• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

7ev3n: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель 7ev3n: Технология работы вымогателя

Замечен новый вид вымогательского ПО под названием 7ev3n, который шифрует данные пользователей и требует 13 Bitcoin за расшифровку. Данная вымогательская инфекция пока не получила широкого распространения и замечены лишь единичные случаи.

Как удалось выяснить специалистам, вредонос 7ev3n требованием выкупа не ограничивается и выступает еще как вредитель системы. Например, он изменяет различные параметры системы и параметры загрузки таким образом, чтобы клавиши и параметры восстановления системы были отключены, а также обходит экран UAC, что позволяет шифровальщику действовать в систему в обход контроля учетных записей.

Захватив компьютер, вымогатель 7ev3n сканирует все буквы, которые соответствуют определённым расширениям файлов и, найдя совпадение, переименовывает файлы в папках согласно цифровому порядку, добавляя к ним расширение .R5A. Например, если папка содержит 25 файлов разных данных, то вымогатель будет шифровать и переименовать все файлы в 1.R5A, 2.R5A, 3.R5A ... 25.R5A.

Список файловых расширений, подвергающихся шифрованию 7ev3n :
dbf, arw, txt, doc, docm, docx, zip, rar, xlsx, xlsb, xlsm, pdf, jpg, jpe, jpeg, sql, mdf, accdb, mdb, odb, odm, odp, ods

Закончив шифрования данных, 7ev3n отображает окно с требованием выкупа в 13 Bitcoin и указанием Bitcoin-адреса, на который нужно отправить этот выкуп.

ransom-note.png

По закреплению вымогателя в системе также будут установлены специальные файлы в папке %%LocalAppData.

Вот эти файлы:
%LocalAppData%\bcd.bat - пакетный файл с разными BCDedit-командами, отключающих варианты восстановления загрузки системы.
%LocalAppData%\del.bat - пакетный файл-истильщик, зачищающий файлы вымогателя;
%LocalAppData%\system.exe - основной исполняемый файл вымогателя, шифрующий данные и отображающий требование выкупа;
%LocalAppData%\time.e - файл, содержаящий временную отметку с началом инфекции;
%LocalAppData%\uac.exe - исполняемый файл, позволяющий компонентам вымогателя работать с повышенными правами без отображения контроля учетных записей.

После того, как 7ev3n эффективно заблокирует все возможные варианты восстановления, он вносит изменения в реестр, отключающие комбинации клавиш, которые обычно используются для устранения проблем Windows, например, такие как Alt + Tab, переключающие между активными процессами. А также меняет специальное значение в реестре, отключающее клавиши: F1, F10, F3, F4, Enter, Escape, левый Alt, Ctrl, Левый Windows, Num Lock, правый Alt, правый Ctrl, правый Shift, правый Windows и Tab. Это значение реестра показано ниже.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"
Наконец, чтобы сделать жизнь пользователя-жертвы ещё сложнее, чем она уже есть, он создает задачу Windows, которая выполняет эти команды каждый раз, когда вы входите в систему.

К сожалению, на данный момент нет способа бесплатной расшифровки файлов, но можно восстановить функциональность системы средствами восстановления, которые имеются на установочном диске Windows.
Эти шаги указаны в оригинальной статье на сайте bleepingcomputer.com. Мы не будем на ней останавливаться, т.к. к нашей теме это не относится.

 
Шифровальщик-вымогатель 7ev3n-HONE$T Ransomware

Этот криптовымогатель шифрует данные, а затем требует выкуп 1 Bitcoin (400 USD). В настоящее время неизвестны ни способ распространения, ни тип шифрования. К сожалению, пока нет способа, чтобы дешифровать файлы бесплатно. Сравните с предыдущей версией 7ev3n.
-----
HONE$T (англ. Honest - "честный") - ЧЕ$ТНЫЙ, а в чём выражается его честность? В том, что бесплатно дешифрует от 3 до 5 выбранных файлов? Честнее было бы — все. :Biggrin:
---
Шифруя данные 7ev3n-HONE$T переименовывает файлы в папках согласно цифровому порядку, добавляя к ним расширение .R5A. Например, если папка содержит 25 файлов разных данных, то вымогатель будет шифровать и переименовать все файлы в 1.R5A, 2.R5A, 3.R5A ... 25.R5A. После этого 7ev3n-HONE$T добавляет имя зашифрованного файла в файл C:\Users\Public\files.

Закончив шифрование данных криптовымогатель подключается к C&C-серверу и загружает на него различную информацию и статистические данные. Передаваемая информация включает назначенный жертве Bitcoin-адрес, общее количество зашифрованных файлов, количество расширений каждого типа файлов, и уникальный идентификатор. C&C-сервер расположен на IP-адресе 46.45.169.106 (Turkey Istanbul Radore Veri Merkezi Hizmetleri As / AS197328).

Когда это сделано, в каталоге C:\Users\Public будут находиться следующие файлы:
C:\Users\Public\conlhost.exe - исполняемый файл криптовымогателя;
C:\Users\Public\files - список зашифрованных файлов;
C:\Users\Public\FILES_BACK.txt - альтернативный метод связи с разработчиком;
C:\Users\Public\testdecrypt - список файлов, которые могут быть бесплатно расшифрованы;
C:\Users\Public\time.e - метка времени, когда криптовымогатель зашифровал файлы.

Экран криптовымогателя разбивается на четыре разных окна. Первое окно — основной экран блокировки, отображает записку и Bitcoin-адрес для выкупа. Второе окно позволяет выполнить тестовую дешифровку 3-5 файлов. На третьем отображается список всех зашифрованных файлов. Четвертое сообщает о том, как заплатить выкуп.

7ev3n-hone$t-ransomware.png 7ev3n-hone$t-2.png
7ev3n-hone$t-3.png 7ev3n-hone$t-4.png

Если появится что-то новое, то я обновлю информацию в статье.

Файлы, связанные c 7ev3n-HONE$T:
Код:
C:\Users\Public\conlhost.exe
C:\Users\Public\files
C:\Users\Public\FILES_BACK.txt
C:\Users\Public\testdecrypt
C:\Users\Public\time.e
%Temp%\fpnzzre

Записи реестра, связанные с 7ev3n-HONE$T:
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\allkeeper    C:\users\Public\conlhost.exe
HKCU\Software\crypted    1
HKCU\Software\testdecrypt    1

 
Назад
Сверху Снизу