Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 10 января 2016 г.

CryptoJoker

CryptoJoker Ransomware 

(шифровальщик-вымогатель) (первоисточник)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в биткоинах, чтобы вернуть файлы обратно. 

Активность этого крипто-вымогателя пришлась на деабрь 2015 - январь-март 2016 г. Ориентирован на англоязычных и русскоязычных пользователей. 

На русском языке название звучит как КриптоДжокер. Не путайте с CryptoLocker (КриптоЛокер). 

© Генеалогия: CryptoJoker 2016 ✂️ + EDA2 >> ExecutionerCryptoJoker 2017 > ExecutionerPlus > CryptoNar (CryptoJoker 2018) > CryptoJoker 2019 >
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .crjoker

 Записки с требованием выкупа называются: README!!!.txt, GetYouFiles.txt, crjoker.html и другие.

Последний файл фактически является экраном блокировки с отсчетом оставшегося времени. Текст написан на русском и английском языках. 

Содержание записки о выкупе: 
ENGLISH:
Your personal files were encrypted using RSA key cryptographically!
It decrypts files can be knowing a unique, private RSA key length of 2048 bits, which is only for us.
Write to us at mail: file987@sigaint.org Spare mails: file9876@openmail.cc or file987@tutanota.com
Instructions for payment will be sent in the opposite letter.
After payment we will send your key and decoder.
And remember, you only have 72 hours to make a payment, then the price will rise to decipher.
Attempts to decipher on their own will not lead to anything other than irretrievable loss of information.
Your unique key that is required to send to the specified email:
Good luck.

RUSSIAN:
Ваши личные файлы были зашифрованы при помощи криптостойкого RSA ключа!
Расшифровать файлы можно зная уникальный, закрытый RSA ключ длиной 2048 бит, который есть только у нас.
Напишите нам на мейл: file987@sigaint.org Запасные мейлы: file9876@openmail.cc или file987@tutanota.com
Инструкция для оплаты будут высланы в обратном письме.
После оплаты мы вышлем ваш ключ и дешифратор.
И помните, у вас есть только 72 часа, чтобы произвести оплату, потом цена на расшифровку поднимется.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Ваш уникальный ключ, который обязательно вышлите на указанный email:
Удачи.

Перевод записки на русский язык: 

Не требуется, т.к. уже сделан самими вымогателями.

  Распространяется с помощью email-спама и вредоносных вложений. Установщик CryptoJoker маскируется под PDF-файл. После запуска установщика на выполнение будет докачано и сгенерировано нужное количество исполняемых файлов в папке %Temp% и один в папке %AppData%. Каждый из них будет выполнять определенные задачи, например, такие, как отправка информации на C&C-сервер, поиск и завершение важных системных задач, блокировка экрана и демонстрация вымогательского окна поверх всех открытых приложений.

  Когда CryptoJoker шифрует данные, он сканирует все диски на компьютере жертвы, в том числе сетевые, выполняя поиск файлов с определенными расширениями.

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .doc, .docx, .docm, .xls, .xlsx, .xlsb, .xlsm, .ppt, .pptx, .pptm, .odt, .jpg, .png, .jpeg, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .db

Во время шифрования данных CryptoJoker отправляет информацию на сервер свой управляющий C&C-сервер, расположенный вserver6.thcservers.com. Отправляемая информация включает в себя дату, имя хоста, имя пользователя, имя компьютера.

Код, используемый для отправки такой информации, приведён ниже.


В процессе установки CryptoJoker также создает в %Temp% папке пакетный файл new.bat, который удаляет теневые копии файлов и отключает автоматическое исправление загрузки Windows. Это делает невозможным использование теневых копий оригинальных файлов, чтобы восстановить зашифрованные файлы.

С помощью этого пакетного файла выполняются следующие команды:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe delete shadows /all /quiet



Экран блокировки отображает инструкции на английском и русском языках. В них указаны адреса электронной почты file987@sigaint.org, file9876@openmail.cc, file987@tutanota.com для получения платежных инструкций. [Для сведения: Экран блокировки будет оставаться поверх других приложений, пока вы не завершите Temp-процесс WinDefrag.exe].




Экран блокировки



При отправке письма вымогателям пострадавшая сторона должна скопировать строку текста, зашифрованную с алгоритмом RSA, из этого окна, или продублированную в файле README!!!.TXT в папке %Temp%.


Файлы, связанные с CryptoJoker Ransomware: 
\Desktop\DECRYPT FILES.txt
\Desktop\GET MY FILES.txt
\Desktop\READ NOW.txt
\Desktop\read this file.txt
\Desktop\READ.txt
\Desktop\README!!!.txt
\Desktop\readme.txt
%Temp%\crjoker.html

%Temp%\drvpci.exe

%Temp%\GetYouFiles.txt
%Temp%\imgdesktop.exe
%Temp%\new.bat
%Temp%\README!!!.txt
%Temp%\sdajfhdfkj
%Temp%\windefrag.exe
%Temp%\windrv.exe
%Temp%\winpnp.exe
%AppData%\dbddbccdf.exe
%AppData%\README!!!.txt22

Записи реестра, связанные с CryptoJoker Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winpnp    %Temp%\winpnp.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvpci     %Temp%\drvpci.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windefrag    %Temp%\windefrag.exe

Ранний детект на VirusTotal >>>
Июльский детект на VirusTotal >>>
Symantec: Ransom.CryptoJoker >>

Степень распространённости: средняя.
Подробные сведения собираются.




 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoJoker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 7 января 2016 г.

LowLevel04

LowLevel04 Ransomware

OOR Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы обратно. 

  К зашифрованным файлам добавляется не расширение, а приставка oor., которая присоединяется к началу файла. Ранняя активность этого крипто-вымогателя пришлась на октябрь 2015 г. Тогда LowLevel04 был замечен в атаках только на греческих и болгарских пользователей. Позже атаки повторились. 

Записка с требованием выкупа называется: help recover files.txt

Содержание записки о выкупе:
Good day, isn’t it?
What happened to your files?
All your files were protected by a strong encryption with RSA-2048
More information about the encryption keys using rsa-2048 can be found heres
https://en.wikipedia.org/RSA
What does this mean?
This mean that the structure and data within your files have been irrevocably change and only we can help you to restore it.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private
All your files were encrypted with the public key, which has been transferred to your computer via internet.
Decrypting of your files is only possible with the help of the private key and decrypt program which is on our server
You can buy our tool with private key that will recover all your files, it cost's 4 bitcoins and you need send it to bitcoin address 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf . 1 bitcoin ~= 240 US $.
You can make bitcoin payment without any bitcoin software. For this you can use one of this bitcoin exchanger from this exchange list to send us bitcoins
https://crypto.bg
bitcoini.com
https://bitpay. com
www.plus500.bg/Trade-Bitcoins
bitcoinexchangerate.org/c/BGN
https://local bitcoins.com/country/BG
www.btc-e.com
Our contact mail entry122717@gmail.com . Additional contact mail entry123488@india.com (email us here if we don’t answer from gmail.com).
Your own personal key: *****. Send us your own personal key after payment and we will send you decryption tool.
You can send one small file (not bigger than 1 megobyte) before payment and we will recover it. It will be proof that we have decryption tool.

Перевод записки на русский язык:
Хороший день, не так ли?
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным шифрованием RSA-2048
Более подробную информацию о ключах шифрования RSA-2048 можно найти здесь:
https://ru.wikipedia.org/RSA
Что это значит?
Это значит, что структура и данные в ваших файлах были безвозвратно изменены, и только мы можем помочь вам восстановить их.
Как это произошло?
Специально для вас на нашем сервере была сгенерирована секретная пара ключей RSA-2048 - открытый и закрытый
Все ваши файлы были зашифрованы открытым ключом, который был передан на ваш компьютер через Интернет.
Расшифровать ваши файлы можно только с помощью закрытого ключа и программы дешифрования, которые есть на нашем сервере.
Вы можете купить наш инструмент с закрытым ключом, который восстановит все ваши файлы, он стоит 4 биткойнов, и вам нужно отправить его на биткойн-адрес 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf. 1 биткойн ~= 240 долларов США.
Вы можете сделать биткойн-платеж без софта биткойнов. Для этого вы можете использовать один из этих биткойнов-обменников из этого списка, чтобы отправить нам биткойны:
https://crypto.bg
Bitcoini.com
https://bitpay. Ком
Www.plus500.bg/Trade-Bitcoins
Bitcoinexchangerate.org/c/BGN
https://local bitcoins.com/country/BG
www.btc-e.com
Наш контактный email entry122717@gmail.com. Дополнительный entry123488@india.com (напишите на него, если мы не ответим на gmail.com).
Ваш личный ключ: *****. Отправьте нам свой личный ключ после оплаты, и мы вышлем вам инструмент для расшифровки.
Перед отправкой вы можете отправить один небольшой файл (не более 1 Мб), и мы его восстановим. Это будет доказательством того, что у нас есть инструмент дешифрования.


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, а также проводит брутфорс-атаку по Remote Desktop. 

Когда файл уже зашифрован, то он содержит различные слои информации, которые могут быть использованы в декриптере для расшифровки файлов. Вот они: зашифрованная версия оригинального файла, оригинальный размер файла, зашифрованный ключ шифрования, размер ключа и LowLevel04 строка, которая идентифицирует, что это файл был зашифрован с помощью этой конкретной инфекции. Эти слои данных в зашифрованном файле представлены также в таблице ниже.

В каждой папке с зашифрованными файлами, LowLevel04 оставляет записку о выкупе с инструкцией об уплате выкупа и получения программы для дешифровки (декриптера). 

После того, как вредонос завершил процесс шифрования, он выполняет зачистку — удаляет все созданные файлы, журналы работы приложений, журналы безопасности и системы, чтобы они не могли быть использованы для анализа и проведения расследований.

Как оказалось, LowLevel04 не удаляет теневые копии файлов. Поэтому пострадавшим можно использовать recovery tool для восстановления файлов или спецпрограмму, такую как Shadow Explorer (см. также его Руководство), чтобы восстановить файлы из теневых копий файлов. Информацию о том, как восстановить файлы из теневых копий можно найти в руководстве по CryptoLocker.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .arw, .automaticDestinations-ms, .backup, .bad, .bay, .bck, .bcp, .bkp, .bkup, .bmp, .cdr, .cer, .com, .cr2, .crt, .crw, .dat, .database, .dbf, .dcr, .der, .desklink, .dll, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .ico, .ie5, .ie6, .ie7, .ie8, .ie9, .indd, .inf, .ini, .jpe, .jpeg, .jpg, .kdc, .lnk, .lpa, .mapimail, .mdb, .mdf, .mef, .mid, .mp3, .mp4, .mrw, .msi, .nef, .nrw, .odb, .odc, .odm, .ods, .odt, .opd, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .rar, .raw, .rtf, .rw2, .rwl, .scr, .search-ms, .sql, .sr2, .srf, .srw, .sys, .wav, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (109 расширений). 

Сетевые подключения и связи: 
E-mail вымогателей: 
entry122717@gmail.com
entry123488@india.com
BTC: 1ffRYrQ5DQGpZ7fz4x6nwoBEwau4wo4Rgf

Файлы, связанные с этим Ransomware:
help recover files.txt
<random_name>.exe

Записи реестра, связанные с этим Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.

среда, 6 января 2016 г.

CryptoTorLocker

CryptoTorLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в 0,5 биткоинов (100$ USD/EUR), чтобы вернуть файлы. Название оригинальное, но на экране блокировки в заголовке указано CryptoLocker, чтобы выдать себя за более известный одноименный шифровальщик. 

© Генеалогия: CryptoTorLocker.

R зашифрованным файлам добавляется как расширение строка: .CryptoTorLocker2015!

Активность этого криптовымогателя пришлась на январь - февраль 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа разбрасываются в каждой папке с зашифрованными файлами и называются: HOW TO DECRYPT FILES.txt
После шифрования показывается информационное сообщение с тем же текстом.

