HC6

HC6 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) и SHA256, а затем требует выкуп в $2500 в BTC за всю сеть предприятия, чтобы вернуть файлы. Оригинальное название. Написан на Python.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HC6 > HC7

К зашифрованным файлам добавляется расширение .fucku

Зашифрованные файлы и записка о выкупе

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: recover_your_fies.txt

Содержание записки о выкупе (грамота сохранена):
ALL YOUR FILES WERE incript.
ORDER, TO RESTORE THIS FILE, YOU MUST SEND AT THIS ADDRESS
FOR $ 2500 BTC FOR ALL NETWORK
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv AFTER PAYMENT SENT EMAIL nullforwarding@qualityservice.com
FOR INSTALLATION FOR DECRIPT
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK

Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Заказ восстановления этот файл, вы должны отправить на этот адресу
Для $ 2500 btc для всей сети
1b8g2l24xbn1sdbpurungmxwzwfgvxuyqv после оплаты отправить на email nullforwarding@qualityservice.com
Для установки для дешифровки
Не выключать компьютер, если он не сломается

_
Английский текст записки настолько плох, что перевод пришлось немного подкорректировать, сохранив "грамоту" оригинала. 

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, но не исключено распространение с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .3gp, .7z, .accdb, .aes, .ai, .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, .docm, .docx, .DOT, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .exe, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gdb, .gho, .gpg, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .hwp, .ibank, .ibd, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpeg, .jpeg, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11 (Security copy), .MYD, .MYI, .ncf, .NEF, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, .ods, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .PAQ, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .SQLITE3, .SQLITEDB, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .syncdb, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor, .txt, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp (283 расширения). Замеченные дубли зачёркнуты и не считаются. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, файлы wallet.dat, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы интернет-банкинга, налоговые декларации и пр. пр.

Файлы, связанные с этим Ransomware:
recover_your_fies.txt
hc6.exe (<random>.exe)
PsExec.exe — утилита PsExec для удаленного выполнения команд

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nullforwarding@qualityservice.com
BTC: Для каждой жертвы биткоин-адрес выбирается случайным образом из следующих 14-ти жёстко закодированных адресов:
1B8yXW8mv2cXYHyXatTkVsek3BpNWdJqBk
1Mh1aVDXAF2ykzMgvwhWwmz7Gw8ttb2qzL
1DdLF32aXfjiURL6VWbsW3rWSuaLZUBfrN
1F4CuNNq58ghSp18e19eRGBqSeAdnbdS62
1ESfumREnY7dazgTtLysxHpLwEykNhGemG
1DuMyrXt64es6BenRSHy9LPubqEq9YR99m
1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
1NYaVPJGEFzwCzYsvp5swNTDiU2so1BvKx
1FEsU4nL3WBG4YWmzR9BwKtdn9ALqobWJ3
1G7sCE1rSKZh4kif6a8hLU1fSn3sxg8Yp5
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
1GHLUDpgBmZwVk4kAbNcJsYa3uvCBf6imC
1M4fMkihMBxS4sQQtfCTq5t2UjpdBEQMYe
1CR77rKXNkxGL13nZa1dFdYm2biqmqLjdf
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Ⓥ VirusBay >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 декабря 2017:
См. статью HC7 Ransomware >>
Шифрование: AES-256 CBC и SHA256
Файлы: hc7.exe, diskimagemounter.exe
Расширение: .gotya или .GOTYA
Email: m4zm0v@keemail.me
BTC: 1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6 и другие.

Сумма выкупа: $500-$700 за ПК, $5000 за всю сеть.
Записка: RECOVERY.TXT 
Результаты анализов: HA + VT + HA + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

  Внимание!
  Для зашифрованных файлов есть декриптер
  Скачать hc6Decrypter для дешифровки >>
  *

 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as hc6, hc7)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 victims of Ransomware
 SDK
 Ido Naor
 Alex Svirid

© Amigo-A (Andrew Ivanov): All blog articles.