среда, 4 марта 2015 г.

BandarChor, Rakhni 2015

BandarChor Ransomware

Rakhni 2015 Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует файлы с помощью AES-256. Известен с ноября 2014. Другое название: Rakhni (रखनी в переводе с хинди - "медведь"). Исследован F-Security в марте 2015 г. Последнее распространение в марте-апреле 2016 г. 

© Генеалогия: BandarChor > Paycrypt 

  К зашифрованным файлам добавляется расширение, создаваемое по шаблону: 
.id-[ID]_[email_address]
Например, .id-4361716884_europay@india.com

Таким образом, зашифрованный файл будет выглядеть так: 
[original_file_name].id-[random-10-digit-number]_europay@india.com

  Вместо текстовой записки о выкупе используется графическое изображение fud.bmp (или bytor.bmp или др.), встающее обоями рабочего стола. Время от времени меняется только email вымогателей. 

Содержание текста на изображении: 
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!
To get the decoder and the original key, you need to write to us at the e-mail fud@india.com with the subject "encryption" stating your id.
Write on the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
fudx@lycos.com

Перевод на русский: 
Внимание! Ваш компьютер атакован вирусом-шифровальщиком.
Все ваши файлы были зашифрованы, без оригинального ключа вернуть невозможно!
Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на fud@india.com с темой "encryption" и указать ваш ID.
Пишите по делу, не тратьте свое и наше время на пустые угрозы.
Письма от неадекватных людей будут игнорироваться.
fudx@lycos.com

Адреса email в других вариантах записок: 
fud@lycos.com и fudx@lycos.com
fud@india.com
decode@india.com
decrypt@india.com
europay@india.com
info@cryptedfiles.biz и salutem@protonmail.com
bingo@opensourcemail.org
doctor@freelinuxmail.org
johndoe@weekendwarrior55.com
sos@encryption.guru
av666@weekendwarrior55.com
email_info@cryptedfiles.biz
email1_info@cryptedfiles.biz
milarepa.lotos@aol.com
и другие...

Список файловых расширение, подвергающихся шифрованию в версии с fud.bmp
.001, .113, .1cd, .3gp, .73b, .a3d, .abf, .abk, .accdb, .ace, .arj, .as4, .asm, .asvx, .ate, .avi, .bac, .bak, .bck, .bkf , .bup, .bvd, .cdr, .cer, .cng, .cpt, .cryptra, .csv, .db3, .dbf, .dco, .doc, .docx, .dwg, .enx, .erf, .fbf, .fbk, .fbw, .fbx, .fdb, .fdp, .gbk, .gho, .gzip, .iv2i, .jac, .jbc, .jpeg, .jpg , .kbb, .key, .keystore, .ldf, .m2v, .m3d, .max, .mdb, .mkv, .mov, .mpeg , .nba, .nbd, .nrw, .nx1, .odb, .odc, .odp, .ods, .odt, .old, .orf, .p12, .pdf, .pef, .pkey, .ppsx, .ppt, .pptm, .pptx, .pst, .ptx, .pwm, .pz3, .qic, .r3d, .rar, .raw, .rtf, .rwl, .rx2, .rzx , .safe, .sbs , .sde, .sgz, .sldasm, .sldprt, .sle, .sme, .sn1, .sna, .spf, .sr2, .srf, .srw, .tbl, .tib, .tis, .txt, .vhd, .wab, .wallet, .wbb, .wbcat, .win, .wps, .x3f, .xls, .xlsb, .xlsk, .xlsm, .xlsx, .zip (124 расширения). 

Этот список от 2015 года уже дополнен расширениями, определёнными в новой версии вымогателя в начале марта 2016. 

