Jigsaw: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 11 апр 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель Jigsaw Ransomware

    Обнаружен новый вымогатель под названием Jigsaw Ransomware, который зашифровывает файлы жертвы с помощью алгоритма AES-256 и добавляет расширение .fun к именам файлов. Жертва получает записку с требованием выкупа, а на экране показывается изображение "куклы Билли" из фильма "Пила". Вымогатель получил свое название в честь культового персонажа из этого фильма ужасов.

    jigsaw-ransom-note1.png jigsaw-ransom-note.png

    Надпись на экране:
    Перевод:
    В настоящее время сумма выкупа установлена на уровне $ 150 USD, или 0,4 BTC. Сообщения и изображение призваны запугать пользователя, заставляя заплатить выкуп. Если выкуп не поступает в течении часа, часть файлов удаляется и через час отсчет времени начинается заново. Исследователи выяснили, что удаляется первая тысяча файлов, затем вторая...

    Когда Jigsaw запускается в первый раз, то он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES, и добавляет расширение .fun к имени файла.

    При шифровании файлов вредонос:
    - добавляет имя файла в список зашифрованных файлов EncryptedFileList, расположенный в %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt ;
    - назначает адрес Bitcoin для уплаты выкупа за файлы и сохраняет его в файл %UserProfile%\AppData\Roaming\System32Work\Address.txt ;
    - прописывается в автозапуск, чтобы запускаться с Windows.
    Более того, при каждом запуске системы Jigsaw удаляет 1000 зашифрованных файлов.

    Если в назначенный час количество поступивших на bitcoin-адресс вымогателя биткоинов равно или больше требуемой суммы, то вымогатель будет автоматически расшифровывать файлы.

    Список файловых расширений, подвергающихся шифрованию Jigsaw Ransomware:
    Связанные с Jigsaw файлы:
    Код (Text):
    %UserProfile%\AppData\Roaming\Frfx\
    %UserProfile%\AppData\Roaming\Frfx\firefox.exe
    %UserProfile%\AppData\Local\Drpbx\
    %UserProfile%\AppData\Local\Drpbx\drpbx.exe
    %UserProfile%\AppData\Roaming\System32Work\
    %UserProfile%\AppData\Roaming\System32Work\Address.txt
    %UserProfile%\AppData\Roaming\System32Work\dr
    %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
    Связанные с Jigsaw записи реестра:
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe    %UserProfile%\AppData\Roaming\Frfx\firefox.exe

    Новые расширения для зашифрованных файлов:
    .btc, .kkk, .gws, .payransom
     
    Охотник, lilia-5-0, orderman и ещё 1-му нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Jigsaw Ransomware: Расшифровка возможна!

    Группе исследователей удалось найти бесплатный способ расшифровать файлы, зашифрованные шифровальщиком-вымогателем JigSaw. Для расшифровки файлов, первым делом нужно прекратить процесс firefox.exe и drpbx.exe в диспетчере задач. Затем нужно запустить MSConfig и отключить автозапуск для firefox.exe , который находится по адресу %UserProfile%\AppData\Roaming\Frfx\firefox.exe.

    Далее следует загрузить и извлечь Jigsaw Decryptor:

    Скачать JigSawDecrypter >>>

    Дважды щелкните на файле JigSawDecrypter.exe, чтобы запустить программу. Увидите экран, как на рисунке ниже.

    [​IMG]

    Для расшифровки файлов просто выберите каталог и нажмите кнопку "Decrypt My Files".
    Если захотите расшифровать весь диск, то можете выбрать диск C:, нажав кнопку "Select Directory".
    Не ставьте галочку в опции "Delete Encrypted Files" , пока не убедитесь, что инструмент правильно расшифровывает файлы.

    [​IMG]

    Когда декриптер закончит расшифровку файлов, то вы увидите это окно с надписью "Files Decrypted".

     
    Охотник, lilia-5-0, thyrex и 2 другим нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    CryptoHitman Ransomware: Ребрендинг Jigsaw

    Уже известный нашим читателям Jigsaw Ransomware претерпел ребрендинг и теперь, спустя месяц, преподносит себя как CryptoHitman, используя персонаж Hitman из популярных видеоигр и фильмов. В дополнение к изображению киллера CryptoHitman использует экран блокировки с порнографическими изображениями.

    Как и его предшественник, Jigsaw, криптовымогатель CryptoHitman шифрует данные с помощью AES-256 и требует выкуп, чтобы вернуть их назад. Email, предлагаемый для связи - cryptohitman#yandex.com. К сожалению, эта версия тоже удаляет файлы при каждом запуске Windows, при перезапуске процесса вымогателя и когда таймер досчитает до нуля.

    hitman-ransomware-locker.jpg

    Основные отличия CryptoHitman от Jigsaw:
    - порнографический экран,
    - использование символа Hitman,
    - новые расширения .porno и .pornoramsom для зашифрованных файлов,
    - новые имена исполняемых файлов вымогателя.

    В остальном этот криптовымогатель делает всё то же самое, что и Jigsaw Ransomware.

    Файлы, связанные с CryptoHitman:
    Код (Text):
    %LocalAppData%\Suerdf\
    %LocalAppData%\Suerdf\suerdf.exe
    %AppData%\Mogfh\
    %AppData%\Mogfh\mogfh.exe
    %AppData%\System32Work\
    %AppData%\System32Work\Address.txt
    %AppData%\System32Work\dr
    %AppData%\System32Work\EncryptedFileList.txt
    Записи реестра, связанные с CryptoHitman:
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\mogfh.exe    %AppData%\Mogfh\mogfh.exe
    Дешифровка CryptoHitman

    Для расшифровки файлов, первым делом нужно прекратить процессы %LocalAppData%\Suerdf\suerdf.exe и %AppData%\Mogfh\mogfh.exe в диспетчере задач. Затем нужно запустить MSConfig и отключить автозапуск для этих исполняемых файлов.

    Далее следует загрузить и извлечь Jigsaw Decryptor:
    https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip

    Далее порядок дешифровки аналогичен тому, что я описывал в посте выше - Jigsaw Ransomware: Расшифровка возможна!
    Это новая версия декриптера с функционалом и под CryptoHitman.

    .
     
    Охотник, thyrex и Candellmans нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Jigsaw Invisible Empire Ransomware

    Появилась новая версия этапажного вымогателя Jigsaw, которая шифрует данные с помощью шифрования AES и требуют выкупа 150 долл в биткоинах. Эта версия тоже удаляет файлы каждый раз при запуске и обнулении таймера. К зашифрованным файлам добавляется расширение .payransom. Название Invisible Empire (Незримая или Тайная империя) от изображения, взятого у Юхи Арвида Хейминена.

    jigsaw-2-lock-screen.jpg

    Файлы, связанные с Jigsaw Invisible Empire:
    %UserProfile%\AppData\Local\Systmd\systmd.exe
    %UserProfile%\AppData\Roaming\System32Work\
    %UserProfile%\AppData\Roaming\System32Work\Address.txt
    %UserProfile%\AppData\Roaming\System32Work\dr
    %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
    %UserProfile%\AppData\Roaming\Wrkms\
    %UserProfile%\AppData\Roaming\Wrkms\wrkms.exe

    Записи реестра, связанные с Jigsaw Invisible Empire:
    %UserProfile%\AppData\Roaming\Wrkms\wrkms.exe and %UserProfile%\AppData\Local\Systmd\systmd.exe

    Дешифровка
    Майкл Гиллеспи обновил свой декриптер Jigsaw Decryptor, созданный ранее для Jigsaw Ransomware.
    Полная инструкция была описана ранее. Ссылка на пост в теме.

     
    Охотник нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    На сегодняшний день у Jigsaw и его итераций на вооружений следующий набор расширений, добавляемых к зашифрованным файлам:
    .AFD
    .btc
    .epic
    .fun
    .gws
    .kkk
    .paybtcs
    .paymrss
    .payms
    .paymst
    .payransom
    .payrms
    .porno
    .pornoransom
    .paym
    .pays
    + .xyz (от 29.07.2016)
     
    Охотник нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Jigsaw Puzzle Solver: Решает проблему зашифрованных файлов по-своему

    Специалисты Check Point также создали свой декритор, поэкспериментировав с балансом и кнопкой «I made a payment, now give me back my files!» (Я заплатил, верните мне мои файлы!). Результат описан в их блоге.

    Там же можно скачать архив с инструментом Jigsaw Puzzle Solver, который заставляет криптовымогатель JigSaw "думать", что выкуп уплачен в полном размере и запускать дешифрование файлов.
    solver.JPG

    PS. JigSawDecrypter, описанный выше, регулярно обновляется его разработчиками. И последнее обновление, с учетом механизма шифрования из новых версий JigSaw Ransomware, было сделано на днях. Ссылка прежняя - пост темы №2.
     
    Kиpилл и Охотник нравится это.
  7. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    Грубо говоря,в блоге перевод будет примерно такой:
    Злоумышленник проверяет наличие платежа через графический интерфейс,а когда юзер жмет кнопку "Я заплатил" для того,что бы получить код расшифровки - тогда производится внедрение в get http запрос скрипта с информацией о сумме внесенного выкупа
    Адрес отправки запроса:
    Код (Text):
    btc.blockr [.] И.О. / API / v1 / адрес / баланс / <Bitcoin-счета>
    Получаемый ответ:
    Код (Text):
    {“status”:”success”,”data”:{“address”:”<bitcoin-account>”,”balance”:0,”balance_multisig”:0},”code”:200,”message”:””}.
    Изменяя переменную "баланс" в ответе от 0 до 10,а злоумышленники считают что выкуп уплочен и юзер получает код расшифровки.
     
    Охотник и SNS-amigo нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Обновился шифровальщик-удалитель Jigsaw

    Как и раньше - упор в демонстрацию новых изображений. На этот раз снова в стиле Anonymous.
    Вредонос устанавливается в директорию %UserProfile%AppData\Local\MS\app_roaming.exe и косит под Microsoft Defender, инициируя запуск сканирования. Связанная запись в реестре:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Defender.exe %UserProfile%AppData\Roaming\MS\Defender.exe

    29июля-1.jpg 29июля-3.jpg

    За дешифровку требуют 250 долларов в биткоинах.
    К зашифрованным файлам теперь добавляется расширение .xyz

    Дешифровщик оперативно обновлен. Прежде, чем начать дешифровку, нужно завершить через диспетчер задач процесс app_roaming.exe, и лишь потом запустить дешифратор.
     
    Охотник и Kиpилл нравится это.

Поделиться этой страницей