Defray Ransomware
Glushkov Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 5000$, чтобы вернуть файлы. Оригинальное название: не указано. Написан на C ++.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: Defray (Glushkov) > Defray 2018
Этимология названия:
1. Название Defray было дано исследователями из Proofpoint, оно основано на имени C&C-сервера в первой наблюдаемой атаке: "defrayable-listings".
Кроме того, англ. слово "defray" означает "выплата, покрытие издержек" (предоставление денег для оплаты затрат или расходов), а это вредоносное ПО требует, чтобы была выплачена большая сумма $5000 в BTC в обмен за дешифровку файлов.
2. Название Glushkov более конкретно указывает на вымогателей, т.к. по международной традиции при отсутствии оригинального названия в требованиях выкупа, в названии файла или в маркере, берется название из email вымогателей.
К зашифрованным файлам добавляется расширение *нет данных*.
Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Пока был замечен в нескольких таргетированных атаках на объекты в Великобритании и США (организации в сфере здравоохранения и образования, а также промышленные объекты и другие типы организаций).
Записки с требованием выкупа называются: FILES.TXT и HELP.txt
Содержание записки о выкупе:
Don't panic, read this and contact someone from IT department.
Your computer has been infected with a virus known as ransomware.
All files including your personal or business documents, backups and projects are encrypted.
Encryption is very sophisticated and without paying a ransom you won't get your files back.
You could be advised not to pay, but you should anyway get in touch with us.
Ransom value for your files is 5000$ to be paid in digital currency called Bitcoin.
If you have questions, write us.
If you have doubts, write us.
If you want to negotiate, write us.
If you want to make sure we can get your files back, write us.
glushkov@protonmail.ch
glushkov®tutanota.de
igor.glushkov.83@mail.ru
In case we don't respond to an email within one day, download application called BitMessage and reach to us for the fastest response.
BitMessage BM-2cVPRqFb5ZRaMuYdryqxsMNxFMudibvnY6
###
To someone from IT department
This is custom developed ransomware, decrypter won't be made by an antivirus company. This one doesn't even have a name. It uses AES-256 for encrypting files, RSA-2048 for storing encrypted AES-256 password and SHA-2 for keeping the encrypted file integrity. It's written in C++ and have passed many quality assurance tests. To prevent this next time use offline backups.
###
Перевод записки на русский язык:
Не паникуйте, прочитайте это и свяжитесь с кем-то из отдела ИТ.
Ваш компьютер заражен вирусом, известным как ransomware.
Все файлы, включая личные или бизнес-документы, резервные копии и проекты, зашифрованы.
Шифрование очень сложное, и, не выплачивая выкуп, вы не сможете вернуть свои файлы.
Вам могут посоветовать не платить, но вам все равно нужно связаться с нами.
Стоимость выкупа для ваших файлов - 5000$, которые нужно выплатить в цифровой валюте Биткоин.
Если у вас есть вопросы, напишите нам.
Если у вас есть сомнения, напишите нам.
Если вы хотите договориться, напишите нам.
Если вы хотите, чтобы мы могли вернуть ваши файлы, напишите нам.
glushkov@protonmail.ch
glushkov®tutanota.de
igor.glushkov.83@mail.ru
Если мы не ответим на email в течение одного дня, загрузите приложение под названием BitMessage и свяжитесь с нами для быстрого ответа.
###
Кому-то из отдела ИТ
Это обычная ransomware-разработка, декриптер не создаются антивирусной компанией. У этого нет даже имени. Он использует AES-256 для шифрования файлов RSA-2048 для хранения зашифрованного пароля AES-256 и SHA-2 для обеспечения целостности зашифрованного файла. Он написан на C++ и прошел множество проверок качества. В следующий раз не используйте оффлайн-бэкапы.
###
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Документ patient_report.doc из email, полученный больницей в Великобритании
В ходе этой вредоносной кампании, нацеленной на эту больницу, письмо якобы было от руководства ИТ-отдела, а сам Ransomware был в зараженном Word-файле, якобы содержащем отчеты о пациентах (логотип больницы скрыт в правом верхнем углу документа).
Список файловых расширений, подвергающихся шифрованию:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, .arw, .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, .dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf, .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, .pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, .stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet, .win, .xls, .xlsm, .xlsx, .zip (121 расширение).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
FILES.TXT - записка с требования выкупа для всех папок
HELP.txt - дубликат файла FILES.TXT для размещения на рабочем столе
<random>.exe
patient_report.doc - вложение в email
Расположения:
<all folders>\FILES.txt
\Desktop\HELP.txt
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
URL: ***kinaesthetic-electr.000webhostapp.com - C2
***defrayable-listings.000webhostapp.com - C2
***145.14.145.115 - IP
Email: glushkov@protonmail.ch
glushkov®tutanota.de
igor.glushkov.83@mail.ru
BitMessage: BM-2cVPRqFb5ZRaMuYdryqxsMNxFMudibvnY6
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Defray) Write-up, Topic of Support *
Thanks: Proofpoint Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