Список файловых расширение, подвергающихся шифрованию в версии с bytor.bmp: 
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx  (67 расширений). По данным Symantec

Запустившись в системе, BandarChor сканирует все папки, за исключением: 
Windows
Program Files
Program Files (x86)
ProgramData
System Volume Information
Temp

  BandarChor не трогает файлы, которые больше 30 мегабайт. Шифрует до 30000 байтов заголовка каждого файла и сохраняет количество шифрованных байт в первые 4 байта (добавляет перезаписываемые байты в конец файла). Когда все файлы заблокированы, устанавливает изображение fud.bmp в качестве обоев рабочего стола с вымогательским текстом. Затем вредонос удаляет себя.

  Распространяется с помощью email-спама и вредоносных вложений, а ссылки могут вести на зараженный сайт, содержащий эксплойты на веб-страницах или вредоносную рекламу. Письма приходят якобы от PayPal, Amazon, eBay и Facebook, а их содержание ссылается на изменения в политике конфиденциальности, возвраты и недавно сделанные покупки. Файлы во вложении имеют двойное расширение. Вложение упаковано UPX, после вскрытия содержит исполняемый файл написан в Delphi. Восстановление зашифрованных файлов невозможно без ключа, который хранится на сервере злоумышленников и не сохраняется на диск.

  Запустившись в системе добавляет себя в папку автозагрузки Windows. Затем он генерирует случайную последовательность из 10 цифр для  ID компьютера и формирует строку запроса из него, имени компьютера, фиксированного номера, и суффикса, содержащего ID и email-адрес автора вредоносной программы. 
Например: number=31&id=4361716884&pc=FOOBAR&tail=.id-4361716884_europay@india.com

Дальнейшее развитие — Paycrypt и другие.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe
<random>.dll
fud.bmp или bytor.bmp
edgE528.exe - утилита запроса сервера терминалов
Утилита запроса сервера терминалов
Утилита запроса сервера терминалов

Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "%UserProfile%\Application Data\bytor.bmp" 
...или "%UserProfile%\Application Data\fud.bmp"

Сетевые подключения и связи:
martyanovdrweb.com
www.fuck-isil.com
www.ahalaymahalay.com
kapustakapaet.com
www.decryptindia.com
www.enibeniraba.com
www.netupite.com
89025840.com
xsmailsos.com
sosxsmaillockedwriteonxsmailindia.com
baitforany.com
euvalues.com
intelligence1938.com
и другие...

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.BandarChor (до августа 2016: Trojan.Ransomcrypt.Q)

Степень распространённости: средняя. 
Подробные сведения собираются. 


Обновление от 15 декабря 2016:
 Статья >> + ID Shigo
Записка: HOW TO DECRYPT.txt
Расширение по шаблону: .id-[ID]_[email_address]
Email: help@decryptservice.info, Shigorin.Vitolid@gmail
Пример зашифр. файла: test.jpg.id-1235240425_help@decryptservice.info



Обновление от 4 сентября 2017: 
Email: kiaracript@email.cz и kiaracript@gmail
Расширение: .SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail
Шаблон расширения: .SN-<ID>-kiaracript@email.cz_kiaracript@gmail
Пример заш-файла: 
archive2015.rar.SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail


Обновление от 26 сентября 2017:
Email: kiaracript@gmail.com
Расширение: .SN-6633475505259148-kiaracript@gmail.com и другие
Шаблон расширения: .SN-<ID>-kiaracript@gmail.com
Примеры заш-файлов: 
archive2010.zip.SN-6633475505259148-kiaracript@gmail.com
archive2014.rar.SN-6633475505259148-kiaracript@gmail.com
document2.txt.SN-6862051502902366-kiaracript@gmail.com



 Внимание!
Некоторые зашифрованные файлы можно вернуть
За помощью обращайтесь в тему на форуме >>
*
*
 Read to links: 
 Topic on BC
 ID Ransomware (ID as BandarChor and Shigo)
 Write-up
 *
 Thanks: 
 Michael Gillespie
 F-Security
 Emmanuel_ADC-Soft
 *

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 1 марта 2015 г.

VaultCrypt

VaultCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует посетить сайт в Tor-сети, чтобы заплатить выкуп (10000-30000 рублей) и вернуть файлы. Оригинальное название: Vault
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: VaultCrypt. Начало.

К зашифрованным файлам добавляется расширение .vault

Активность этого крипто-вымогателя началась с февраля 2015 г. и продолжалась до конца 2016 года. Ориентирован, главным образом, на русскоязычных пользователей, что не помешало распространять его и в других странах.

Этот вымогатель сам не выводит сообщение с требованием выкупа. Вместо этого он регистрирует в реестре Windows новое расширение .vault, в результате чего у всех зашифрованных файлов появляется новая иконка с изображением замка. 
Если жертва попытается открыть такой файл двойным нажатием кнопки мыши, на экране появится сообщение: «Stored in Vault» («Убрано в сейф»). 
Сообщения от VaultCrypt 

В сообщении также же указано, что ключ можно приобрести, посетив onion-сайт, доступный через Tor-браузер.

Записки с требованием выкупа называются: VAULT.txt, VAULT.hta и 
VAULT-README.txt
Одна из них демонстрируется жертве при каждом входе в Windows. Сначала это текстовый файл, а после перезапуска HTA-файл. 

Содержание записки о выкупе:
Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.
   ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид
ДЕТАЛЬНО
   Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
   Шаг 2:
Используя Tor браузер посетите сайт: xxxx://restoredz4xpmuqr.onion
   Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
   STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас 
c) Стоимость полного восстановления на ресурсе не окончательная
Время блокировки: 02.03.2015 (10:31)


Сообщение VAULT.hta



Подробности работы VaultCrypt 

При первом запуске VaultCrypt с помощью GnuPG генерирует уникальную пару ключей RSA 1024, публичный и приватный. Публичным он зашифровывает найденные на машине файлы с расширениями XLS, DOC, PDF, RTF, PSD, DWG, CDR, CD, MDB, 1CD, DBF, SQLITE, JPG и ZIP. При этом шифровальщик игнорирует некоторые папки (список см. ниже), видимо, чтобы не нарушить нормальную загрузку ОС. Одновременно создаётся VBS-файл для удаления всех теневых копий на диске.

Приватный RSA-ключ, необходимый для расшифровки, VaultCrypt экспортирует и сохраняет в файле vaultkey.vlt. Сюда же он помещает информацию о конфигурации, кодовое имя заражённого ПК и общий счёт зашифрованных файлов по каждому расширению из своего списка. Эти данные нужны для персонализации страницы приёма платежей, а также для сбора статистики по типам шифруемых файлов.

VaultCrypt шифрует файл vaultkey.vlt с помощью публичного мастер-ключа, единого для всех жертв шифровальщика. Итог сохраняется на заражённой машине как %AppData%\VAULT.KEY. Этим же мастер-ключом зловред шифрует файл CONFIRMATION.KEY, содержащий общий список зашифрованных файлов. Приватный мастер-ключ хранится у злоумышленников.

Затем VaultCrypt загружает с другого onion-адреса Browser Password Dump, бесплатный инструмент командной строки для восстановления паролей, и сохраняет его как ssl.exe. С его помощью VaultCrypt попытается украсть идентификаторы при заходе жертвы на разные сайты. Список этих учётных данных он сохраняет в файле cookie.vlt, который впоследствии будет загружен на тот же сайт в Tor-сети.

Чтобы исключить возможность восстановления зашифрованных файлов с помощью программа восстановления данных, VaultCrypt запускает очистку с помощью утилиты SDelete и делает 16 проходов перезаписи. После этого восстановить прежнее содержимое файлов практически невозможно. Затем VaultCrypt создает ряд записей в системном реестре, чтобы сообщение с требованием выкупа отображалось пользователю с каждым заходом в Windows.

При первом переходе жертвы на Tor-сайт по указанной в сообщении ссылке ей предлагают зарегистрироваться путем загрузки файла VAULT.KEY. После этого авторизация производится автоматически, и для посетителя генерируются личный идентификатор и пароль, которые он должен использовать при последующих визитах. На следующей странице ему отображается бегущая строка с информацией о зашифрованных файлах, размере выкупа и т.п., а также с приглашением в чат, чтобы что-то спросить. На момент проведения анализа экспертами Bleeping Computer злоумышленники требовали $247 — около 1 BTC (эквивалент на март 2015 года).

*** для скриншотов ***

VaultCrypt предлагает жертве бесплатно расшифровать любые четыре файла семи "разрешенных" форматов в качестве теста. 


Все страницы этого onion-сайта выполнены на русском языке, лишь некоторые поля на английском. Имеется также ссылка на англоязычные инструкции, выложенные на Pastebin.

Содержание инструкций на английском языке:
---------
PROBLEM:
[!] Our site is NOT AVAILABLE
SOLUTION:
[+] Try to visit it again after 12 hours
[+] If it is not accessible after 72 hours. Check mirrors:
xxxx://1.onion
xxxx://2.onion
xxxx://3.onion
xxxx://4.onion
[+] If all of the above fails, read explanation about Tor network and try again: xxxx://deepdotweb.com/how-to-access-onion-sites/
[+] .ONION sites CANNOT be accessed via standard browser (like Chrome, IE, Firefox or Safari). Therefore, you need to use Tor Browser: http://torproject.org
---------
PROBLEM:
[!] Cannot find VAULT.KEY or CONFIRMATION.KEY
SOLUTION:
Those authorization keys is stored on your computer in different folders.
1. Go to "My Computer"
2.1. In address line write %APPDATA% and press Enter. At the bottom of the list you can find those AUTH keys
2.2. In address line write %TEMP% and press Enter. Try to find VAULT.KEY a copy there.
2.3. Also it could be found on your User Desktop.
3. Therefore, VAULT.KEY is stored in 3 different places on your computer for preventing accidental deletion.
4. If your machine has multiple users, try to find VAULT.KEY on each user.
5. Warning. Do not modify VAULT.KEY or CONFIRMATION.KEY. In this case, you can not get access to your panel.
---------
PROBLEM:
[!] Everything else what is not listed above
SOLUTION:
[+] Still experiencing problems? Read about BitMessage and write us a letter with a description of your problem.
BitMessage address: BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
[+] To simplify the process of communication via BitMessage you can use xxxx://bitmsg.me
---------



Технические детали

Может распространяться с помощью email-спама и вредоносных вложений (DOC.JS), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует командные файлы Windows, а также программу GnuPG (GNU Privacy Guard, для шифрования данных и создания ЭЦП), утилиту SDelete (Secure Delete, удаляющую файлы, папки) и программу BPD (Browser Password Dump, для сбора паролей). 

Список файловых расширений, подвергающихся шифрованию:
.1cd,  .7z,  .cd,  .cdr,  .dbf,  .doc,  .dwg,  .jpg,  .mdb,  .pdf,  .psd,  .rtf,  .sqlite, .xls,  .zip.    
Это документы 1С, документы MS Office, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Шифровальщик пропускает файлы, содержащие следующие строки в именах:
abbyy
adobe
amd64
appdata
application
autograph
avatar
avatars
cache
clipart
com_
common
csize
framework64
games
guide
intel
internet
library
manual
maps
msoffice
profiles
program
recycle
resource
resources
roaming
sample
setupcache
support
temp
template
temporary
texture
themes
thumbnails
uploads
windows

Примеры файлов email-вложений:
Счета для оплаты февраль 2015 года - согласовано Коммерческим директором согласовано Главным бухгалтером _ долг letter-attachment_scannеd-OK.dосх{.js}
Акт сверки за 2014 год (сверка проведена - февраль 2015 года) подписано и согласовано Главным бухгалтером _ для контрагента-letter-attachment_scannеd-OK.dосх{.js}
акт сверки (март) 2015 год по итогам первого квартала согласовано бухгалтерией — аttасhmеnt_Dr.Wеb_Sсаnnеd — OK.dосx{.js}

Файлы, связанные с этим Ransomware:
vault.txt
revault.js
svchost.exe
CONFIRMATION.KEY
VAULT.hta
VAULT.KEY
VAULT2.KEY
VAULT.txt
VAULT-README.txt
win.vbs
secring.gpg
trustdb.gpg
и другие

Расположения:
%Desktop%\vault.txt
%Temp%\revault.js
%Temp%\svchost.exe
%AppData%\CONFIRMATION.KEY
%AppData%\ddae25beb5b57d6e.hta
%AppData%\VAULT.hta
%AppData%\VAULT.KEY
%User Temp%\VAULT2.KEY
%User Temp%\VAULT.txt
%User Temp%\VAULT.hta
%User Temp%\a.qq
%User Temp%\gk.vlt
%User Temp%\pk.vlt
%User Temp%\vaultkey.vlt
%User Temp%\cryptlist.lst
%User Temp%\conf.list
%User Temp%\confclean.list
%User Temp%\cryptlist.cmd
%User Temp%\up.vbs
%User Temp%\ultra.js
%User Temp%\ch.vlt
%User Temp%\cookie.vlt
%User Temp%\random_seed
%User Temp%\secring.gpg
%User Temp%\trustdb.gpg
%User Temp%\win.vbs
%UserProfile%\Desktop\VAULT.KEY
%UserProfile%\Desktop\VAULT-README.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vlt notify = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vlt notify" = "mshta %UserProfile%\Application Data\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\VAULT Notification = "mshta %appdata%\VAULT.hta"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"tnotify" = "notepad %Temp%\VAULT.txt"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"vltexec" = "wscript //B //Nologo %Temp%\revault.js"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-сайты: restoredz4xpmuqr.onion
tj2es2lrxelpknfp.onion.city

BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>
Другой анализ >>

Степень распространённости: высокая.  
Подробные сведения собраны. Распространение VaultCrypt прекращено.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение 1 к статье:
Скрипт устанавливает свой обработчик открытия файлов с расширением «vault»: при открытии такого файла пользователю должно показываться окно со ссылкой на ключ, но если эти команды отказываются отрабатываться, то файлы с расширением .vault ведут себя как обычные файлы с неизвестным расширением.
Затем созданное ранее HTML-приложение (%AppData%\ddae25beb5b57d6e.hta) добавляется в автозапуск, чтобы его окно отображалось на экране при каждой загрузке системы:
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "b320494e" /t REG_SZ /f /d "mshta %AppData%\ddae25beb5b57d6e.hta"
После этого из автозапуска удаляются ранее созданные там ключи, открывающие текстовый документ с инструкциями по получению ключа (теперь при загрузке ОС пользователь увидит не текстовый файл, а окно HTML-приложения). 
Также из автозапуска удаляется вызов процедуры шифрования (т.к. к этому моменту все файлы уже зашифрованы).
После этого запускается HTML-приложение, отображающее радостное сообщение о том, что все файлы на ПК зашифрованы.
Предпоследний шаг — вызов для всех томов утилиты cipher с параметром, предписывающим перезаписать всю информацию на секторах жесткого диска, неотведённых ни под один файл. С помощью этой команды данные удалённых ранее файлов окончательно перезатираются на физическом уровне на всех доступных дисках от A до Z.

Дополнение 2 к статье:
Анализ одной из модификаций шифровальщика VaultCrypt
Ссылка: habrahabr.ru/post/266077/




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VaultCrypt)
 Write-up, Topic of Support, Write-up
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Maxim Zaitsev
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton