Bitpaymer Ransomware
Aliases: BitPaymer, WPEncrypt, FriedEx
Bitpaymer NextGen
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные компьютеров в предприятиях и организациях с помощью комбинации шифров RC4 и RSA-1024, а затем требует выкуп в 50 BTC за все компьютеры в сети, чтобы вернуть файлы. Сумма выкупа может быть и меньше для разных жертв. Оригинальное название: Bit paymer. На файле написано: apisetstub, ApiSet Stub DLL или NlsData081a. Фальш-копирайт: Microsoft. Судя по одному из образцов, название проекта: wp_encrypt. Разработка группы Evil Corp (Indrik Spider), которую зарубежные исследователи считают российской или пророссийской.
---
👉 Ранее эту группу США обвинили в разработке и распространении вредоносной программы Dridex, предназначенной для заражения компьютеров банков и компаний более чем в 40 странах, заочно осудили и наложили санкции на всех перечисленных. Спустя неделю оказалось, что часть информации недостоверна и из санкционного списка можно смело исключить некоторые российские компании и несколько человек. Написание некоторых фамилий "обвиненных" искажены и могут относиться к вымышленным лицам. Более того, найдено немало вбросов со стороны украинских и антироссийских СМИ, которые усиленно муссируют недостоверную информацию. Сколько недостоверностей мы ещё узнаем и как можно верить заказным и муссированным "расследованиям" с картинками из социальных сетей? ---
DrWeb -> Trojan.MulDrop7.34138, Trojan.Encoder.25901, Trojan.Encoder.25571
BitDefender -> MemScan:Trojan.Ransom.BitPaymer.C, Trojan.GenericKD.31070119, Trojan.GenericKD.31070097, Trojan.GenericKD.30908543
ALYac -> Trojan.Ransom.Bitpaymer
Malwarebytes -> Trojan.FakeMS.Generic, Ransom.FileCryptor
ESET-NOD32 -> Win32/Filecoder.FriedEx.A, Win32/Filecoder.NRI
Symantec -> Ransom.JobCrypter, Ransom.BTCware
VBA32 -> BScope.Trojan.Refinka, BScope.TrojanRansom.Cryptor
Avira (no cloud) -> TR/Ransom.AF, TR/Crypt.XPACK.Gen
Rising -> Ransom.Crypt!1.A9D3 (CLOUD), Ransom.Crypt!1.A9D3 (CLASSIC)
---
© Генеалогия: предыдущие варианты >> BitPaymer > DoppelPaymer
К зашифрованным файлам добавляется расширение .locked
⚠️ После основной статьи смотрите раздел обновлений, там могут быть другие расширения и более новые образцы.
Ранняя активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: .readme_txt
С точкой потому, что она добавляется к каждому зашифрованному файлу как расширение.
Содержание текста о выкупе:
YOUR COMPANY HAS BEEN SUCCESSFULLY PENETRATED!
DO NOT RESET OR SHUTDOWN - files may be damaged. DO NOT TOUCH this file.
All files are encrypted, we accept only bitcoins to share the decryption software for your network.
Also, we have gathered all your private sensitive data.So if you decide not to pay anytime soon, we would share it with media's.
It may harm your business reputation and the company's capitalization fell sharply.
Do not try to do it with 3rd-parties programs, files might be damaged then.
Decrypting of your files is only possible with the special decryption software.
To receive your private key and the decryption software please follow the link (using tor2web service):
xxxxs://qmnmrba4s4a3py6z.onion.to/order/***
If this address is not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: xxxx://gmnmrba4s4a3py6z.onion/order/***
4. Follow the instructions on the site
5. This link is valid for 72 hours only. Afetr that period your local data would be lost completely.
6. Any questions: 15010050@tutamail.com
KEY:***
Перевод на русский язык:
ВАША КОМПАНИЯ БЫЛА УСПЕШНО ПЕНЕТРИРОВАНА!
Все файлы зашифрованы. Мы принимаем только биткоины для раздачи программы дешифрования по вашей сети.