Содержание записки о выкупе:
Your important files strong encryption RSA-2048 produces on this computer: Photos, Videos, documents, usb disks etc. 
Here is a complete list of encrypted files, and you can personally verify this. 
CryptoTorLocker2015! which is allow to decrypt and return control to all your encrypted files. 
To get the key to decrypt files you have to pay 0.5 Bitcoin 100$ USD/EUR.
Just after payment specify the Bitcoin Address. Our robot will check the Bitcoin ID and when the transaction will be completed, you'll receive activation, Purchasing Bitcoins, Here our Recommendations 
1. Localbitcoins.com This is fantastic service, Coinbase.com Exchange, CoinJar = Based in Australia. 
We Wait In Our Wallet Your Transaction.
WE GIVE YOU DETAILS! Contact ME if you need help My Email = information@jupimail.com 
AFTER YOU MAKE PAYMENT BITCOIN YOUR COMPUTER AUTOMATIC DECRYPT PROCEDURE START! 
YOU MUST PAY Send 0.5 BTC To Bitcoin Address: 1KpP1YGGxPHKTLgET82JBngcsBuifp3noW

Перевод записки на русский язык:
Ваши важные файлы зашифрованные сильным шифрованием RSA-2048 на этом компьютере: фото, видео, документы, USB диски и т.д. 
Здесь вы сможете найти полный перечень зашифрованных файлов, и лично убедиться в этом. 
CryptoTorLocker2015! позволяет расшифровать и вернуть управление всеми зашифрованными файлами. 
Чтобы получить ключ для расшифровки файлов, вы должны заплатить 0,5 Bitcoin 100$ USD/EUR.
Сразу после оплаты указать Bitcoin-адрес. Наш робот будет проверять Bitcoin ID и когда оплата будет завершена, вы получите активацию, Покупка Bitcoins, здесь наши рекомендации
1. Localbitcoins.com Это фантастический сервис, Coinbase.com - биржа, CoinJar = находится в Австралии. 
Мы ждем в нашем кошельке вашу плату.
Мы даем вам детали! Контакт со мной, если вам нужна помощь, мой email = information@jupimail.com
После сделанной вами оплаты в Bitcoin ваш компьютер автоматом запустит процедуру дешифровки!
ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ отправив 0,5 BTC на Bitcoin-адрес: 1KpP1YGGxPHKTLgET82JBngcsBuifp3noW

По окончании шифрования обои рабочего стола заменяются на изображение, склеенное из картинок от других вымогателей, с основным текстом, как в записках о выкупе. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dat, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .ifo, .jpeg, .jpg, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .rar, .sql, .tar, .torrent, .txt, .vob, .wallet, .wav, .wma, .wmv, .xls, .xlsx, .zip (56 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
%Temp%\<random>.bmp
%Temp%\<random>.exe
Например: 
%Temp%\HOW TO DECRYPT FILES.txt
Desktop\HOW TO DECRYPT FILES.txt
%Temp%\w8i9eHkHOwWwQlX.exe
%Temp%\ocegiklmnabcefgj.bmp

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Alcmeter="%Temp%\w8i9eHkHOwWwQlX.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.CryptoTorLocker2015!\@="PRPASCBHJSZLMOM"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PRPASCBHJSZLMOM\shell\open\command\@="%Temp%\ocegiklmnabcefgj.bmp"
HKLM\SOFTWARE\Classes\.CryptoTorLocker2015!
HKLM\SOFTWARE\Classes\.CryptoTorLocker2015!\@ = "PRPASCBHJSZLMOM"
HKLM\SOFTWARE\Classes\PRPASCBHJSZLMOM\@ = "CRYPTED!"
HKLM\SOFTWARE\Classes\PRPASCBHJSZLMOM\DefaultIcon\@ = "%Temp%\<random>.exe,0"
HKLM\SOFTWARE\Classes\PRPASCBHJSZLMOM\shell\open\command\@ = "%Temp%\<random>.exe"
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Alcmeter = "%Temp%\<random>.exe"
HKCU\Control Panel\Desktop\Wallpaper = "%Temp%\<random>.bmp"

Сетевые подключения и связи:
93.189.44.187 dmidybmfxsaq.biz
93.189.44.187 aacthvhqbhbg.org
93.189.44.187 arlsolqovltp.co.uk
93.189.44.187 fyhatdpptohp.org
93.189.44.187 weotnaktbwgr.ru
93.189.44.187 ovenbdjnihhdlb.net

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.CryptoTorLocker >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Для зашифрованных файлов исследователями криптовымогателей был выпущен инструмент дешифрования - CryptoTorLocker2015 Decrypter. 

