KeRanger Ransomware
(шифровальщик-вымогатель для Mac OS X)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: Linux.Encoder > KeRanger
К зашифрованным файлам добавляется расширение .encrypted
Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: README_FOR_DECRYPT.txt
Содержание записки о выкупе:
Your computer has been locked and all your files has been encrypted with 2048-bit RSA encryption.
Instruction for decrypt:
1. Go to https://fiwf4kwysm4dpw5l.onion.to ( IF NOT WORKING JUST DOWNLOAD TOR BROWSER AND OPEN THIS LINK: http://fiwf4kwysm4dpw5l.onion )
2. Use 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN as your ID for authentication
3. Pay 1 BTC (~407.25$) for decryption pack using bitcoins (wallet is your ID for authentication - 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN)
4. Download decrypt pack and run
---> Also at https://fiwf4kwysm4dpw5l.onion.to you can decrypt 1 file for FREE to make sure decryption is working.
Also we have ticket system inside, so if you have any questions - you are welcome.
We will answer only if you able to pay and you have serious question.
IMPORTANT: WE ARE ACCEPT ONLY(!!) BITCOINS
HOW TO BUY BITCOINS:
https://localbitcoins.com/guides/how-to-buy-bitcoins
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
Перевод записки на русский язык:
Ваш компьютер заблокирован и все ваши файлы зашифрованы с шифрованием RSA 2048 бит.
Инструкция для расшифровки:
1. Перейдите на страницу https://fiwf4kwysm4dpw5l.onion.to (ЕСЛИ НЕ РАБОТАЕТ, ТО СКАЧАЙТЕ TOR-БРАУЗЕР И ОТКРЫТЬ ЭТУ ССЫЛКУ: http://fiwf4kwysm4dpw5l.onion)
2. Используйте 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN как ваш ID для аутентификации
3. Заплатите 1 BTC (~407.25 $) за пакет дешифрования, используя биткоины (кошелёк - ваш ID для аутентификации - 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN)
4. Загрузите пакет дешифрования и запустите
---> Также на https://fiwf4kwysm4dpw5l.onion.to вы можете дешифровать 1 файл БЕСПЛАТНО, чтобы убедиться, что дешифрование работает.
Также у нас есть система тикетов внутри, поэтому, если у вас есть какие-то вопросы, пожалуйста.
Мы ответим только в том случае, если вы сможете заплатить, и у вас есть серьезный вопрос.
ВАЖНО: МЫ ПРИНИМАЕМ ТОЛЬКО (!!) БИТКОИНЫ
КАК КУПИТЬ БИТКОИНЫ:
https://localbitcoins.com/guides/how-to-buy-bitcoins
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
Технические детали
Распространялся с помощью зараженных инсталляторов ПО Transmission для Mac OS X, которое представляет из себя свободно распространяемый клиент BitTorrent.
После доработки может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, других перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Вредоносные установщики были сгенерированы и подписаны утром 4 марта. Исполняемые файлы KeRanger были подписаны цифровой подписью с использованием действительного сертификата, выпущенного Apple для компании-разработчика приложений для Mac, поэтому он смог обойти защиту Apple Gatekeeper. Разработчиком, указанным в этом сертификате, является турецкая компания с ID Z7276PX673.
➤ Palo Alto Networks, первой описавшая этот вредонос, также обновила фильтрацию URL и Threat Prevention, чтобы остановить атаку KeRanger на системы пользователей Mac OS X.
➤ В инсталляторах, зараженных KeRanger, имеется дополнительный файл General.rtf в каталоге Transmission.app/Contents/Resources. Он использует значок, который выглядит как обычный RTF-файл, но на самом деле является исполняемым файлом формата Mach-O, упакованным с UPX 3.91.
➤ Если пользователь установил заражённые приложения, то встроенный исполняемый файл запускается в системе. Затем KeRanger ждет 3 дня, прежде чем подключиться к серверам управления (C&C) через сеть анонимайзеров Tor.
После пробуждения KeRanger свяжется с одним из трёх C&C-серверов в сети TOR.
➤ Затем KeRanger начинает шифрование определённых типов файлов документов и данных. Похоже, что KeRanger также пытается зашифровать файлы резервного копирования Time Machine, чтобы жертвы не могли восстановить свои резервные данные.
➤ После завершения шифрования KeRanger требует, чтобы жертвы выплачивали 1 биткоин (около 400 долларов США на 6 марта 2016 г.) на биткоин-адрес вымогателей, чтобы получить возможность восстановить свои файлы. Ключ для дешифрования хранится на серверах злоумышленников.
➤ KeRanger нацелен не только на папки пользователя /Users, но и на папки с файлами /Volumes, хранящиеся на внешних жестких дисках и серверах.
➤ KeRanger, видимо, находится в разработке.
Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .back, .backup, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .cdb, .cdf, .cdr, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .class, .cls, .cmt, .cnv, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db3, .dbf, .dbr, .dbs, .dc2, .dcr, .dcs, .dcx, .ddd, .ddoc, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .ebd, .edb, .eml, .eps, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fm, .fp7, .fpx, .fxg, .gdb, .gray, .grey, .grw, .gry, .gzip, .hbk, .hpp, .ibd, .idx, .iif, .indd, .java, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .laccdb, .lua, .m4v, .maf, .mam, .maq, .mar, .maw, .max, .mdb, .mdc, .mde, .mdf, .mdt, .mef, .mfw, .mmw, .mos, .mov, .mp3, .mp4, .mpg, .mpp, .mrw, .mso, .myd, .ndd, .nef, .nk2, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .one, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pbo, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pip, .pl, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .pub, .puz, .py, .qba, .qbb, .qbm, .qbw, .qbx, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rwz, .sas7bdat, .say, .sd0, .sda, .sdf, .snp, .sparsebundle, .sql, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tib, .tlg, .txt, .vob, .vsd, .vsx, .vtx, .wav, .wb2, .wbk, .wdb, .wll, .wmv, .wpd, .wps, .x11, .x3f, .xla, .xlam, .xlb, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpp, .xsn, .yuv, .zip (311 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Зашифрованные файлы
Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT.txt
General.rtf
/Library/
Расположения:
~/Desktop/README_FOR_DECRYPT.txt
~/Library/.kernel_complete
~/Library/.kernel_pid
~/Library/.kernel_time
~/Applications/Transmission.app/Contents/Resources/General.rtf
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxxs://fiwf4kwysm4dpw5l.onion.to - сайт оплаты
xxxxs://fiwf4kwysm4dpw5l.onion - сайт оплатыlclebb6kvohlkcml.onion.link - 1-й C2
lclebb6kvohlkcml.onion.nu - 1-й C2
bmacyzmea723xyaz.onion.link - 2-й C2
bmacyzmea723xyaz.onion.nu - 2-й C2
nejdtkok7oz5kjoc.onion.link - 3-й C2
nejdtkok7oz5kjoc.onion.nu - 3-й C2
BTC-1: 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN
BTC-2: 1KGusS7xB9hnqZQdCZ1G8Tno16RfTS95ey
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >> VT>> VT>> VT>> VT>> VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Linux.Encoder.1
Linux.Encoder.1
Linux.Encoder.3
Linux.Encoder.4 > KeRanger
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter, Topic of Support ID Ransomware (ID as KeRanger) Write-up, Write-up, Write-up, Write-up, Write-up *
Thanks: PaloAlto Lawrence Abrams, Michael Gillespie Bitdefender LABS, ESET *
© Amigo-A (Andrew Ivanov): All blog articles.
