Erebus 2017 Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует посетить Tor-сайт и уплатить выкуп в 0,085 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся 96 часов.
Оригинальное название: EREBUS. Но в нашей базе уже есть крипто-вымогатель с таким названием - Erebus Ransomware. Много различий говорит о том, что они могут быть не связаны. Поживём — увидим.
© Генеалогия: Erebus (ранний вариант) > Erebus 2017
К зашифрованным файлам заготовленное расширение не добавляется, но вместо этого оригинальное расширение файла шифруется с помощью ROT-23.
Примеры расширений:
.grf
.msj
.sqj
Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: README.HTML
Размещаются на рабочем столе и в папке документов.
Содержание записки о выкупе (реконструкция):
Data crypted
Every important file (documents, photos, videos etc) on this computer has been encrypted using an unique key for this computer.
It is impossible to recover your files without this key. You can try to open them they won't work and will stay that way.
That is, unless you buy a decryption key and decrypt your files.
Click 'recover my files' below to go to the website allowing you to buy the key.
From now on you have 96 hours to recover the key after this time it will be deleted and your files will stay unusable forever
Your id is : [***]
You can find this page on your desktop and document folder
Use it to if the button below doesn't work you need to download a web browser called 'tor browser' download by clicking here then install the browser, it's like chrome, firefox or internet explorer except it allows you to browse to special websites.
Once it's launched browse to xxxx://erebus5743lnq6db.onion
button 'Recover my files'
Crypted Files :
[list of encrypted files]
Перевод записки на русский язык:
Данные зашифрованы
Каждый важный файл (документы, фото, видео и т.д.) на этом компьютере был зашифрован с уникальным ключом для этого компьютера.
Невозможно восстановить ваши файлы без этого ключа. Вы можете пробовать открыть их, они не будут работать, и так останутся.
Но если вы купите ключ дешифровки, то дешифруете свои файлы.
Нажмите кнопку "recover my files" ниже, чтобы открыть сайт для покупки ключа.
Теперь у вас есть 96 часов для получения ключа, после этого времени он будет удален, а ваши файлы пропадут навсегда
Ваш ID: [***]
Вы можете найти эту страницу на рабочем столе и в папке документов.
Используйте это, если кнопка ниже не работает, вам нужно загрузить веб-браузер Tor-браузер, скачать, нажав здесь, затем установить браузер, это как Chrome, Firefox или Internet Explorer, но позволяет просматривать специальные сайты.
Тогда начните просмотр xxxx://erebus5743lnq6db.onion
кнопка 'Recover my files' (Восстановить мои файлы)
Зашифрованные файлы:
[список зашифрованных файлов]
Every important file on this computer was crypted. Please look on your document or desktop folder for a file called README.html for instructions on how to decrypt them.
Перевод на русский:
Каждый важный файл на этом компьютере зашифрован. Смотрите в ваших документах или на рабочем столе файл README.html для инструкций по расшифровке.
Страница сайта оплаты до ввода ID
Страница сайта оплаты после ввода ID и входа
Hello, please enter your id
'Submit'
---
Your files are still Encrypted
Your files have been Encrypted and are unusable unless you purchase a decryption key. The key will be deleted in 96 hours.
you still have 95 hours 59 minutes 50 seconds before the key deletion, once the key is destroyed, you will not be able to recover your files
Pay via Bitcoin
To buy the private key (decryption key) and decrytor you will need some bitcoins.
Bitcoin is a currency, just like dollars and euros but entirely on the internet.
1 : Get a wallet
Just like in real life you need a wallet to hołd your coins when you'll buy them
we suggest https://blockchain.info/ it's a website easy to use, you'll be set in no time!
2 : Buy some bitcoins
Depending on your country you can buy them using various ways (paypal/credit card/ cash etc).
Look at this website https://www.buybitcoinworldwide.com to find where to buy some or just search on google yourslef.
Note that one of the fastest and easiest way is via https://localbitcoins.com/ because you buy bitcoins directly to other people.
you could have a meeting tomorrow and buy them using cash instantly.
3 : Payment
you need to buy 0,085 btc (bitcoins) and send them to this address : [redacted]
once you've paid, wait a bit. the process can take up to 24 hours for us to check the payment. Then, you will recieve on this same page your private key and a link to the decryption program that will automatically decrypt all your files so you can use them as before
You still have 0.085 bitcoins left to pay
Перевод текста на русский язык:
Привет, введите ваш ID
кнопка 'Submit' (Ввести)
---
Ваши файлы все еще зашифрованы
Ваши файлы зашифрованы и непригодны для использования, если вы не купите ключ дешифрования. Ключ удалится через 96 часов.
У вас есть 95 часов 59 минут 50 секунд до начала удаления ключа, после того, как ключ будет уничтожен, вы не сможете восстановить файлы.
Оплатить через Bitcoin
Чтобы купить секретный ключ (ключ дешифрования) и декриптор вам нужно немного биткоинов.
Bitcoin является валютой, так же, как доллары и евро, но полностью в Интернете.
1: Получить бумажник
Так же, как и в реальной жизни вам нужен бумажник для хранения ваших монет, когда их купите
мы предлагаем https://blockchain.info/ это простой в использовании сайт, вы настроите быстро!
2: Купить биткоины
В зависимости от вашей страны можно купить их разными способами (PayPal/кредитная карта/наличные и т.д.).
Посмотрите на этом сайте https://www.buybitcoinworldwide.com как найти, где купить немного или просто поищите в Google.
Заметьте, один из самых быстрых и простой способ это через https://localbitcoins.com/, т.к. вы купите биткойны у других людей.
Вы могли бы прямо завтра купить их, используя наличные деньги, мгновенно.
3: Оплата
Вам нужно купить 0,085 Btc (Bitcoins) и отправить их по этому адресу: [скрыт]
Как только вы заплатили, немного подождите. Процесс может занять до 24 часов у нас, чтобы проверить оплату. Тогда вы получите на этой же странице ваш секретный ключ и ссылку на декриптор, который автоматом расшифрует все ваши файлы, вы сможете их использовать, как раньше
Вам всего 0,085 биткоина осталось заплатить
Технические детали
Был замечен в распространении с помощью зараженного дистрибутива VLC медиа-плеера (см. ниже Hybrid Analysis и ссылку на сайт videolan в зоне UA). Также может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ Удаляет теневые копии файлов командой:
cmd.exe /C vssadmin delete shadows /all /quiet && exit
➤ Примечательно, что этот вредонос обходит UAC. Метод обхода UAC заключается в следующем. Сначала вредонос копирует самого себя как файл со случайным именем <random>.exe в системную папку. Затем вносит изменения в реестр Windows, чтобы украсть ассоциацию для файлового расширения .msc и запустить этот файл со случайным именем и выполнить. Захваченные ключи реестра см. ниже. Затем запускает файл eventvwr.exe (Просмотр событий), который автоматически откроет файл eventvwr.msc. Т.к. msc-файл больше не связан с mmc.exe (Консоль управления), то теперь будет запущен <random>.exe файл вымогателя. Просмотр событий работает в режиме с повышенными правами, потому исполняемый файл <random>.exe будет иметь те же привилегии. Это позволяет ему обойти UAC (контроль учетных записей пользователей).
➤ Erebus 2017 нерестит много процессов, чтобы скрыть работу своего основного файла.
➤ После запуска крипто-вымогатель Erebus 2017 подключается к ipecho.net/plain и ipinfo.io/country, чтобы определить IP-адрес и страну жертвы. Затем скачивает TOR-клиент и использует его для подключения к своему C&C-серверу.
➤ Когда Erebus 2017 шифрует файл, то он ещё с целью запутывания шифрует расширение с помощью ROT-23. Например, файл с именем test.jpg будет зашифрован и переименован в test.gmd.
Тест для файлов популярных расширений в ROT-23
Похожий же способ шифрования использовался недавно другим шифровальщиком CryptoShield Ransomware, только тогда шифровалось имя файла с помощью ROT-13, а сейчас шифруется только его расширение с помощью ROT-23.
Список файловых расширений, подвергающихся шифрованию:
.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx (60 расширений).
Это документы MS Office, MS Works, OpenOffice, PDF, прикладные программы Adobe, текстовые файлы, базы данных, фотографии, файлы образов, сертификаты и пр.
Файлы, связанные с этим Ransomware:
%UserProfile%\AppData\Local\Temp\tor\
%UserProfile%\AppData\Local\Temp\tor\Data\
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip6
%UserProfile%\AppData\Local\Temp\tor\Tor\
%UserProfile%\AppData\Local\Temp\tor\Tor\libeay32.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent_core-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent_extra-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libgcc_s_sjlj-1.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libssp-0.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\ssleay32.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\tor-gencert.exe
%UserProfile%\AppData\Local\Temp\tor\Tor\tor.exe
%UserProfile%\AppData\Local\Temp\tor\Tor\zlib1.dll
%UserProfile%\AppData\Local\Temp\tor.zip
%UserProfile%\AppData\Roaming\tor\
%UserProfile%\AppData\Roaming\tor\cached-certs
%UserProfile%\AppData\Roaming\tor\cached-microdesc-consensus
%UserProfile%\AppData\Roaming\tor\cached-microdescs.new
%UserProfile%\AppData\Roaming\tor\lock
%UserProfile%\AppData\Roaming\tor\state
%UserProfile%\AppData\Roaming\tor\state\state.tmp
%UserProfile%\Desktop\test\xor-test.pdf
%UserProfile%\Desktop\README.html
%UserProfile%\Documents\README.html
%UserProfile%\[random].exe
Записи реестра, связанные с этим Ransomware:
HKEY_CLASSES_ROOT\.msc
HKCU\Software\Classes\mscfile
HKCU\Software\Classes\mscfile\shell
HKCU\Software\Classes\mscfile\shell\open
HKCU\Software\Classes\mscfile\shell\open\command
HKCU\Software\Classes\mscfile\shell\open\command\ %UserProfile%\[random].exe
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://erebus5743lnq6db.onion/
xxxx://torproject.ip-connect.vn.ua (91.218.89.74 - Украина)
xxxx://ipecho.net/plain
xxxx://ipinfo.io/country
xxxx://videolan.ip-connect.vn.ua/vlc/2.1.3/win32/vlc-2.1.3-win32.exe***
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
IntezerAnalyze >>
ANY.RUN анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (n/a) Write-up, Topic of Support
Added later: Write-up on BC (add. January 8, 2017) Write-up other
Thanks: MalwareHunterTeam Lawrence Abrams Andrew Ivanov *
© Amigo-A (Andrew Ivanov): All blog articles.