 Read to links: 
 Topic on BC
 ID Ransomware (ID as CryptoTorLocker)
 Write-up
 *
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 5 января 2016 г.

TorrentLocker

TorrentLocker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES (CBC режим), а с помощью 2048-битного ключа RSA шифрует ключ AES, а затем требует 4.081 биткоинов за расшифровку. Есть более "дешевые" версии, которые, видимо, ориентированы на рядовых пользователей ПК, поэтому требуют выкуп от 0.8 до 1 BTC. 

Получил отдельное развитие вариант TorrentLocker под названием Crypt0L0ckerЭто наследование записывается так:

© Генеалогия: TorrentLocker > Crypt0L0cker 

Этимология названия:
Название TorrentLocker взято из имени раздела реестра HKEY_CURRENT_USER\Software\Bit Torrent Application\Configuration, который ранее использовался вредоносом для хранения своей конфигурации. Поздние модификации больше не использовали этот раздел реестра. 

  Создатели же назвали свой проект Racketeer (буквально "Рекетир"). Некоторые названия функций в коде вредоносной программы начинаются с префикса «rack», например, rack_init, rack_encrypt_pc. Имена файлов скриптов на C&C-сервере также начинаются с этого префикса, например, rack_cfg.php, rack_admin.php. Racketeer оправдывает свое название, т.к. заставляет покупать у злоумышленников дешифровщик. Первые версии TorrentLocker были зафиксированы в начале 2014 года, но к концу года уже было 5 известных модификаций. 

  Версии 1-3 содержали уязвимость, которая позволила специалистам ЛК создать RannohDecryptor. Но начиная с 4-й версии создатели вредоноса исправили уязвимость и дешифрование стало невозможным. Текущие версии этой вредоносной программы требуют выкупа в Bitcoin и размещают веб-страницы для уплаты выкупа в сети Tor.

  О более ранних версиях можно прочитать в статьях на Хабре (1-я часть + 2-я часть). 


Технические детали

  Распространяется TorrentLocker с помощью email-спама и вредоносных вложений, фишинг-рассылок со ссылками на архивы с вредоносным содержимым, или на зараженные эксплойтами сайты. Исполняемый файл из вложения обычно замаскирован под документ MS Office (счет, штраф, извещение, уведомление и пр.) и представляет собой дроппер вредоносной программы. Фишинговые сообщения распространяли TorrentLocker с августа 2014 г. Если вредоносное вложение не использовалось, то письмо содержало URL-ссылку на загрузку вредоносного архива, для получения которого нужно было пройти специальную капчу. 

  При использовании фишинговых рассылок с URL-ссылками специальные веб-страницы откроются только для пользователей из определенной страны (проверка по IP-адресу). Если на такую веб-страницу попадает пользователь из другой страны, то он перенаправляется на страницу Google-поиска. Пользователям мобильных устройств предлагается открыть страницу с ПК. Во вложениях также используются doc-файлы со сценариями на VBA, которые нужны для загрузки и запуска дроппера TorrentLocker. 

  Во всех случаях, текст сообщений написан на языке страны получателя. В их числе были: Австралия, Австрия, Великобритания, Германия, Голландия, Ирландия, Испания, Италия, Канада, Новая Зеландия, Турция, Франция, Чехия. Кроме этого, злоумышленники покупали и использовали в фишинг-рассылках специальные поддельные домены, очень похожие на легитимные аналоги, принадлежащие некой частной или государственной организации. Игнорируются страны: Россия, Украина, США и Китай.

  Когда TorrentLocker запускается на зараженном ПК, то он запрашивает у C&C-сервера веб-страницу с требованием выкупа, которая сообщает пользователю о том, что файлы зашифрованы и нужно заплатить выкуп за дешифровку. Если эта операция успешна, то TorrentLocker генерирует специальный 256-битный AES-ключ, который шифруется с помощью публичного 2048-битного ключа RSA, жестко зашитого в теле вредоноса. 


Ключ отправляется на удаленный C&C-сервер. Далее вредоносная программа инициирует процесс шифрования файлов определённого типа с использованием этого AES-ключа. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr, .3pr, .7z, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .awg, .backup, .backupdb, .bak, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip (236 расширений).

Пропускаются системные файлы:
.dat, .dll, .exe, inf, .ini, .msi, .sys

Сейчас уже известно, что TorrentLocker шифрует только первые 2Мб файла, чтобы сделать файл полностью неработоспособным или непригодным для использования. В конец каждого зашифрованного файла вредоносная программа добавляет три специальных поля определенного формата. Позже размер шифруемой части сократился до 1 Мб.

  По окончании шифрования TorrentLocker уничтожает в памяти ключ вызовом memset(aes_key, 0, aes_key_size), чтобы сделать невозможным получение ключа из памяти при его отладке. Этот memset выполняется для каждой копии ключа. После этого TorrentLocker отображает пользователю полученную ранее веб-страницу. Веб-страница с требованием выкупа содержит ссылку на страницу оплаты, размещенную на домене .onion. Этот домен также фигурирует в качестве одного из C&C-серверов, к которому обращается код TorrentLocker. На скриншоте ниже упоминается другой шифровальщик – CryptoLocker. Этот ход используется для того, чтобы ввести жертву в заблуждение.


  Из-за того, что разработчики TorrentLocker стали использовать режим CBC симметричного алгоритма шифрования AES, вместо ранее используемого CTR, расшифровка возможна только в случае получения закрытого ключа RSA от злоумышленников, с помощью которого можно расшифровать AES ключ. Этот зашифрованный публичным RSA ключом AES ключ хранится в конце зашифрованного файла и используется для непосредственной расшифровки файла (или его первых двух мегабайт). Публичный RSA ключ находится в теле вредоносной программы.



 TorrentLocker для Швеции

  В мае 2016 обнаружена новая кампания, в которой TorrentLocker ориентирован на Швецию. Как и более ранние кампании, этот криптовымогатель доставляется с помощью email-спама и ссылок на заражённый эксплойтами сайт. Предлагается загрузить фальшивый счет от фирмы международной связи Telia со штаб-квартирой в Стокгольме (Швеция), имеющий миллионы клиентов по всему миру. Если потенциальная жертва переходит по ссылке на веб-сайт, выглядящий как реальный сайт Telia, то натыкается на вредоносный код Captcha, который загружает вымогателя TorrentLocker, но при условии, что IP-адрес жертвы находится в Швеции. Если IP-адрес не находится в Швеции, пользователь будет перенаправлен на Google. 
  TorrentLocker пытается украсть данные жертвы, прежде чем начнёт шифрование. Он внедряется в память explorer.exe перед удалением основного компонента с произвольным именем, а затем собирает на ПК все имеющиеся сертификаты и контакты пользователей. Они отправляются на C&C-сервер и хранятся там для использования в будущих вредоносных кампаниях.
  При запуске шифрования, эта шведоориентированная версия TorrentLocker пытается зашифровать все доступные файлы данных на локальном и подключенных дисках. По завершении шифрования записка о выкупе предлагает потерпевшему купить дешифровщик за 1,153 Bitcoins (около 4099 крон, 441 евро или $ 500). Если выкуп не выплачивается в течение нескольких дней, стоимость дешифровки удваивается. Новая версия оснащена специальной функцией "сна" (временного бездействия), когда вымогатель не проявляет никакой активности, чтобы избежать обнаружения и противодействовать песочным (sandbox) и поведенческим (HIPS) технологиям защиты. 
  "Лучший уровень защиты против криптовымогателей, внедряющихся в систему в виде полезных нагрузок, это поведенческая технология защиты (так называемый HIPS). Статические проверки VirusTotal не могут контролировать поведение, поэтому не дают полноценного анализа на основе детекта или недетекта конкретного AV для проверяемых вредоносов. Поэтому криптовымогатель всегда будет делать то, что он делает", — сказал Шон Салливан, советник по безопасности F-Secure.
  "Функция сна" у нового TorrentLocker предназначена для противодействия такому поведенческому анализу и песочным технологиям. Злоумышленники предприняли контрмеры, чтобы сохранить своего вредоноса бездействующим на период поведенческого анализа.

  В перспективе злоумышленники могут легко менять вектор атаки, ориентируя атакующий вымогатель на потенциальные жертвы из любой другой страны.

Степень распространённости: перспективно высокая
Подробные сведения собираются.

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Файлы, зашифрованные некоторыми вариантами TorrentLocker, могут быть дешифрованы! 
Компания Dr.Web делает платную дешифровку после атаки шифровальщиков TorrentLocker, Crypt0L0cker и некоторых других.
Что нужно сделать, чтобы дешифровать файлы? 
- Составить запрос на тест-дешифровку (бесплатно) - на русском или на английском языках.
- Приложить записку о выкупе и несколько зашифрованных файлов (doc, docx, jpg, png, pdf);
- Подождать несколько дней, пока вам не сообщат о результате в вашем тикете. 
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as TorrentLocker, Crypt0L0cker)
 Topic of Support, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 3 января 2016 г.

Ransom32

Ransom32 Ransomware 

(шифровальщик-вымогатель, RaaS)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (блочный CTR-режим), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Если жертва не заплатит требуемую сумму за 7 дней, то все ключи дешифрования будут уничтожены. 

К зашифрованным файлам никакое расширение не добавляется. Активность этого криптовымогателя пришлась на январь-март 2016 г.  

ВАЖНО!!! Ransom32 шифрует файлы, воспользовавшись легитимными возможностями технологий JavaScript, WinRAR SFX и Bitcoin.

Для каждого файла генерируется новый ключ шифрования. Он шифруется с использованием алгоритма RSA и публичного ключа, загружаемого с C&C-сервера при первом подключении. Зашифрованный публичным ключом ключ AES сохраняется вместе с данными зашифрованного файла.

ВАЖНО!!! Использование JavaScript делает данный вымогатель кроссплатформенным, т.е. он может использоваться для Windows, Linux и Apple OS X. 

Ключевой особенностью Ransom32 является модель распространения SaaS (Software as a service), а для получения доступа к админ-панели управления вредоносом и его генерации нужно всего лишь указать адрес своего кошелька Bitcoin. 

Распространяется с помощью email-спама и вредоносных вложений. Вредоносный файл размещается внутри письма, замаскированного под неоплаченный счёт, уведомление о доставке, и т.п. Когда жертва скачает и запустит такой файл, то он связывается с сервером управления и получает команду на загрузку вредоноса Ransom32. Загруженный файл представляет собой самораспаковывающийся SFX-архив, при автоматической распаковке извлекающий набор инструментов для шифрования.

Злоумышленники выбрали высокий уровень анонимности для работы с Ransom32, для связи со своим управляющим C&C-сервером вымогатель использует анонимную сеть Tor, а оплата выкупа осуществляется в биткоинах.
Рис.1. Окно браузера Tor, в котором предлагается ввести BTC-адрес
Рис.2. Окно для генерации и отправки вымогателям архива с файлами вредоноса 

Здесь мы видим адрес электронного кошелька оператора (владельца), статистику зараженных компьютеров, сумму уже полученных средств от пострадавших, и настраиваемые параметры вредоноса. На данном скриншоте всё по нулям, т.к. образец окна получен специалистами Emsisoft.

После нажатия на кнопку "Download client.scr" для оператора будет сгенерирован архив с файлами вредоноса с указанными им в панели управления параметрами. Этот архив будет иметь размер порядка 22Мб, что существенно отличает его от других вредоносов-вымогателей с архивом весом около 1Мб.