Кроме того, мы собрали все ваши конфиденциальные данные.
Поэтому, если вы вскоре не заплатите, мы распределим...
Это может нанести вред вашей деловой репутации, и капитализация компании резко упадёт.
Не пытайтесь делать это с помощью сторонних программ, тогда файлы могут быть повреждены.
Расшифровка ваших файлов возможна только с помощью специальной программы для дешифрования.
Чтобы получить свой секретный ключ и программу для дешифрования, перейдите по ссылке (используя службу tor2web):
xxxxs://qmnmrba4s4a3py6z.onion.to/order/***
Если этот адрес недоступен, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: xxxx://gmnmrba4s4a3py6z.onion/order/***
4. Следуйте инструкциям на сайте
5. Эта ссылка действительна только в течение 72 часов. По их их истечении ваши локальные данные будут полностью потеряны.
6. Любые вопросы: 15010050@tutamail.com
Ключ:***
Скриншоты с сайта уплаты выкупа
Содержание текста на сайте для выкупа:
Welcome to the ransom page!
To get the decryption software and the private key for every single infected computer in your network please follow the on-screen instructions on how to buy and send the Bitcoin's:
1. Please register a Bitcoin wallet. Here are the options:
- Blockchain Online Wallet (the easiest way)
- Other options (for advanced users)
- Send via Bitcoin exchanger directly to the ransom wallet.
2. To buy the Bitcoins please use either of options below:
- localBitcoins.com Buy Bitcoins with Western Union and several alternative methods.
- btc-e.com Western Union, Cash, Bank Wire, etc.
- coincafe.com Recommended for fast, simple service.
- coinbase.com Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC:
Bitcoin ATM, in person.
- localBitcoins.com Service allows you to search for people in your community willing to sell Bitcoins to you directly.
- cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
- btcdirect.eu The best for Europe.
- bitquick.co Buy Bitcoins instantly for cash.
- howtobuyBitcoins.info An international directory of Bitcoin exchanges.
- cashintocoins.com Bitcoin for cash.
- coinjar.com CoinJar allows direct Bitcoin purchases on their site.
- anxpro.com
- bittylicious.com
3. Get bitcoin wallet for payment (bitcoin address valid for 12 hours, if 12 hours passed please get the new wallet)
4. Send 50 BTC to the bitcoin address
15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1 (must be sent in 1 transaction!)
Please note that we require 3 Bitcoin transaction confirmations.
- To view the current status of your transaction please follow the link:
https://blockchain.info/address/15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
- Once the transaction passed 3 confirmations please refresh the page and you will be granted to download the decryption software
- If something goes wrong please contact us via email: 17042102@tutamail.com
- We can decrypt 2-3 non-important light-weight files before you pay, send'em to email: 17042102@tutamail.com
4. Please be advised that the ransom amount may be raised after 48 hours since your first visit if no payment received.
In 7 days this link would be deleted, so all your information could be lost.
Your company is secure enough, but we may tell you what is wrong after payment being processed. Good Luck!
Перевод текста на сайте на русский язык:
Добро пожаловать на страницу выкупа!
Чтобы получить программу для дешифрования и закрытый ключ для каждого отдельного зараженного компьютера в вашей сети, следуйте инструкциям на экране о том, как купить и отправить биткоины:
1. Пожалуйста, зарегистрируйте Bitcoin-кошелек. Вот варианты:
- Сетевой кошелек Blockchain (самый простой способ)
- Другие варианты (для продвинутых пользователей)
- Отправьте через Bitcoin-обменник прямо в кошелек для выкупа.
2. Чтобы купить биткоины, пожалуйста, используйте один из следующих вариантов:
- localBitcoins.com - Купить биткойны с Western Union и несколько альтернативных методов.
- btc-e.com - Western Union, Cash, Wire Wire и т. Д.
- compatafe.com - Рекомендуется для быстрого и простого обслуживания.
- coinbase.com - Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. В NYC:
Bitcoin ATM, лично.
- localBitcoins.com - сервис помогает найти людей в вашем сообществе, готовых напрямую продать Bitcoins.
- cex.io - Купить биткоины с VISA / MASTERCARD или банковским переводом.
- btcdirect.eu - Лучшее для Европы.
- bitquick.co - Купить биткойны мгновенно за наличные.
- howtobuyBitcoins.info - Международный справочник бирманских бирж.
- cashintocoins.com - биткойны за наличные.
- coinjar.com - CoinJar - позволяет напрямую покупать биткойны на своем сайте.
- bittylicious.com
3. Получите биткойн-кошелек для оплаты (биткоин-адрес действителен 12 часов, если прошло 12 часов, получите новый кошелек)
4. Отправьте 50 BTC на биткойн-адрес
15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1 (должен быть отправлен в 1 транзакции!)
Обратите внимание, что нам требуется 3 подтверждения транзакции Bitcoin.
- Чтобы просмотреть текущий статус транзакции, перейдите по ссылке:
https://blockchain.info/address/15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
- После того, как транзакция прошла 3 подтверждения, пожалуйста, обновите страницу, и вам будет предоставлена возможность загрузить программное обеспечение для дешифрования
- Если что-то пойдет не так, свяжитесь с нами по email: 17042102@tutamail.com
- Мы можем расшифровать 2-3 важных файла с легким весом, прежде чем вы заплатите, отправьте по email: 17042102@tutamail.com
4. Пожалуйста, имейте в виду, что сумма выкупа может быть увеличена через 48 часов с момента вашего первого посещения, если платеж не получен.
Через 7 дней эта ссылка будет удалена, поэтому вся ваша информация может быть потеряна.
Ваша компания достаточно безопасна, но мы можем сказать вам, что не так после обработки платежа. Удачи!
Технические детали
За распространением стоит кибер-группа Indrik Spider, которая ещё использует банковский троян Dridex с 2014-2015 годов. Имеется прямая связь с Dridex. Распространяется путём взлома через незащищенную конфигурацию RDP. Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ Bitpaymer шифрует каждый файл со случайно сгенерированным RC4-ключом, который потом шифруется с помощью жестко закодированного 1024-битного открытого RSA-ключа и сохраняется в файле .readme_txt
Список файловых расширений, подвергающихся шифрованию:
... .bmp, .cab, .doc, .gif, .jpg, .mp3, .msi, .pdf, .png, .xml, ...
Это вероятно документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
<file_name>.readme_txt
<random>.exe
<random>.tmp
wp_encrypt.pdb - оригинальное название проекта
Странные файлы:
g7jPtkL61MJlOuA5XHbLrCZK.oBu
kyrq0FRS37EmB.siS
l2mxwrZNwyVO0y8EAMTy.d7A
Расположения:
%LOCALAPPDATA%\\random\<random>.exe
Временные файлы, подлежащие удалению:
%LOCALAPPDATA%\dIPNflS\s2h56FV.exe
%LOCALAPPDATA%\UxBmpV3\tYXbzc.exe
%TEMP%\CZ5EAC.tmp
%TEMP%\Gb5EE9.tmp
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://qmnmrba4s4a3py6z.onion
xxxx://qmnmrba4s4a3py6z.onion/order/43e4593a-5dc7-11e7-8803-00163e417ea3***
BTC: 15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
Email: 17042102@tutamail.com
15010050@tutamail.com
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Intezer Analyze >>
ANY.RUN анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Bitpaymer Ransomware - июль 2017 - январь 2019
Bitpaymer NextGen - июнь-июль 2018
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 25 августа 2017:
Email: 43rgwe723E94@tutanota.com (новый)
Tor: gmnmrba4s4a3py6z.onion (не изменился)
Обновление от 21 мая 2018:
Пост в Твиттере >>
Tor-URL: xxxx://xau4lkbipznut2ya.onion/***
Email: 1173022@protonmail.com
BTC: 3EQoU28BLTebRZUh1RevG5DWWXB8iTDpAe
Скриншоты записки о выкупе и Tor-сайта вымогателей
➤ Содержание текста из записки:
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorythm.
Backups were either encrypted or deleted or backup disks were formatted.
No free decryption software is available in the public.
Do not reset or shutdown - files may be damaged.
Do not rename the encrypted and readme files.
Do not move the encrypted and readme files.
This may lead to the impossibility of recovery of the certain files.
To get info(pay-to-decrypt your files) contact us at:
1173022@protonmai1. com
If you haven't received any response within 24h since you wrote us visit your personal ransom page in TOR to get the alternative email address:
http://xau4lkbipznut2ya.onion/order/98aa2b7e-f63d-11e7-9f2f-00163e044792
Use TOR Browser to be able to view you personal ransom page
https://www.torproject.org/download/download-easy.html.en
KEY:AQIAAAFoAAAApAAAQGY73*****MEDd3usQQ=
➤ Содержание текста на Tor-сайте:
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorythm.
Backups were either encrypted or deleted or backup disks were formatted.
No free decryption software is available in the public.
Do not rename the encryted or informational text files. Do not move the encrypted or informational text files.
This may lead to the impossibility of recovery of the certain files.
• Your reference ID: 124
(we recommend to put the reference ID as the subject when contacting us)
• BTC wallet for payment:
***
3EQoU28BLTebRZUh1RevG5DWWXB8iTDpAe
you can check the status here:
https://blockchain.info/address/3EQoU28BLTebRZUh1RevG5DWWXB8iTDpAe
• Contact email: 1173022@protonmail.com
Обновление от 11 июля 2018:
Пост в Твиттере >>
Расширение: .LOCK
Записка: HOW_TO_DECRYPT.txt
Email: StephenJoffe@protonmail.com
Маркер файлов: 0C0200000C020000
Результаты анализов: VT + VT
Обновление от 12 июля 2018:
Пост в Твиттере >>
Расширение: .locked
Записка .readme_txt добавляется к каждому зашифрованному файлу как расширение.
Пример зашифрованного файла: My_Document.doc.locked
Пример записки к зашифрованному файлу: My_Document.doc.readme_txt
Email: PetcherMcneill@protonmail.com, PeterMcneill@tutanota.com
BTC: 1PNmBWJHzJGqTUemastR7E4ccrUNASktmZ
Результаты анализов: VT + HA + VMRay
Обновление от 24 июля 2018:
От атаки Bitpaymer Ransomware пострадали серверы и интернет-сети городской ИТ-инфраструктуры на Аляске (США). Пришлось полностью отключить от Интернета все сети и перестроить заново. Статья на английском.
Обновление, которое используется с декабря 2018:
Пост в Твиттере >>
Расширение: .locked
Записка .unlockme.txt добавляется к каждому зашифрованному файлу как расширение. Но в записке написано про добавление к файлу .readme_txt
Обновление от 18 января 2019:
Пост в Твиттере >>
Расширение: .locked
Email: LoryEstside@protonmail.com
BTC: 1BoKgLAR71Jq975cS1YahK2PdcWwKf4ddf
Записка с расширением .readme_txt добавляется к каждому зашифрованному файлу как расширение. Результаты анализов: VT + HA + VMRay
Обновление от 20 июня 2019:
Расширение: .locked
Tor-URL: xxxx://2anwyjsh7qgbuc5i.onion
Записка с расширением .readme2unlock.txt добавляется к каждому зашифрованному файлу как расширение.
Результаты анализов:
VT + IA + AR
Обновление от 20 ноября 2019:
Изучение BitPaymer Decrypter от Vitali Kremez
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet
ID Ransomware (ID as Bitpaymer)
Write-up, Topic of Support
*
Added later:
About BitPaymer by CrowdStrike (on November 14, 2018)
About FriedEx (BitPaymer) by ESET (January 28, 2018)
*
Thanks:
Michael Gillespie
Jakub Kroustek, David Montenegro
Andrew Ivanov, GrujaRS
ESET, CrowdStrike
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
