc, owg, oyx, ozb, ozj, ozt, p7s, p96, p97, pages, pal, pan, pano, pap, pbm, pc1, pc2, pc3, pcd, pcs, pcx, pdb, pdd, pdf, pdm, pdn, pe4, pef, pfd, pff, pfi, pfs, pfv, pfx, pgf, pgm, phm, php, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, pjt, pl, plantuml, plt, pm, pmg, png, pni, pnm, pntg, pnz, pobj, pop, pp4, pp5, ppm, ppt, pptm, pptx, prt, prw, ps, psd, psdx, pse, psid, psp, pspbrush, psw, ptg, pth, ptx, pu, pvj, pvm, pvr, pwa, pwi, pwr, px, pxr, pz3, pza, pzp, pzs, qdl, qmg, qpx, qry, qvd, ras, raw, rctd, rcu, rdb, rdl, readme, rft, rgb, rgf, rib, ric, riff, ris, rix, rle, rli, rng, rpd, rpf, rpt, rri, rs, rsb, rsd, rsr, rst, rt, rtd, rtf, rtx, run, rw2, rwl, rzk, rzn, s2mv, s3m, saf, safetext, sai, sam, save, sbf, scad, scc, sci, scm, scriv, scrivx, sct, scv, scw, sdb, sdf, sdm, sdoc, sdw, sep, sfc, sfera, sfw, sgm, sig, sk1, sk2, skcard, skm, sla, slagz, sld, sldasm, slddrt, sldprt, sls, smf, smil, sms, snagitstamps, snagstyles, sob, spa, spe, sph, spj, spp, spq, spr, sqb, sql, sqlite, sqlite3, sqlitedb, sr2, srw, ssa, ssfn, ssk, st, ste, stm, stn, stp, str, strings, stw, sty, sub, sumo, sva, svf, svg, svgz, swf, sxd, sxg, sxw, t2b, tab, tb0, tbn, tcx, tdf, tdt, te, teacher, tex, text, tfc, tg4, tga, thm, thp, thumb, tid, tif, tiff, tivo, tix, tjp, tlb, tlc, tlx, .tlzma, tm, tm2, tmd, tmv, tmx, tn, tne, tpc, tpi, trelby, trm, tvj, txt, u3d, u3i, udb, ufo, ufr, uga, unauth, unity, unx, uof, uot, upd, usr, utf8, utxt, v12, vault, vbr, vct, vda, vdb, vec, vff, vml, vnt, vpd, vpe, vrml, vrp, vsd, vsdm, vsdx, vsm, vst, vstm, vstx, vue, vw, wb1, wbc, wbd, wbk, wbm, wbmp, wbz, wcf, wdb, wdp, webdoc, webp, wgz, wire, wlmp, wmdb, wmf, wn, wp, wp4, wp5, wp6, wp7, wpa, wpb, wpd, wpe, wpg, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, wvl, x, x3d, x3f, xar, xbdoc, xbplate, xdb, xdl, xef, xej, xel, xesc, xez, xfl, xhtml, xld, xlf, xlgc, xlmv, xls, xlsm, xlsx, xm, xmcdz, xmind, xmmap, xmv, xpi, xpm, xps, xvid, xwp, xx, xy3, xyp, xyw, xz, y, yal, ybk, yml, ysp, yz, yz1, z, z01, z02, z03, z04, z3d, zabw, zap, zdb, zdc, zfsendtotarget, zi, zif, zip, zipx, zix, zl, zoo, zpi, zw, zz (988 расширений). 
На сайте Symantec указано ещё больше — 1479 расширений. 

   Coverton также удаляет теневые копии файлов и точки восстановления, чтобы их нельзя было использовать для восстановления зашифрованных файлов. Затем передаёт информацию о проделанной работе (начало работы, начало шифрования, окончание шифрования, количество зашифрованных файлов, общий размер зашифрованных файлов и пр.) на C&C-сервер. Эта информация будет использована на TOR-сайте вымогателей при отображении статистики.

TOR-сайт вымогателей называется Corveton Decryptor. Здесь жертва будет видеть информацию о том, сколько на компьютере было зашифровано файлов и каков их общий размер. Каждой жертве присваивается уникальный Bitcoin-адрес, который требуется для отправки выкупа в 1 Bitcoin.
Внешний вид Corveton Decryptor
Сайт Corveton Decryptor

  После уплаты выкупа в 1 Bitcoin эта страница отобразит ссылку для загрузки дешифратора. Но как показал опыт заплативших, выкуп бесполезен, т.к. дешифратор некорректно дешифрует все зашифрованные файлы. Таким образом, оплачивая выкуп, пострадавшие рискуют потерять не только файлы, но и деньги.

 Файлы Coverton Ransomware (копии себя)
%System%\crrss.exe
%UserProfile%\userlog.exe

Файлы, связанные с Coverton Ransomware Family:
%UserProfile%\userlog.exe
%UserProfile%\Desktop\!!!-WARNING-!!!.html
%UserProfile%\Desktop\!!!-WARNING-!!!.txt
%UserProfile%\Desktop\old

Записи реестра, связанные с Coverton Ransomware Family:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\userlog    %UserProfile%\userlog.exe

Записи реестра для автозапуска Coverton Ransomware: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"crrss" = "%System%\crrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"userlog" = "%UserProfile%\userlog.exe”

Другие записи реестра Coverton Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = 
"%System%\userinit.exe,%System%\crrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\CharMap\"Guid" = "[BINARY DATA]"
Write-up on BC >>
Тема поддержки на форуме BC >>

 Степень распространённости: средняя. 
 Подробные сведения собираются.

Booyah, Salam!

Booyah Ransomware

Salam! Ransomware

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные, а затем требует 1-2 BTC, чтобы вернуть файлы обратно. Через неделю сумма выкупа увеличивается до 7 BTC. На файле может быть написано, что угодно. Разработчик: Mohammad. 

© Генеалогия: Booyah (Salam!) ⇔ CryptoBitMobef

К зашифрованным файлам добавляется расширение .keyz 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: WHATHAPPENEDTOYOURFILES.txt

Содержание записки о выкупе: 
Your ID: 757575
***
Hi. Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. If you pay me today, the price is only 1 bitcoin.
If you pay me tomorrow, you will have to pay 2 bitcoins. If you pay me one week later the price will be 7 bitcoins and so on. So, hurry up.
Contact me using this email address: mohammad@opensourcemail.org

Перевод записки на русский:
Ваш ID :  757575 
*** 
Привет. Ваши файлы зашифрованы. У меня есть ключ для их дешифровки. 
Я дам вам декриптер, если вы заплатите мне. Если платите сегодня, то всего 1 Bitcoin. 
Если платите мне завтра, то 2 Bitcoins. Если через неделю, то цена будет 7 Bitcoins и так далее. Так что, поторопитесь.
Контакт со мной, используя этот email-адрес: mohammad@opensourcemail.org

Другим информатором жертвы выступает изображение на рабочем столе с тем же текстом о выкупе.
Примеры из разных версий Windows

Третьим информатором жертвы выступает диалоговое окно от разработчика-вымогателя оп имени Мохаммад. 
Содержание текста:
My name is Mohammad and I just tried to infect you with malware.
If you'd like to tell me what a twat I am, email: mohammad@opensourcemail.org
PS: You should really consider getting an antivirus, even a free one will help!

Перевод на русский язык:
Меня зовут Мохаммад, и я попытался заразить вас вредоносным ПО.
Если вы хотите сообщить мне, то мой email: mohammad@opensourcemail.org
PS: Вы должны подумать о получении антивируса, даже бесплатный поможет!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Booyah Ransomware устанавливается как программа (используется Nullsoft Scriptable Install System, NSIS), содержит упакованную DLL, которая и выполняет шифрование. 

Список зашифрованных файлов хранится в незашифрованном файле в директории %APPDATA%\%ID%, например, в %APPDATA%\757575 из примера.

Список файловых расширений, подвергающихся шифрованию:
.aif, .aifc, .aiff, .asf, .asx, .au, .bmp, .dib, .doc, .docx, .dot, .dvr-ms, .emf, .gif, .hta, .htm, .html, .ico, .IVF, .jfif, .jpe, .jpeg, .jpg, .m1v, .m3u, .mht, .mid, .midi, .mp2, .mp2v, .mp3, .mpa, .mpe, .mpeg, .mpg, .mpv2, .pdf, .png, .pot, .pps, .ppt, .pptx, .rle, .rmi, .rtf, .snd, .tif, .tiff, .wav, .wax, .wm, .wma, .wmf, .wmv, .wmx, .wvx, .xbap, .xls, .xlsx, .xlt, .xlw, .xml, .xps, .zip (64 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Шифровальщик пропускает папки, содержащие следующие строки:
application
audio
compressed
document
gamemedia
image
system
text
video
Иконка исполняемого файла

Файлы, связанные с этим Ransomware:
booyah.exe (<random>.exe) - основной исполняемый файл;
tribologists.dll - dll-ка шифровальщика;
WHATHAPPENDTOYOURFILES.TXT - записка о выкупе; 
CRIPTOSO.KEY - специальный файл, находится в каждой папке, где есть зашифрованные файлы.
Файл CRIPTOSO.KEY нужно предоставлять вымогателю для получения декриптера и персонального ключа дешифрования после уплаты выкупа. 
<8_numbers_ID>

Расположения:
\AppData\<8_numbers_ID>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://videodrome69.com/2/booyah.exe
xxxx://videodrome69.com/knock.php?id=758275
IP: 200.74.241.151
Email: mohammad@opensourcemail.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Booyah)
 Write-up, Topic of Support
 Video review 
 Thanks: 
 Michael Gillespie
 TrendMicro
 GrujaRS
 victim of crypto-ransomware
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 24 марта 2016 г.

Petya

Petya Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует жёсткий диск компьютера, портит таблицу размещения файлов NTFS, известную как MFT. Работа с диском выполняется на низком посекторном уровне, в результате чего полностью теряется доступ ко всем файлам на томе.

На момент написания статьи исследователи предполагали, что блокируется только доступ к файлам, но сами файлы не шифруются. Но другие исследователи замечают, что при повреждённом MFT файлы на диске всё равно будут недоступны. 

👉 Примечательно, что этот первый Petya не мог обходить UAC, поэтому запрашивал административные привилегии на установку, чтобы потом тайно изменить MBR. Если привилегий он не получал, то ничего плохого на компьютере не делал.

© Генеалогия: Petya > Petya+Mischa (Petya-2) > GoldenEye (Petya-3) > ☠ Petna ...


Обратите внимание на логотип крипто-вымогателя. 
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами. 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает экран блокировки, где на красном фоне белыми буквами написаны основные требования вымогателей. 

Содержание записки о выкупе:
You became victim of the PETYA RANSOMWARE!
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Enter your personal decryption code there:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
If you already purchased your key, please enter it below.
Key: _

Перевод записки на русский язык:
Вы стали жертвой PETYA RANSOMWARE!
Жёсткие диски вашего компьютера были зашифрованы с алгоритмом шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице тёмной сети, показанной на шаге 2-м.
Чтобы приобрести ключ и восстановить свои данные, выполните следующие три простых шага:
1. Загрузите Tor-браузер со страницы xxxxs://www.torproject.org/. Если вам нужна помощь, то погуглите для "доступа к onion-сайтам".
2. Посетите одну из следующих страниц с помощью Tor-браузера:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Введите свой личный код дешифрования:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
Если вы уже приобрели свой ключ, введите его ниже.
Ключ: _



Технические детали

Вредоносное ПО Petya, вероятно, разработано специально для атак на организации и предприятия. Распространяется с помощью фишинговых электронных писем (email-спама), адресованных отделам кадров, специалистам по кадрам, тем кто обязан просматривать резюме кандидатов на вакантную должность (т.н. соискателей)См. также "Основные способы распространения криптовымогателей" на вводной странице блога.



Письма приходят якобы от соискателей и содержат резюме и ссылку на Dropbox, откуда якобы можно загрузить "портфолио". Но вместо портфолио по ссылке находится вредоносный файл – Bewerbungsmappe-gepackt.exe (что-то вроде "application_portfolio-packed", если перевести название на английский).

После нажатия на эту ссылку загружается EXE-файл, а при попытке его запуска система аварийно завершает работу, появляется синий экран и перезагружается компьютер. До перезагрузки Petya изменяет MBR диска, тем самым получая контроль над процессом перезагрузки компьютера.


После перезагрузки компьютера жертва увидит имитацию стандартной для Windows проверки диска (CHKDSK). На этом экране утверждается, что запускается проверка диска, но на самом деле это тот момент, когда файлы на ПК становятся недоступными для пользователя. 

По окончании "проверки" на экране компьютера загружается не операционная система, а экран блокировки Petya. Сначала появляется мигающий экран, где на красном фоне "красуется" стилизованное изображение черепа с костями. Здесь от жертвы требуется только Press Any Key (нажать любую клавишу).

На следующем экране пострадавшему сообщается, что все данные на его жёстких дисках были зашифрованы при помощи некоего "военного алгоритма шифрования", и восстановить их невозможно. Приводится также инструкция по покупке ключа для разблокировки компьютера: "сделать три простых шага": скачать Tor Browser, перейти по заданной ссылке и оплатить ключ для дешифровки. Через 7 дней цена на ключ дешифрования удвоится (см. ниже скриншот, демонстрирующий отсчет оставшегося времени).

Список файловых расширений, подвергающихся шифрованию:
Не определён. Но это в первую очередь могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Или же все файлы без разбора. 

Файлы, связанные с этим Ransomware:
Bewerbungsmappe-gepackt.exe
<random>.exe
petya_dlab.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на petya_dlab.dll >> 
Коллекция образцов Petya за всё время (см. вкладку "Родство") >>

Степень распространённости: средняя, но перспективно высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Write-up, Write-up
 Video review 
 Thanks: 
 G DATA 
 Lawrence Abrams
 Malwarebytes Labs
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

среда, 23 марта 2016 г.

Maktub Locker

Maktub Locker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1,4 биткоинов, чтобы вернуть файлы. По прошествии времени сумма может увеличиться и достигнуть уровня 3,9 биткоинов. Название оригинальное: Maktub - по арабски: "судьба" или "предначертанное".

© Генеалогия: Начало.

К зашифрованным файлам добавляется случайное расширение: .<random>

Этот шифровальщик не только шифрует файлы, но и сжимает их так, что сжатый файл становится буквально крошечным. См. пример. 

Активность этого криптовымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: _DECRYPT_INFO_[random].html

Содержание текста о выкупе:
WARNING!
Your personal files are encrypted!
11:54:16
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. The server will eliminate the key after a time period specified in this window.
Open http://qjuyyhqqzfeluxe7.onion.link
or http://qjuyyhqqzfeluxe7.torstorm.org
or http://qjuyyhqqzfeluxe7.tor2web.org
in your browser. They are public gates to the secret server.
If you have problems with gates, use direct connection:
1) Download TOR Browser from http://torproject.org
2) In the Tor Browser open the http://qjuyyhqqzfeluxe7.onion
(Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable).
Write in the following public key in the input form on server:
*****

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Ваши личные файлы зашифрованы!
11:54:16
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с сильным шифрованием и уникальным ключом, сгенерированным для этого компьютера. Секретный ключ дешифрования хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы не заплатите и получите секретный ключ. Сервер удалит ключ после определенного периода времени, указанного в этом окне.
Откройте http://qjuyyhqqzfeluxe7.onion.link
или http://qjuyyhqqzfeluxe7.torstorm.org
или http://qjuyyhqqzfeluxe7.tor2web.org
в вашем браузере. Они являются публичными путями на секретный сервер.
Если у вас есть проблемы с ними, используйте прямое подключение:
1) Скачать Tor Browser из http://torproject.org
2) В браузере Tor открыть http://qjuyyhqqzfeluxe7.onion
(Обратите внимание, что этот сервер доступен только через Tor Browser. Повторите попытку через 1 час, если сайт недоступен).
Запишите в следующем открытый ключ в форме входа на сервер:
*****

Распространяется с помощью email-спама и вредоносных вложений (например, исполняемый файл с расширением .SCR), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Вредоносное приложение сработает при открытии вложения. Пример файла вложения — это TOS-update-2016-Marth-18.scr
Если пользователь бездумно запустит вложение, то сначала увидит документ Word (см. скриншот выше) типа "обновление условия использования", тогда как вымогатель уже начинает шифрование данных. 


По завершении шифрования файлов Maktub оставит записку с требованием выкупа _DECRYPT_INFO_[random].html

Примечательно, Tor-сайт у Maktub Locker на день написания статьи является, наверное, самым дизайнерски проработанным вымогательским сайтом. Он разделен на 5 страниц, каждая из которых имеет свою собственную художественную тему. Они могли быть созданы самими разработчиками, а логотип взят у дизайнера на Deviant Art.

Для наглядности я сделал из скриншотов пяти страниц сайта вымогателей одно анимированное изображение. 

1. Первая страница представляет собой краткое изложение того, что случилось с файлами жертвы.
2. На второй представлена процедура бесплатного дешифрования двух зашифрованных файлов жертвы.
3. На третьей показаны этапы оплаты, которые может выбрать жертва (сумма выкупа может возрасти).
4. Четвертая содержит уникальный Bitcoin-адрес, на который жертва должна перевести выкуп.
5. Пятая страница представляет стандартный способ, как и где купить биткоины.

Содержание страниц сайта с переводом на русский язык:

1. HELLO!
We're very sorry that all of your personal files have been encrypted :( But there are good news - they aren't gone, you still have the opportunity to restore them! Statistically, the lifespan of a hard-drive is anywhere from 3 to 5 years. If you don't make copies of important information, you could lose everything! Just imagine! In order to receive the program that will decrypt all of your files, you will need to pay a certain amount. But let's start with something else...

1. ПРИВЕТ!
Нам очень жаль, что все ваши личные файлы были зашифрованы :( Но есть хорошие новости - они не ушли, у вас еще есть возможность восстановить их! По статистике, продолжительность жизни жесткого диска составляет от 3 до 5 лет. Если вы не делаете копии важной информации, вы можете потерять все! Представьте! Для того, чтобы получить программу, которая будет расшифровывать все ваши файлы, вам нужно будет заплатить определенную сумму. Но давайте начнем с другого...

2. WE ARE NOT LYING! 
Googling 'MAKTUB LOCKER' will instantly bring up many sugestiong on deleting the program from your personal computer. But not one of the third party programs will be able to do the most important thing - to decrypt your files! In order to do this, you need to have the private master-key that only we have. And only we can restore all of your files. And to show that we aren't making unfounded statements, we'll prove it. Upload any encrypted file, no larger than 200kb, and we will decrypt it, absolutely free!
Files available to decrypt: 2

2. МЫ НЕ ЛЖЕМ!
Погуглите 'MAKTUB LOCKER' и мгновенно найдётся много советов по удалению программы с вашего ПК. Но ни одна из программ сторонних разработчиков не сможет сделать самое главное - расшифровать файлы! Чтобы это сделать, вам нужно иметь секретный мастер-ключ, который есть только у нас. И только мы можем восстановить все ваши файлы. И для подтверждения того, что мы не делаем необоснованных заявлений, мы это докажем. Добавьте любой зашифрованный файл не более 200 КБ, и мы его расшифруем, абсолютно бесплатно!
Файлы, доступные для расшифровки: 2

3. HOW MUCH DOES IT COST? 
We hope that you are convinced that we can decrypt all of your files. Now, the most important thing! The faster you transfer the money, the cheaper file decryption will be. At every stage of payment, you get 3 days or 72 hours. You can see the countdown in the right top comer. After the clock shows 00:00:00 you go to the next stage of payment and the price automatically increases. We only accep the electronic currency Bitcoin as a form of payment. Here is a table that shows the date of payment and the price. Your current stage is marked in yellow.

Stage Time of payment How much money should be sent
1 During the first 3 days 1.4 BTC (~$588)
2 From 3 to 6 days 1.9 BTC (~$798)
3 From 6 to 9 days 2.4 BTC (~$1008)
4 From 9 to 12 days 2.9 BTC (~$1218)
5 From 12 to 15 days 3.4 BTC (~$1428)
(*) More than 15 days 3.9 BTC (~$1638)

(*) After 15 days of no payment, we do not guarantee that we saved the key. This site can be disconnected at any moment and you will lose your data forever. Please take this seriously. 

3. СКОЛЬКО ЭТО СТОИТ?
Мы надеемся, что вы убедились в том, что мы можем расшифровать все ваши файлы. Теперь, самое главное! Чем быстрее вы переведёте деньги, тем дешевле будет дешифрование файлов. На каждом этапе оплаты вы получаете 3 дня или 72 часа. Вы можете видеть обратный отсчет времени в правом верхнем углу. После того, как часы покажут 00:00:00 вы переходите к следующему этапу оплаты и цена автоматически увеличивается. Мы принимаем только электронную валюту Bitcoin в качестве формы оплаты. Ниже приведена таблица, которая показывает дату оплаты и цены. Ваш нынешний этап отмечен жёлтым цветом.

Этап времени оплаты  Какую сумму нужно перевести
1 за первые 3 дня 1.4 BTC (~$588)
2 от 3 до 6 дней 1.9 BTC (~$798)
3 от 6 до 9 дней 2.4 BTC (~$1008)
4 от 9 to 12 дней 2.9 BTC (~$1218)
5 от 12 to 15 дней 3.4 BTC (~$1428)
6 (*) более 15 дней 3.9 BTC (~$1638)

(*) Через 15 дней без оплаты мы не можем гарантировать, что сохраним ключ. Этот сайт может быть отключен в любой момент, и вы потеряете ваши данные навсегда. Поверьте, это серьезно.

4. WHERE DO I PAY? 
The whole process of payment confirmation is automated! You won't have to wait while we manually check the status of the incoming payment. As soon as you send the money, it will only take a few hours for the system to automatically count them and create the program that will decode your files.
After sending your payment just refresh this site after a couple of hours.
You must transfer 1.4 BTC to the following address:
***

4. КАК МНЕ ОПЛАТИТЬ?
Весь процесс подтверждения оплаты автоматизирован! Вам не придется ждать, пока мы вручную проверим состояние входящего платежа. Как только вы пошлёте деньги, пройдёт всего несколько часов, система автоматически рассчитает их и создаст программу, которая будет декодировать файлы.
После отправки платежа просто обновите эту страницу через пару часов.
Вы должны передать 1.4 BTC по следующему адресу:
***

5. BITCOIN PURCHASE
If this is the first time you heard about Bitcoin, don't despair! Simply google this word and you will find all the answers. We can just recommend a few sites that will be of use to you.
Buying Bitcoins - This page aims to be the best resource for new users to understand how to buy Bitcoins
Localbitcoins (WU)  - Buy Bitcoins with Western Union
Coincafe.com - Recommended for fast, simple service. Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Service allows you to search for people in your community willing to sell bitcoins to you directly
btcdirect.eu - THE BEST FOR EUROPE
coinrnr.com - Another fast way to buy bitcoins
bitquick.co - Buy Bitcoins Instantly for Cash
How To Buy Bitcoins - An international directory of bitcoin exchanges
Cash Into Coins - Bticoin for cash
CoinJar - CoinJar allows direct bitcoin purchases on their site
ZipZap - Global cash payment network enabling consumers to pay for digital currency

5. ПОКУПКА BITCOIN 
Если это первый раз, когда вы услышали о Bitcoin, не пугайтесь! Просто гуглите это слово и вы найдете ответы на все вопросы. Мы можем порекомендовать несколько сайтов, которые будут для вас полезны.
Buying Bitcoins - Эта страница скорее всего лучший ресурс для новых пользователей, чтобы понять, как купить Bitcoins
Localbitcoins (WU)  - Купить Bitcoins с Western Union
Coincafe.com - Рекомендуется для быстрого и простого обслуживания. Способы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Сервис позволяет искать людей в вашем сообществе, готовых вам напрямую продать Bitcoins 
btcdirect.eu - ЛУЧШИЙ ДЛЯ ЕВРОПЫ
coinrnr.com - Еще один быстрый способ купить биткойны
bitquick.co - Купить Bitcoins мгновенно за наличные
How To Buy Bitcoins - международный каталог Bitcoin бирж
Cash Into Coins - Bticoin за наличные
CoinJar - CoinJar позволяет прямые покупки Bitcoin на своем сайте
ZipZap - Глобальная сеть оплаты наличными, позволяет потребителям платить за электронную валюту

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр. 

Не подвергаются шифрованию следующие папки с файлами:
\Internet Explorer\
\History\
\Mozilla\
\Chrome\
\Temp\
\Program files\
\Program files (x86)\
\Microsoft\
\Chache\
\Chaches\
\Appdata\

Файлы, связанные с этим Ransomware:
TOS-update-2016-Marth-18.scr
_DECRYPT_INFO_[random].html
<random>.exe
%TEMP%\cupydupy.cab

%TEMP%\<random>.rtf

Записи реестра, связанные с этим Ransomware:
См. результаты анализов. 

Сетевые подключения:
qunpack.ahteam.org
bs7aygotd2rnjl4o.onion.link

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 17 декабря 2016
Пост в Твиттере >>
Файл: ChartFewer.exe 
Фальш-имя: ChartFewer, Bitdefender
Записка: _DECRYPT_INFO_wypt.html
Расширение: .wypt
Результаты анализов: VT

Обновление от 22 марта 2017:
Файлы: 
invoice-03-21-2017-EZU280432-update.scr
invoice-03-21-2017-ENC197472.scr
Результаты анализов: VT, VT


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up on BC + Write-up on Malwarebytes
 My Write-up on SZ
 *
 Thanks: 
 Yonathan Klijnsma
 Michael Gillespie
 Lawrence Abrams
 I myself, as SNS-amigo :)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *