Nemucod-AES Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей (первые 2 Кб файла) с помощью AES-128 (режим ECB) + RSA-2048, а затем требует выкуп в ~0,11-~0,13 BTC, чтобы вернуть файлы. Оригинальное название Nemucod xxx.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: Nemucod > Nemucod-AES
К зашифрованным файлам никакое расширение не добавляется.
Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
Decrypt.txt
Decrypt.hta
Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола. Или это файл HTA. Содержание текста видимо аналогичное.
Содержание записки о выкупе:
ATTENTION!
All your documents, photos, databases and other important personal files were encrypted using a combination of strong RSA-2048 and AES-128 algorithms.
The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here:
xxxxs://blockchain.info/wallet/new
2. Buy 0.11471 bitcoins here:
https://localbitcoins.com/buy_bitcoins
3. Send 0.11471 bitcoins to this address:
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Open one of the following links in your browser:
xxxx://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Download and run decryptor to restore your files.
You can find this instruction in "DECRYPT" file on your desktop.
ВНИМАНИЕ!
Все ваши документы, фото, базы данных и другие важные личные файлы были зашифрованы с сочетания сильных алгоритмов RSA-2048 и AES-128.
Единственный способ восстановить ваши файлы - купить декриптор. Пожалуйста, выполните следующие действия:
1. Создайте свой биткойн-кошелек здесь:
xxxxs://blockchain.info/wallet/new
2. Купите 0.11471 биткойна здесь:
https://localbitcoins.com/buy_bitcoins
3. Отправьте 0.11471 биткойна по этому адресу:
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Откройте в браузере одну из следующих ссылок:
хххх://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
хххх://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Загрузите и запустите декриптор для восстановления ваших файлов.
Вы можете найти эту инструкцию в файле "DECRYPT" на своем рабочем столе.
Другой вариант записки о выкупе:
ATTENTION!
All your documents, photos, databases and other important personal files were encrypted
using a combination of strong RSA-2048 and AES-128 algorithms.
The only way to restore your files is to buy decryptor. Please, follow these steps:
1. Create your Bitcoin wallet here:
xxxxs://blockchain.info/wallet/new
2. Buy 0.13066 bitcoins here:
xxxxs://localbitcoins.com/buy_bitcoins
3. Send 0.13066 bitcoins to this address:
1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
4. Open one of the following links in your browser:
xxxx://luxe-limo.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://musaler.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://vinoteka28.ru/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://www.agrimixxshop.com/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
xxxx://sharedocsrl.it/counter/?1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
Download and run decryptor to restore your files.
You can find this instruction in "DECRYPT" file on your desktop.
Этот вариант записки различается лишь деталями (сумма выкупа, адреса и пр.).
Технические детали
Как и предыдущие версии Nemucod-семейства новый Nemucod-AES шифрует только первые 2 Кб каждого целевого файла. Однако, в отличие от своих предшественников, Nemucod-AES использует шифрование AES со случайным образом созданным 128-битным ключом для каждого файла.
Зашифрованные данные, а также имя файла и ключи AES, зашифрованные RSA, затем сохраняются в файле базы данных (с раширением .db) внутри каталога %TEMP%. Затем Nemucod-AES перезаписывает исходные первые 2 Кб файла случайными данными.
Поскольку зашифрованные данные хранятся не в файлах, а в отдельном файле базы данных, то этот файл необходим для процесса дешифрования.
Затем Nemucod-AES удаляет все теневые копии файлов и создаёт заметку о выкупе DECRYPT.hta на рабочем столе, потребовав от жертвы выкуп $300 в биткоинах, чтобы вернуть свои файлы.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (JS, EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .als, .arc, .arj, .asc, .asf, .asm, .asp, .aup, .avi, .backup, .bak, .bas, .bat, .blend, .bmp, .brd, .bz, .bz2, .bza, .bzip, .bzip2, .c, .cad, .cdr, .cgm, .class, .cmd, .cpp, .cpr, .cpt, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dsk, .dwg, .eps, .fb2, .fla, .flv, .frm, .gif, .gpg, .gz, .gzip, .h, .hwp, .ibd, .ice, .img, .indd, .iso, .jar, .java, .jpeg, .jpg, .js, .kdb, .kdbx, .key, .lay, .lay6, .ldf, .lwo, .lws, .m3u, .m4u, .m4v, .max, .mb, .mdb, .mdf, .mid, .midi, .mkv, .mml, .mov, .mp3, .mp4, .mpe, .mpeg, .mpg, .mpp, .ms11, .ms11, .myd, .myi, .nef, .npr, .odb, .odg, .odm, .odp, .ods, .odt, .ogg, .onenotec2, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .pgp, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pub, .py, .qcow2, .r00, .r01, .r02, .r03, .rar, .raw, .rb, .rm, .rtf, .scad, .sch, .sh, .skp, .sldasm, .slddrw, .sldm, .sldprt, .sldx, .slk, .sql, .sqlite3, .sqlitedb, .ssh, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .tsv, .txt, .u3d, .uop, .uot, .vb, .vbproj, .vbs, .vcproj, .vdi, .veg, .vhd, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wk1, .wks, .wma, .wmf, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (222 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Исключения из шифрования:
\winnt, \boot, \system, \windows, \tmp, \temp, \program,\appdata, \application, \roaming, \msoffice, \temporary, \cache, recycler
Файлы, связанные с этим Ransomware:
UPS-Delivery-005156577.doc.js
UPS-Receipt-4424638.doc.js
Decrypt.txt
Decrypt.hta
<random>.doc
<random>.exe
Cab<random>.tmp
Tar<random>.tmp
Расположения:
\Desktop\Decrypt.txt
%TEMP%\<random>.doc
%TEMP%\<random>.exe
%TEMP%\Cab<random>.tmp
%TEMP%\Tar<random>.tmp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://elita5.md/counter/***
xxxx://artdecorfashion.com/counter/***
xxxx://goldwingclub.ru/counter/***
xxxx://perdasbasalti.it/counter/***
xxxx://natiwa.com/counter/***
xxxx://luxe-limo.ru/counter/***
xxxx://musaler.ru/counter/***
xxxx://vinoteka28.ru/counter/***
xxxx://www.agrimixxshop.com/counter/***
elita5.md (217.26.160.15 Молдова)
goldwingclub.ru (62.109.17.210 Россия)
amis-spb.ru (77.222.61.227 Россия)
и другие (см. гибридный анализ)
BTC: 1FeZr4bvMpCf1QTS49VjsdhtnP6zPvMjbP
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >>
Другой анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Nemucod-AES) Write-up (July 12th, 2017), Topic of Support *
Thanks: Michael Gillespie Emsisoft Lab * *
© Amigo-A (Andrew Ivanov): All blog articles.