7ev3n: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 29 янв 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель 7ev3n: Технология работы вымогателя

    Замечен новый вид вымогательского ПО под названием 7ev3n, который шифрует данные пользователей и требует 13 Bitcoin за расшифровку. Данная вымогательская инфекция пока не получила широкого распространения и замечены лишь единичные случаи.

    Как удалось выяснить специалистам, вредонос 7ev3n требованием выкупа не ограничивается и выступает еще как вредитель системы. Например, он изменяет различные параметры системы и параметры загрузки таким образом, чтобы клавиши и параметры восстановления системы были отключены, а также обходит экран UAC, что позволяет шифровальщику действовать в систему в обход контроля учетных записей.

    Захватив компьютер, вымогатель 7ev3n сканирует все буквы, которые соответствуют определённым расширениям файлов и, найдя совпадение, переименовывает файлы в папках согласно цифровому порядку, добавляя к ним расширение .R5A. Например, если папка содержит 25 файлов разных данных, то вымогатель будет шифровать и переименовать все файлы в 1.R5A, 2.R5A, 3.R5A ... 25.R5A.

    Список файловых расширений, подвергающихся шифрованию 7ev3n :
    dbf, arw, txt, doc, docm, docx, zip, rar, xlsx, xlsb, xlsm, pdf, jpg, jpe, jpeg, sql, mdf, accdb, mdb, odb, odm, odp, ods

    Закончив шифрования данных, 7ev3n отображает окно с требованием выкупа в 13 Bitcoin и указанием Bitcoin-адреса, на который нужно отправить этот выкуп.

    ransom-note.png

    По закреплению вымогателя в системе также будут установлены специальные файлы в папке %%LocalAppData.

    Вот эти файлы:
    %LocalAppData%\bcd.bat - пакетный файл с разными BCDedit-командами, отключающих варианты восстановления загрузки системы.
    %LocalAppData%\del.bat - пакетный файл-истильщик, зачищающий файлы вымогателя;
    %LocalAppData%\system.exe - основной исполняемый файл вымогателя, шифрующий данные и отображающий требование выкупа;
    %LocalAppData%\time.e - файл, содержаящий временную отметку с началом инфекции;
    %LocalAppData%\uac.exe - исполняемый файл, позволяющий компонентам вымогателя работать с повышенными правами без отображения контроля учетных записей.

    После того, как 7ev3n эффективно заблокирует все возможные варианты восстановления, он вносит изменения в реестр, отключающие комбинации клавиш, которые обычно используются для устранения проблем Windows, например, такие как Alt + Tab, переключающие между активными процессами. А также меняет специальное значение в реестре, отключающее клавиши: F1, F10, F3, F4, Enter, Escape, левый Alt, Ctrl, Левый Windows, Num Lock, правый Alt, правый Ctrl, правый Shift, правый Windows и Tab. Это значение реестра показано ниже.
    Наконец, чтобы сделать жизнь пользователя-жертвы ещё сложнее, чем она уже есть, он создает задачу Windows, которая выполняет эти команды каждый раз, когда вы входите в систему.

    К сожалению, на данный момент нет способа бесплатной расшифровки файлов, но можно восстановить функциональность системы средствами восстановления, которые имеются на установочном диске Windows.
    Эти шаги указаны в оригинальной статье на сайте bleepingcomputer.com. Мы не будем на ней останавливаться, т.к. к нашей теме это не относится.

     
    lilia-5-0, orderman и Охотник нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель 7ev3n-HONE$T Ransomware

    Этот криптовымогатель шифрует данные, а затем требует выкуп 1 Bitcoin (400 USD). В настоящее время неизвестны ни способ распространения, ни тип шифрования. К сожалению, пока нет способа, чтобы дешифровать файлы бесплатно. Сравните с предыдущей версией 7ev3n.
    -----
    HONE$T (англ. Honest - "честный") - ЧЕ$ТНЫЙ, а в чём выражается его честность? В том, что бесплатно дешифрует от 3 до 5 выбранных файлов? Честнее было бы — все. :Biggrin:
    ---
    Шифруя данные 7ev3n-HONE$T переименовывает файлы в папках согласно цифровому порядку, добавляя к ним расширение .R5A. Например, если папка содержит 25 файлов разных данных, то вымогатель будет шифровать и переименовать все файлы в 1.R5A, 2.R5A, 3.R5A ... 25.R5A. После этого 7ev3n-HONE$T добавляет имя зашифрованного файла в файл C:\Users\Public\files.

    Закончив шифрование данных криптовымогатель подключается к C&C-серверу и загружает на него различную информацию и статистические данные. Передаваемая информация включает назначенный жертве Bitcoin-адрес, общее количество зашифрованных файлов, количество расширений каждого типа файлов, и уникальный идентификатор. C&C-сервер расположен на IP-адресе 46.45.169.106 (Turkey Istanbul Radore Veri Merkezi Hizmetleri As / AS197328).

    Когда это сделано, в каталоге C:\Users\Public будут находиться следующие файлы:
    C:\Users\Public\conlhost.exe - исполняемый файл криптовымогателя;
    C:\Users\Public\files - список зашифрованных файлов;
    C:\Users\Public\FILES_BACK.txt - альтернативный метод связи с разработчиком;
    C:\Users\Public\testdecrypt - список файлов, которые могут быть бесплатно расшифрованы;
    C:\Users\Public\time.e - метка времени, когда криптовымогатель зашифровал файлы.

    Экран криптовымогателя разбивается на четыре разных окна. Первое окно — основной экран блокировки, отображает записку и Bitcoin-адрес для выкупа. Второе окно позволяет выполнить тестовую дешифровку 3-5 файлов. На третьем отображается список всех зашифрованных файлов. Четвертое сообщает о том, как заплатить выкуп.

    7ev3n-hone$t-ransomware.png 7ev3n-hone$t-2.png
    7ev3n-hone$t-3.png 7ev3n-hone$t-4.png

    Если появится что-то новое, то я обновлю информацию в статье.

    Файлы, связанные c 7ev3n-HONE$T:
    Код (Text):
    C:\Users\Public\conlhost.exe
    C:\Users\Public\files
    C:\Users\Public\FILES_BACK.txt
    C:\Users\Public\testdecrypt
    C:\Users\Public\time.e
    %Temp%\fpnzzre
    Записи реестра, связанные с 7ev3n-HONE$T:
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\allkeeper    C:\users\Public\conlhost.exe
    HKCU\Software\crypted    1
    HKCU\Software\testdecrypt    1
     
    lilia-5-0, Охотник, thyrex и ещё 1-му нравится это.

Поделиться этой страницей