Вредонос использует скриптовый язык WinRAR для автоматической распаковки содержимого архива во временную директорию, затем запускает на исполнение файл chrome.exe.

Описание содержимого архива
Файлы из архива имеют следующее предназначение:
- файл "chrome" содержит копию лицензионного соглашения GPL;
- файл "chrome.exe" это приложение NW.js и код вредоноса, а также среда framework для его успешной работы;
- файлы "ffmpegsumo.dll", "nw.pak", "icudtl.dat" и "locales" содержат данные, нужные NW.js для работы;
- файл "rundll32.exe" это переименованная копия файла клиента Tor;
- файл "s.exe" это переименованная копия файла набора Optimum X Shortcut, для создания и управления ярлыками на Рабочем столе и в меню Пуск;
- файл "g" это конфигурационный файл управления вредоносом;
- файл "msgbox.vbs" это небольшой скрипт для настройки popup-окна.
- файл "u.vbs" это небольшой скрипт для зачистки всех файлов в рабочей директории вредоноса.

Необходимо заметить, что NW.js (Node-WebKit) — это легитимный кроссплатформенный фреймворк, позволяющий создавать приложения с использованием популярных веб-технологий, как HTML, CSS и JavaScript. Платформа основана на Chromium и Node.js и работает в обход обычной песочницы JavaScript.
Рис.3. Файлы внутри SFX-архива

Требование выкупа
После исполнения файла вымогателя в системе, он извлечет все вышеперечисленные файлы в директорию с временными файлами. Потом скопирует себя в директорию %AppData%\Chrome Browser. Использует файл s.exe для создания ярлыка в директории автозапуска пользователя с названием «ChromeService». Далее вредонос запустит файл клиента Tor для подключения к C&C-серверу. После его уже отобразит пользователю сообщение с требованием выкупа.
Рис.4. Окно с требованием выкупа

Вымогатель предлагает жертве расшифровать один файл для демонстрации того, что эта процедура возможна. При этом отправит на C&C-сервер зашифрованный с AES ключ указанного файла и получит расшифрованную версию ключа. 

 Список файловых расширений, подвергающихся шифрованию: 
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .game, .gif, .grle, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg,  .jpg, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mlx, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .ra, .raw, .rb, .rtf, .sav, .sdf, .ses, .sldm, .sldx, .slot, .spv, .sql, .sv5, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx (127 расширений). 

Не шифруются файлы в директориях с названиями:
windows\ 
winnt\ 
programdata\ 
boot\
temp\
tmp\
$recycle.bin\

Файлы, связанные с Ransomware: 
Download client.scr
chrome.exe и другие
<random>.exe
<random>.cmd
<random>.vbs
<random>.js
<random>.tmp

Расположения:
%Temp%\nw3932_17475
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ChromeService.lnk
%AppData%\Chrome Browser\
%AppData%\Chrome Browser\.chrome\
%AppData%\Chrome Browser\.chrome\cached-certs
%AppData%\Chrome Browser\.chrome\cached-microdesc-consensus
%AppData%\Chrome Browser\.chrome\cached-microdescs
%AppData%\Chrome Browser\.chrome\cached-microdescs.new
%AppData%\Chrome Browser\.chrome\lock
%AppData%\Chrome Browser\.chrome\state
%AppData%\Chrome Browser\chrome
%AppData%\Chrome Browser\chrome.exe
%AppData%\Chrome Browser\ffmpegsumo.dll
%AppData%\Chrome Browser\g
%AppData%\Chrome Browser\icudtl.dat
%AppData%\Chrome Browser\locales\
%AppData%\Chrome Browser\msgbox.vbs
%AppData%\Chrome Browser\n.l
%AppData%\Chrome Browser\n.q
%AppData%\Chrome Browser\nw.pak
%AppData%\Chrome Browser\rundll32.exe
%AppData%\Chrome Browser\s.exe
%AppData%\Chrome Browser\u.vbs

Записи реестра, связанные с Ransomware: 
См. ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя
Подробные сведения собираются.

Статья для чтения >>
Статья для чтения >>


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as ***)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Fabian Wosar, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.


Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *