Если вы не видите здесь изображений, то используйте VPN.

четверг, 24 марта 2016 г.

Petya

Petya Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует жёсткий диск компьютера, портит таблицу размещения файлов NTFS, известную как MFT. Работа с диском выполняется на низком посекторном уровне, в результате чего полностью теряется доступ ко всем файлам на томе.

На момент написания статьи исследователи предполагали, что блокируется только доступ к файлам, но сами файлы не шифруются. Но другие исследователи замечают, что при повреждённом MFT файлы на диске всё равно будут недоступны. 

👉 Примечательно, что этот первый Petya не мог обходить UAC, поэтому запрашивал административные привилегии на установку, чтобы потом тайно изменить MBR. Если привилегий он не получал, то ничего плохого на компьютере не делал.

© Генеалогия: Petya > Petya+Mischa (Petya-2) > GoldenEye (Petya-3) > ☠ Petna ...


Обратите внимание на логотип крипто-вымогателя. 
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами. 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает экран блокировки, где на красном фоне белыми буквами написаны основные требования вымогателей. 

Содержание записки о выкупе:
You became victim of the PETYA RANSOMWARE!
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Enter your personal decryption code there:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
If you already purchased your key, please enter it below.
Key: _

Перевод записки на русский язык:
Вы стали жертвой PETYA RANSOMWARE!
Жёсткие диски вашего компьютера были зашифрованы с алгоритмом шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице тёмной сети, показанной на шаге 2-м.
Чтобы приобрести ключ и восстановить свои данные, выполните следующие три простых шага:
1. Загрузите Tor-браузер со страницы xxxxs://www.torproject.org/. Если вам нужна помощь, то погуглите для "доступа к onion-сайтам".
2. Посетите одну из следующих страниц с помощью Tor-браузера:
xxxx://petya37h5tbhyvki.onion/GGVdBJ
xxxx://petya5koahtsf7sv.onion/GGVdBJ
3. Введите свой личный код дешифрования:
4bPQb6-PrwjRN-Cex4C8-Bz5yE7-7aii8S-NdHFDx-s1q2Q2-S6eqT6-k5G8z1-gHixmE-pYtTPd-1RHJq4-5UpVjr-SLizps-5Kq46t
Если вы уже приобрели свой ключ, введите его ниже.
Ключ: _



Технические детали

Вредоносное ПО Petya, вероятно, разработано специально для атак на организации и предприятия. Распространяется с помощью фишинговых электронных писем (email-спама), адресованных отделам кадров, специалистам по кадрам, тем кто обязан просматривать резюме кандидатов на вакантную должность (т.н. соискателей)См. также "Основные способы распространения криптовымогателей" на вводной странице блога.



Письма приходят якобы от соискателей и содержат резюме и ссылку на Dropbox, откуда якобы можно загрузить "портфолио". Но вместо портфолио по ссылке находится вредоносный файл – Bewerbungsmappe-gepackt.exe (что-то вроде "application_portfolio-packed", если перевести название на английский).

После нажатия на эту ссылку загружается EXE-файл, а при попытке его запуска система аварийно завершает работу, появляется синий экран и перезагружается компьютер. До перезагрузки Petya изменяет MBR диска, тем самым получая контроль над процессом перезагрузки компьютера.


После перезагрузки компьютера жертва увидит имитацию стандартной для Windows проверки диска (CHKDSK). На этом экране утверждается, что запускается проверка диска, но на самом деле это тот момент, когда файлы на ПК становятся недоступными для пользователя. 

По окончании "проверки" на экране компьютера загружается не операционная система, а экран блокировки Petya. Сначала появляется мигающий экран, где на красном фоне "красуется" стилизованное изображение черепа с костями. Здесь от жертвы требуется только Press Any Key (нажать любую клавишу).

На следующем экране пострадавшему сообщается, что все данные на его жёстких дисках были зашифрованы при помощи некоего "военного алгоритма шифрования", и восстановить их невозможно. Приводится также инструкция по покупке ключа для разблокировки компьютера: "сделать три простых шага": скачать Tor Browser, перейти по заданной ссылке и оплатить ключ для дешифровки. Через 7 дней цена на ключ дешифрования удвоится (см. ниже скриншот, демонстрирующий отсчет оставшегося времени).

Список файловых расширений, подвергающихся шифрованию:
Не определён. Но это в первую очередь могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Или же все файлы без разбора. 

Файлы, связанные с этим Ransomware:
Bewerbungsmappe-gepackt.exe
<random>.exe
petya_dlab.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на petya_dlab.dll >> 
Коллекция образцов Petya за всё время (см. вкладку "Родство") >>

Степень распространённости: средняя, но перспективно высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Write-up, Write-up
 Video review 
 Thanks: 
 G DATA 
 Lawrence Abrams
 Malwarebytes Labs
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

среда, 23 марта 2016 г.

Maktub Locker

Maktub Locker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1,4 биткоинов, чтобы вернуть файлы. По прошествии времени сумма может увеличиться и достигнуть уровня 3,9 биткоинов. Название оригинальное: Maktub - по арабски: "судьба" или "предначертанное".

© Генеалогия: Начало.

К зашифрованным файлам добавляется случайное расширение: .<random>

Этот шифровальщик не только шифрует файлы, но и сжимает их так, что сжатый файл становится буквально крошечным. См. пример. 

Активность этого криптовымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: _DECRYPT_INFO_[random].html

Содержание текста о выкупе:
WARNING!
Your personal files are encrypted!
11:54:16
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. The server will eliminate the key after a time period specified in this window.
Open http://qjuyyhqqzfeluxe7.onion.link
or http://qjuyyhqqzfeluxe7.torstorm.org
or http://qjuyyhqqzfeluxe7.tor2web.org
in your browser. They are public gates to the secret server.
If you have problems with gates, use direct connection:
1) Download TOR Browser from http://torproject.org
2) In the Tor Browser open the http://qjuyyhqqzfeluxe7.onion
(Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable).
Write in the following public key in the input form on server:
*****

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Ваши личные файлы зашифрованы!
11:54:16
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с сильным шифрованием и уникальным ключом, сгенерированным для этого компьютера. Секретный ключ дешифрования хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы не заплатите и получите секретный ключ. Сервер удалит ключ после определенного периода времени, указанного в этом окне.
Откройте http://qjuyyhqqzfeluxe7.onion.link
или http://qjuyyhqqzfeluxe7.torstorm.org
или http://qjuyyhqqzfeluxe7.tor2web.org
в вашем браузере. Они являются публичными путями на секретный сервер.
Если у вас есть проблемы с ними, используйте прямое подключение:
1) Скачать Tor Browser из http://torproject.org
2) В браузере Tor открыть http://qjuyyhqqzfeluxe7.onion
(Обратите внимание, что этот сервер доступен только через Tor Browser. Повторите попытку через 1 час, если сайт недоступен).
Запишите в следующем открытый ключ в форме входа на сервер:
*****

Распространяется с помощью email-спама и вредоносных вложений (например, исполняемый файл с расширением .SCR), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Вредоносное приложение сработает при открытии вложения. Пример файла вложения — это TOS-update-2016-Marth-18.scr
Если пользователь бездумно запустит вложение, то сначала увидит документ Word (см. скриншот выше) типа "обновление условия использования", тогда как вымогатель уже начинает шифрование данных. 


По завершении шифрования файлов Maktub оставит записку с требованием выкупа _DECRYPT_INFO_[random].html

Примечательно, Tor-сайт у Maktub Locker на день написания статьи является, наверное, самым дизайнерски проработанным вымогательским сайтом. Он разделен на 5 страниц, каждая из которых имеет свою собственную художественную тему. Они могли быть созданы самими разработчиками, а логотип взят у дизайнера на Deviant Art.

Для наглядности я сделал из скриншотов пяти страниц сайта вымогателей одно анимированное изображение. 

1. Первая страница представляет собой краткое изложение того, что случилось с файлами жертвы.
2. На второй представлена процедура бесплатного дешифрования двух зашифрованных файлов жертвы.
3. На третьей показаны этапы оплаты, которые может выбрать жертва (сумма выкупа может возрасти).
4. Четвертая содержит уникальный Bitcoin-адрес, на который жертва должна перевести выкуп.
5. Пятая страница представляет стандартный способ, как и где купить биткоины.

