Если вы не видите здесь изображений, то используйте VPN.

понедельник, 24 июля 2017 г.

WannaCryOnClick

WannaCryOnClick Ransomware

(подражатель, zip-вымогатель)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $7000 в BTC, чтобы вернуть файлы. Оригинальное название: Wanna. На самом деле файлы не шифруются, а помещаются в архив. На файле написано: Wanna.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > WannaCryOnClick


Этимология названия:
Шифровальщик имитирует WannaCryДля создания защищенного паролем ZIP-файла с расширением .EOC используется программа EncryptedOnClick. Путём сложения названий "WannaCry" + "EncryptedOnClick" получилось название "WannaCryOnClick"

К фейк-зашифрованным, а фактически помещённым в общий zip-архив файлам, добавляется расширение .EOD

Активность этого крипто-вымогателя пришлась на вторую половину июля 2017 г. Ориентирован на турецких пользователей, что не мешает распространять его по всему миру. Часть текста на английском языке. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, your files have been encrypted!
---
Sisteminizdeki tüm datalar backuplarınız dahil tümüyle şifrelenmiştir.
Datalarınızı eksiksiz olarak geri alabilmek için tek yol aşağıdaki bitcoin adresine 57,000 göndermektir
Şu anda sisteminize tam erişimimiz var. Eğer isteseydik tüm datalarınızı yok edebilirdik.
Yerel ve Nas sunucunuza ve terminal makinalarınıza herhangi bir zarar verilmemiştir.
Bilgi ve belgelerin içeriklerine herhangi bir erişimimiz olmadı.
Ancak öngörülen süre içerisinde ödemeyi yaparsanız datalarınızdaki şifre kaldınlacaktır.
Ödemeyi yapmaz ve bizimle anlaşmazsanız dataları halka açmaktan geri durmayacağız,
bitcoin transferi tamamlandıktan sonra "Check Payment" butonuna tıklamanız yeterli.
Programdan bize bildirim gelecektir.
Sunucunun internet bağlantısını kesmeyin...
bitcoin transferi işlemi başarılı olduğunda <Decrypt> butonu aktif olacaktır.
<1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz>
---
Send $7000 worth of bitcoin to this address:
1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz
[Сheck Payment]   [Decrypt]

Перевод записки на русский язык:
Упс, ваши файлы были зашифрованы!
---
Все данные в вашей системе, включая резервные копии, полностью зашифрованы.
Единственный способ вернуть данные полностью - отправить $7000 на следующий биткоин-адрес
У нас есть полный доступ к вашей системе прямо сейчас. Мы уничтожим все данные, если захотим.
Ваши локальные и Nas-серверы и ваши терминальные машины не повреждены.
У нас не было никакого доступа к содержимому информации и документов.
Однако, если вы платите в течение установленного срока, пароль в ваших данных будет удален.
Если вы не платите, и вы не согласны с нами, мы не будем останавливаться на открытии данных для общественности.
По завершении передачи биткоинов нажмите кнопку "Check Payment".
Программа уведомит нас.
Не прерывайте подключение к Интернету сервера ...
Когда передача биткоинов будет успешна, кнопка <Decrypt> будет активна.
<1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz>
---
Отправьте $7000 в биткоинах по этому адресу:
1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz
[Сheck Payment]   [Decrypt]


Важное замечание!
Кнопки "Сheck Payment" и "Decrypt", которые находятся под текстом о выкупе, не соответствуют своим надписям. Вместо этого, при каждом нажатии они отправляют электронное сообщение на адрес nazm.fatma@yandex.com, автоматически информируя разработчиков о том, какая кнопка была нажата пользователем. Причем, в качестве отправителя задан email-адрес muhasebe@komposan.com, а в качестве получателя - email-адрес nazm.fatma@yandex.com

Турецкое слово "muhasebe" означает "учёт". 
Fatma Nazm - по-видимому, это имя и фамилия. 

Вероятно, такое нетрадиционное предназначение кнопок сделано с целью, так сказать, "изучения спроса" и для информирования вымогателей о том, что кто-либо из напуганных жертв согласен заплатить затребованную сумму в 7000 долларов в качестве выкупа.

 Важное замечание для тех, кто думает, что Яндекс - это Россия. 
Нет, Яндекс - это также Украина, Турция и ряд других стран. 
Поисковая система Яндекс недавно стала и турецкой поисковой системой, включая все сервисы Яндекса (поиск, почта, облачный диск и пр.), со всеми вытекающими отсюда последствиями. Мошенники, вымогатели и другие злоумышленники тоже стали этим пользоваться. Этот пример с почтой на Яндексе, тому подтверждение. Более того, любой человек, из любой точки мира может завести себе почту на Яндексе. 



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует программу EncryptedOnClick для создания защищенного паролем ZIP-файла с расширением .EOC, а затем запускает экран с требованиями выкупа.

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются в текущей версии. После доработки это вполне могут отказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
Wanna.exe
<random>.exe
<random>.tmp

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: muhasebe@komposan.com
nazm.fatma@yandex.com
BTC: 1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as WannaCryOnClick)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏, Toffee‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *