BadBlock Ransomware
(шифровальщик-вымогатель)
Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 (CBC-режим, RSA-2048 ключ), а затем требует 2 биткоина (~$900) за расшифровку.
К зашифрованным файлам никакое специальное расширение не добавляется.
Записки о выкупе называются Help Decrypt.html и Help_Decrypt.txt и размещаются в каждой папке с зашифрованными файлами.
В качестве обоев рабочего стола ставится изображение Help_Decrypt.png с аналогичным содержанием и таким же яркокрасным дизайном.
Содержание записки о выкупе:
BadBlock is on the block!
This machine was infected with ransomware BadBlock. Many of your files are encrypted using RSA algorithm, and
the key to decrypt this files is with us on our server.
- What this means?
It means that to decrypt and recover your files, you will need to pay a ransom, in bitcoins. The actual ransom for your machine is 2 bitcoins (USD -900.00).
If you are not interested in pay this ransom, you can easily format this machine, or even remove BadBlock (it's not that hard), but all your files will become unrecoverable!
- How do I pay?
You simply buy bitcoins. and transfer them to this account: 19zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
The amount is 2 bitcoins. like we talked earlier... You can use this link or this link to help you out on how to buy the bitcoins.
- What happens after the payment?
BadBlock still running on your computer right now. and waiting to detect one payment of 2 BTC on the address mentioned above. Once it detects, it will start to decrypt all the encrypted files. The process to detect the payment can take up to 2 hours, and only after this it will start decrypting your files. So after payment leave this machine powered.
For this reason, we strongly recommend you to not try to remove BadBlock. and disable your anti-virus for a while, until you pay and the payment gets processed, to BadBlock start decrypting. If your anti-virus gets updated and remove BadBlock automatically, even if you pay the ransom, it will not be able to recover your files!
- How do I know that you will really decrypt my files after payment?
You don't You have only one choice to recover your files: pay the ransom. We have no interest in keeping your files locked for any reason. So right now. just rely on us and everything will be fine.
Перевод записки на русский язык:
BadBlock в действии! (Буквально "в на блоке")
Эта машина инфицирована вымогателем BadBlock. Многие ваши файлы зашифрованы с помощью алгоритма RSA, а ключ дешифровки хранится на нашем сервере.
- Что это значит?
Это значит, что для дешифровки и восстановления файлов вам нужно заплатить выкуп в биткоинах. Он составляет 2 BTC или $900.
Если вы не желаете платить выкуп, то можете легко отформатировать диск, или даже удалить BadBlock (это нетрудно), но все ваши файлы будут утеряны!
- Как уплатить выкуп?
Нужно купить биткоины и передать их на этот счет: 19zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
Всего 2 биткоина, как мы говорили ранее. Вы можете использовать эту или эту ссылку, чтобы узнать, как купить биткоины.
- Что будет после уплаты выкупа?
BadBlock будет работать на вашем ПК и ждать информации о поступлении 2 BTC на указанный адрес. После получения этой информацию, он начнет дешифровку всех зашифрованных файлов. Ожидание платежа длится до 2-х часов, и только после этого начнется дешифровка файлов. Поэтому, после оплаты оставьте ПК включенным.
Потому, мы рекомендуем не пытаться удалять BadBlock и отключить на время антивирус, пока вы платите, платеж обрабатывается, BadBlock ждёт, чтобы начать дешифровку. Если ваш антивирус обновится и автоматом удалит BadBlock, то, даже если вы платили выкуп, он не сможет восстановить ваши файлы!
- Как я узнаю, что вы расшифруете мои файлы после уплаты?
Нет другого способа, чтобы восстановить файлы: только уплата выкупа. Мы по-любому не хотим хранить заблокированные файлы. Так что, просто доверьтесь нам и все будет хорошо.
Технические детали
Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player и другими способами.
➤ Важные особенности BadBlock:
1) В отличие от почти всех других вымогателей инфекций, BadBlock не только шифрует свои файлы, но также шифрует исполняемые файлы на вашем ПК, в том числе важные системные файлы Windows. Это значит, когда вы перезагрузите ПК после шифрования BadBlock-а, то обнаружите, что система больше не запускается из-за того, что важные исполняемые файлы были зашифрованы, как показано на картинке ниже.
2) Большинство криптовымогателей не любят раньше времени, пока шифрование не завершено, демонстрировать свое присутствие. BadBlock же наоборот, открыто говорит жертве, что он делает в то самое время, когда это делает, см. скриншот ниже.
3) Так как пользователь уже будет знать, что BadBlock шифрует его файлы, то может в диспетчере задач завершить процесс badransom.exe, чтобы прервать шифрование.
➤ Впервые запустившись на компьютере BadBlock создаёт исполняемый файл со случайным именем в директориях %AppData% и %LocalAppData%. Этот исполняемый файл запускается и начинает сканирование всех дисков (от C до Z) на компьютере в поисках целевых данных для шифрования.
➤ Примечательно, что Windows 10 также подвержена атаке этого шифровальщика.
Список файловых расширений, подвергающихся шифрованию:
3ds, .3fr, .7z, .aac, .accdb, .accdc, .accde, .accdt, .ai, .apk, .arch00, .arw,.asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c4d, .cab, .cas, .cdr, .cdt, .cer, .cfr, .cr2, .crt, .crw, .class, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dba, .dbx, .dbf, .dcr, .dds, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drw, .dwg, .dxf, .dxg, .epk, .eps, .erf, .esm, .exe, .fdb, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gdoc, .gho, .gif, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .maf, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrwref, .msg, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .old, .orf, .ott, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pic, .pkpass, .png, .pps, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pwi, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .save, .sb, .sdc, .sdf, .sdw, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sqlite, .sr2, .srf, .srw, .sum, .svg, .swf, .sxw, .syncdb, .t12, .t13, .tax, .tif, .tor, .txt, .u3d, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vsd, .vtf, .w3x, .wb2, .wav, .wdb, .webm, .wma, .wmf, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (244 расширения).
Файлы, связанные с этим Ransomware:
Help Decrypt.html - во всех папках с зашифрованными файлами
Help_Decrypt.txt - во всех папках с зашифрованными файлами
Help_Decrypt.png - встаёт на обои Рабочего стола
badblock.exe - исполняемый файл и файл экрана блокировки
badransom.exe - копия оригинального файла
baman.vad - файл с кодом
<random>.exe - случайное название
calculator.vbs
notepad.vbs
Всего 444 файла.
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User_name\Documents\badblock.exe
C:\ProgramData\Network Prosoft\badransom.exe
C:\ProgramData\Network Prosoft\baman.vad
C:\ProgramData\Network Prosoft\warn: - содержимое файла Help Decrypt.html
Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BadBlockR
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BadBlockR
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zone Map\UNCAsIntranet
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zone Map\AutoDetect
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://managemilz.com/
BTC-1: 19zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
BTC-2: 115JX84uZi1VSpYcPjdAn3YgEe4gZxGHKr
BTC-3: 1Bxsquyg8bnf7hZWj62XsqTjvsHhs6CfrB
Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>
Степень распространенности: высокая.
Подробные сведения собираются.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть два дешифровщика 1) Скачать BadblockDecrypter от Emsisoft >> *** 2) Скачать Avast free decryption tool >> ***
Read to links: Tweet on Twitter ID Ransomware (ID as BadBlock) Write-up, Topic of Support *
Thanks: Mosh, Michael Gillespie BleepingComputer Jakub Kroustek *
© Amigo-A (Andrew Ivanov): All blog articles.