Содержание страниц сайта с переводом на русский язык:

1. HELLO!
We're very sorry that all of your personal files have been encrypted :( But there are good news - they aren't gone, you still have the opportunity to restore them! Statistically, the lifespan of a hard-drive is anywhere from 3 to 5 years. If you don't make copies of important information, you could lose everything! Just imagine! In order to receive the program that will decrypt all of your files, you will need to pay a certain amount. But let's start with something else...

1. ПРИВЕТ!
Нам очень жаль, что все ваши личные файлы были зашифрованы :( Но есть хорошие новости - они не ушли, у вас еще есть возможность восстановить их! По статистике, продолжительность жизни жесткого диска составляет от 3 до 5 лет. Если вы не делаете копии важной информации, вы можете потерять все! Представьте! Для того, чтобы получить программу, которая будет расшифровывать все ваши файлы, вам нужно будет заплатить определенную сумму. Но давайте начнем с другого...

2. WE ARE NOT LYING! 
Googling 'MAKTUB LOCKER' will instantly bring up many sugestiong on deleting the program from your personal computer. But not one of the third party programs will be able to do the most important thing - to decrypt your files! In order to do this, you need to have the private master-key that only we have. And only we can restore all of your files. And to show that we aren't making unfounded statements, we'll prove it. Upload any encrypted file, no larger than 200kb, and we will decrypt it, absolutely free!
Files available to decrypt: 2

2. МЫ НЕ ЛЖЕМ!
Погуглите 'MAKTUB LOCKER' и мгновенно найдётся много советов по удалению программы с вашего ПК. Но ни одна из программ сторонних разработчиков не сможет сделать самое главное - расшифровать файлы! Чтобы это сделать, вам нужно иметь секретный мастер-ключ, который есть только у нас. И только мы можем восстановить все ваши файлы. И для подтверждения того, что мы не делаем необоснованных заявлений, мы это докажем. Добавьте любой зашифрованный файл не более 200 КБ, и мы его расшифруем, абсолютно бесплатно!
Файлы, доступные для расшифровки: 2

3. HOW MUCH DOES IT COST? 
We hope that you are convinced that we can decrypt all of your files. Now, the most important thing! The faster you transfer the money, the cheaper file decryption will be. At every stage of payment, you get 3 days or 72 hours. You can see the countdown in the right top comer. After the clock shows 00:00:00 you go to the next stage of payment and the price automatically increases. We only accep the electronic currency Bitcoin as a form of payment. Here is a table that shows the date of payment and the price. Your current stage is marked in yellow.

Stage Time of payment How much money should be sent
1 During the first 3 days 1.4 BTC (~$588)
2 From 3 to 6 days 1.9 BTC (~$798)
3 From 6 to 9 days 2.4 BTC (~$1008)
4 From 9 to 12 days 2.9 BTC (~$1218)
5 From 12 to 15 days 3.4 BTC (~$1428)
(*) More than 15 days 3.9 BTC (~$1638)

(*) After 15 days of no payment, we do not guarantee that we saved the key. This site can be disconnected at any moment and you will lose your data forever. Please take this seriously. 

3. СКОЛЬКО ЭТО СТОИТ?
Мы надеемся, что вы убедились в том, что мы можем расшифровать все ваши файлы. Теперь, самое главное! Чем быстрее вы переведёте деньги, тем дешевле будет дешифрование файлов. На каждом этапе оплаты вы получаете 3 дня или 72 часа. Вы можете видеть обратный отсчет времени в правом верхнем углу. После того, как часы покажут 00:00:00 вы переходите к следующему этапу оплаты и цена автоматически увеличивается. Мы принимаем только электронную валюту Bitcoin в качестве формы оплаты. Ниже приведена таблица, которая показывает дату оплаты и цены. Ваш нынешний этап отмечен жёлтым цветом.

Этап времени оплаты  Какую сумму нужно перевести
1 за первые 3 дня 1.4 BTC (~$588)
2 от 3 до 6 дней 1.9 BTC (~$798)
3 от 6 до 9 дней 2.4 BTC (~$1008)
4 от 9 to 12 дней 2.9 BTC (~$1218)
5 от 12 to 15 дней 3.4 BTC (~$1428)
6 (*) более 15 дней 3.9 BTC (~$1638)

(*) Через 15 дней без оплаты мы не можем гарантировать, что сохраним ключ. Этот сайт может быть отключен в любой момент, и вы потеряете ваши данные навсегда. Поверьте, это серьезно.

4. WHERE DO I PAY? 
The whole process of payment confirmation is automated! You won't have to wait while we manually check the status of the incoming payment. As soon as you send the money, it will only take a few hours for the system to automatically count them and create the program that will decode your files.
After sending your payment just refresh this site after a couple of hours.
You must transfer 1.4 BTC to the following address:
***

4. КАК МНЕ ОПЛАТИТЬ?
Весь процесс подтверждения оплаты автоматизирован! Вам не придется ждать, пока мы вручную проверим состояние входящего платежа. Как только вы пошлёте деньги, пройдёт всего несколько часов, система автоматически рассчитает их и создаст программу, которая будет декодировать файлы.
После отправки платежа просто обновите эту страницу через пару часов.
Вы должны передать 1.4 BTC по следующему адресу:
***

5. BITCOIN PURCHASE
If this is the first time you heard about Bitcoin, don't despair! Simply google this word and you will find all the answers. We can just recommend a few sites that will be of use to you.
Buying Bitcoins - This page aims to be the best resource for new users to understand how to buy Bitcoins
Localbitcoins (WU)  - Buy Bitcoins with Western Union
Coincafe.com - Recommended for fast, simple service. Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Service allows you to search for people in your community willing to sell bitcoins to you directly
btcdirect.eu - THE BEST FOR EUROPE
coinrnr.com - Another fast way to buy bitcoins
bitquick.co - Buy Bitcoins Instantly for Cash
How To Buy Bitcoins - An international directory of bitcoin exchanges
Cash Into Coins - Bticoin for cash
CoinJar - CoinJar allows direct bitcoin purchases on their site
ZipZap - Global cash payment network enabling consumers to pay for digital currency

5. ПОКУПКА BITCOIN 
Если это первый раз, когда вы услышали о Bitcoin, не пугайтесь! Просто гуглите это слово и вы найдете ответы на все вопросы. Мы можем порекомендовать несколько сайтов, которые будут для вас полезны.
Buying Bitcoins - Эта страница скорее всего лучший ресурс для новых пользователей, чтобы понять, как купить Bitcoins
Localbitcoins (WU)  - Купить Bitcoins с Western Union
Coincafe.com - Рекомендуется для быстрого и простого обслуживания. Способы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Сервис позволяет искать людей в вашем сообществе, готовых вам напрямую продать Bitcoins 
btcdirect.eu - ЛУЧШИЙ ДЛЯ ЕВРОПЫ
coinrnr.com - Еще один быстрый способ купить биткойны
bitquick.co - Купить Bitcoins мгновенно за наличные
How To Buy Bitcoins - международный каталог Bitcoin бирж
Cash Into Coins - Bticoin за наличные
CoinJar - CoinJar позволяет прямые покупки Bitcoin на своем сайте
ZipZap - Глобальная сеть оплаты наличными, позволяет потребителям платить за электронную валюту

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр. 

Не подвергаются шифрованию следующие папки с файлами:
\Internet Explorer\
\History\
\Mozilla\
\Chrome\
\Temp\
\Program files\
\Program files (x86)\
\Microsoft\
\Chache\
\Chaches\
\Appdata\

Файлы, связанные с этим Ransomware:
TOS-update-2016-Marth-18.scr
_DECRYPT_INFO_[random].html
<random>.exe
%TEMP%\cupydupy.cab

%TEMP%\<random>.rtf

Записи реестра, связанные с этим Ransomware:
См. результаты анализов. 

Сетевые подключения:
qunpack.ahteam.org
bs7aygotd2rnjl4o.onion.link

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 17 декабря 2016
Пост в Твиттере >>
Файл: ChartFewer.exe 
Фальш-имя: ChartFewer, Bitdefender
Записка: _DECRYPT_INFO_wypt.html
Расширение: .wypt
Результаты анализов: VT

Обновление от 22 марта 2017:
Файлы: 
invoice-03-21-2017-EZU280432-update.scr
invoice-03-21-2017-ENC197472.scr
Результаты анализов: VT, VT


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up on BC + Write-up on Malwarebytes
 My Write-up on SZ
 *
 Thanks: 
 Yonathan Klijnsma
 Michael Gillespie
 Lawrence Abrams
 I myself, as SNS-amigo :)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nemucod

Nemucod Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп от 0.39983 до 4 биткоинов за ключ дешифровки. Точнее, шифруются первые 2048 байт файла, используя 255 байт ключа XOR. 

© Генеалогия: Nemucod > Nemucod-AES

К зашифрованным файлам добавляется расширение .crypted
Начальная активность этого крипто-вымогателя пришлась на март-апрель 2016 г. и продолжалась в течении всего 2016 года. 

Записки с требованием выкупа называются: 
Decrypted.txt
Decrypt.txt

Содержание записки о выкупе:
Attention!
All your documents, photos, databases and other important personal files were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.39983 BTC (bitcoins).
Please follow this manual:
1. Create Bitcoin wallet here: https://blockchain.info/wallet/new
2. Buy 0.39983 BTC with cash, using search here: https://localbitcoins.com/buy_bitcoins
3. Send 0.39983 BTC to this Bitcoin address: ***
4. Open one of the following links in your browser to download decryptor:
http://coseap.it/counter/7ad-***
http://globalautomot i ve.i t/counter/?ad-***
http://angelucci.info/counter/7ad-***
http://www.hoanca.cow/counter/?ad-***
http://bibliotecaatualiza.com.br/counter/7ad-***
5. Run decryptor to restore your files.
PLEASE REMEMBER:
- If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
- Nobody can help you except us.
- It's useless to reinstall windows, update antivirus software, etc.
- Your files can be decrypted only after you make payment.
- You can find this manual on your desktop (DECRYPT.txt).

Перевод записки на русский язык:
Внимание!
Все ваши документы, фото, базы данных и другие важные личные файлы зашифрованы с использованием алгоритма RSA-1024 с уникальным ключом.
Чтобы восстановить файлы вы должны заплатить 0.39983 BTC (Bitcoins).
Пожалуйста, следуйте данному руководству:
1. Создать Bitcoin-кошелек здесь: https://blockchain.info/wallet/new
2. Купить 0,39983 BTC на деньги, используя поиск здесь: https://localbitcoins.com/buy_bitcoins
3. Переслать 0.39983 BTC на Bitcoin-адрес: ***
4. Открыть одну из следующих ссылок в вашем браузере, чтобы загрузить дешифратор:
http://coseap.it/counter/7ad-***
http://globalautomot i ve.i t/counter/?ad-***
http://angelucci.info/counter/7ad-***
http://www.hoanca.cow/counter/?ad-***
http://bibliotecaatualiza.com.br/counter/7ad-***
5. Запустить дешифратор для восстановления файлов.
ПОЖАЛУЙСТА, ПОМНИТЕ:
- Если вы не платите за 3 дня, то потеряете все свои файлы.
- Никто не может помочь вам, кроме нас.
- Бесполезно заново ставить Windows, обновлять антивирус и т.д.
- Ваши файлы могут быть расшифрованы только после того, как вы сделаете оплату.
- Вы можете найти это руководство на рабочем столе (DECRYPT.txt).

Распространяется с помощью email-спама и вредоносных вложений, в частности через загрузчик Nemucod Trojan.Downloader, рассылаемый злоумышленниками по электронной почте в виде JavaScript-вложения (.js) . Когда пользователь откроет JS-вложение, то JS-скрипт сработает, загрузит на компьютер жертвы и сохранит исполняемый, но пока еще неактивный файл вымогателя в директорию %TEMP%\5021052.exe. Затем скрипт создаёт и запускает CMD-сценарий, содержащий команды, которые будут использоваться для поиска файлов и их целенаправленного шифрования.
 JS-исходник Nemucod

Примечательно, что шаги шифрования у Nemucod разделены между двумя программами. Javascript-инсталлеры генерируют различные команды и командные файлы, которые используют загруженные файлы для выполнения процесса шифрования.

После шифрования файлов, CMD-сценарий добавит различные пункты автозапуска в реестре, чтобы ПО вымогателей продолжило работу при следующей загрузке Windows. Когда сценарий закончит работу, он удалит себя с компьютера. После окончании шифрования жертве будет отображена записка с требованием выкупа.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .als, .asm, .aup, .avi, .bas, .blend, .cad, .cdr, .cpp, .cpr, .cpt, .cs, .csv, .doc, .docx, .dsk, .dwg, .eps, .gpg, .gz, .indd, .jpg, .kdb, .kdbx, .lwo, .lws, .m4v, .max, .mb, .mdb, .mdf, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .pas, .pdf, .pgp, .php, .ppt, .pptx, .psd, .pub, .rar, .raw, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .ssh, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .wdb, .wmf, .wmv, .xls, .xlsx, .zip (79 расширений). 

Файлы, связанные с Ransomware:
Decrypted.txt

Дополнение про вредоносное ПО Nemucod 
Вредоносное ПО Nemucod было известно задолго до работы как вымогатель. Так, Nemucod TrojanDownloader может установить на ПК пользователя инфекцию Kovter (см. рисунок ниже) и, возможно, другие вредоносные программы. 

Для отдельного удаления этого вредоноса есть специальные инструменты, например, Trojan.Kotver Removal Tool. См. также инструкцию от BleepinComputer по удалению Kovter.

Файлы, связанные с Nemucod Trojan:
%Temp%\502105.txt
%Temp%\5021052.exe
%LocalAppData%\evum\
%LocalAppData%\evum\1QGNQ.2MGvFO
%AppData%\BlastoffCounterpoiseDissimilitude
%AppData%\ForesideDopattaEmpyrean
%AppData%\gangbang.dll
%AppData%\htmlhelp.title.xml
%AppData%\libertine.dll
%AppData%\minimize_hover.png
%AppData%\System.dll
%Desktop%\Decrypt.txt

Записи реестра, связанные с Nemucod Trojan:
HKCU\Software\Classes\.2MGvFO
HKCU\Software\Classes\.2MGvFO\    ayC5
HKCU\Software\Classes\ayC5
HKCU\Software\Classes\ayC5\shell
HKCU\Software\Classes\ayC5\shell\open
HKCU\Software\Classes\ayC5\shell\open\command
HKCU\Software\3c1cee05f3
HKCU\Software\Classes\ayC5\shell\open\command\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Crypted    %Temp%\502105.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]

Степень распространённости: высокая.
Подробные сведения собираются.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

История не отслеживалась. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 июня 2016:
Сообщение на сайте Microsoft >>
Записка: DECRYPT.txt
BTC: 1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
Сумма выкупа: 0.43466 BTC
➤ Содержание записки: 
ATTENTION!
All your documents, photos, databases and other important personal files
were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.43466 BTC (bitcoins).
Please follow this manual:
1. Create Bitcoin wallet here:
      https://blockchain.info/wallet/new
2. Buy 0.43466 BTC with cash, using search here:
      https://localbitcoins.com/buy_bitcoins
3. Send 0.43466 BTC to this Bitcoin address:
      1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
4. Open one of the following links in your browser to download decryptor:
      http://clermontcentralchurch.org/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://glamcook.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://lmapp360.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://roofsalesmastery.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://oneboxcg.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
5. Run decryptor to restore your files.
PLEASE REMEMBER:
      - If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
      - Nobody can help you except us.
      - It`s useless to reinstall Windows, update antivirus software, etc.
      - Your files can be decrypted only after you make payment.
      - You can find this manual on your desktop (DECRYPT.txt).

Обновление от *** 2016:
Сообщение на форуме >>
Записка: DECRYPT.txt
BTC: 1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
Сумма выкупа: 0.55165 BTC
➤ Содержание записки: 
ATTENTION!
All your documents, photos, databases and other important personal files
were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.55165 BTC (bitcoins).
Please follow this manual:
1. Create Bitcoin wallet here:
      https://blockchain.info/wallet/new
2. Buy 0.55165 BTC with cash, using search here:
      https://localbitcoins.com/buy_bitcoins
3. Send 0.55165 BTC to this Bitcoin address:
      1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
4. Open one of the following links in your browser to download decryptor:
      http://viktoriaschool.ru/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://tienda-mediterranea.de/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://www.united-systems.it/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://pasargad1007.com/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://www.sateltrack.net/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
5. Run decryptor to restore your files.
PLEASE REMEMBER:
      - If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
      - Nobody can help you except us.
      - It`s useless to reinstall Windows, update antivirus software, etc.
      - Your files can be decrypted only after you make payment.
      - You can find this manual on your desktop (DECRYPT.txt).







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик. 
Скачать Emsisoft Nemucod Decryptor >>>
Подробная инструкция по использованию прилагается. 
*
*
Emsisoft Decryptor for Nemucod >>
Write-up from Bleeping Computer >>
 Thanks: 
 Fabian Wosar, Michael Gillespie, Lawrence Abrams 
 Andrew Ivanov (author)
 Emsisoft
© Amigo-A (Andrew Ivanov): All blog articles.

BankAccount Summary

BankAccountSummary Ransomware

Strictor Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы, найденные в документах пользователя, с помощью алгоритма AES-256 и требует выкуп в $500, чтобы вернуть файлы обратно. Если выкуп не поступит вовремя, то сумма вырастет до $1000. Вымогатель создан на основе крипто-конструктора EDA2. 

© Генеалогия: EDA2 >> Strictor

К зашифрованным файлам добавляется расширение .locked



Содержимое записки о выкупе:
All your precious Files on your computer
I have successfully encrypted!
Your files are encrypted To get the key to decrypt flies you have to pay 500 USD. 
If payment is not made before 19/03/16 the cost of decrypting files will increase 2 times and will be 1000 USD
Click below to pay us the bitcoins!!!

Перевод записки на русский язык:
Все ваши ценные файлы на компьютере
Я успешно зашифровал!
Файлы зашифрованы, чтобы получить ключ дешифровки нужно заплатить 500 долл. 
Если оплата не поступит до 19/03/16, то стоимость дешифровки возрастет в 2 раза и станет 1000 долл.
Нажмите "Pay" для оплаты в Bitcoins!!!

 Для инфицирования компьютера используется поддельный банковский счёт "Bank_Account_Summary.pdf.exe", который приходит по email. Отсюда и название вымогателя. Для платежа предложен поддельный CryptoWall-сайт: хттп://202.181.194.227/cryptowall 

Вымогатель вносит следующие изменения в реестр: 
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\ConsoleTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableConsoleTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableFileTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileDirectory
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\MaxFileSize
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\ConsoleTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableConsoleTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableFileTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileDirectory
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\MaxFileSize

  Вымогателем генерируется случайный пароль из 10 цифр, с которым через функцию FileEncryption шифруется вся информация, найденная в папке пользователя "Мои документы". В отличие от других вымогателей этот не выбирает какой-то конкретный тип файлов, поэтому шифрование затрагивает все файлы, находящиеся в этом каталоге.

  По завершения шифрования в папке C:\Users\Name\Documents\ создается специальный файл WindowsUpdate.locked, который информирует жертву о том, что случилось с его файлами, и что нужно сделать, чтобы их вернуть. Забавно, но в верхней части этого сообщения находится пароль, с которым была зашифрована вся информация. 



  Информация о шифровании отправляется на C&C-сервер, расположенный в Гонконге. 

Примечательно, что вредонос будет пытаться пинговать сайт 202.181.194.227/cryptowall, а если ни один из 10 запросов не пройдёт, то будет показано следующее сообщение:
"Are you trying to fool me? Connect me to the Internet ;)"

Перевод на русский:
"Хотите обмануть меня? Подключитесь к Интернету;)"


  Благодаря инструментам HT Bruteforcer и HT Decrypter, созданным Майклом Джиллеспи для поиска пароля и дешифрования файлов, пострадавшие от этого вымогателя могут вернуть свои файлы без уплаты выкупа. 

Степень распространённости: низкая.
Подробные сведения собираются. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *