Nemucod: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 25 мар 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель Nemucod: штрихи к портрету

    Пару дней назад мы уже рассказали, что Фабиан Уосар из Emsisoft выпустил доработанную бесплатную утилиту для дешифровки файлов, пострадавших от вредоносной деятельности вымогательского ПО Nemucod. Наша новость, кстати, прошла раньше, чем подробная публикация на сайте BleepingComputer.com, потому сейчас опишу ряд подробностей этой вредоносной технологии и получения ключа шифрования.

    Nemucod ранее проявлял себя только как троян-загрузчик вредоносных программ, в частности TeslaCrypt и Locky. Последние версии Nemucod обзавелись собственной реализаций вымогателей-шифровальщиков, которая получила название Nemucod's .CRYPTED Ransomware.

    Вымогатель Nemucod распространяется через загрузчик Nemucod Trojan.Downloader, рассылаемый злоумышленниками по электронной почте в виде JavaScript-вложения (.js) . Когда пользователь откроет это вложение, то Javascript сработает и скачает на компьютер жертвы другое вредоносное ПО, необходимое для осуществления атаки и шифрования. Вымогатели Nemucod шифруют первые 2048 байт файла, используя 255 байт ключа XOR, а потом требуют 4 биткоина за ключ дешифровки.

    Особенность работы этого вымогателя в том, что шаги шифрования разбиты между двумя различными программами. Javascript-инсталлеры генерируют различные команды и командные файлы, которые используют загруженные файлы для выполнения процесса шифрования.

    Когда пользователь открывает JS-вложение, то JS-скрипт загрузит и сохранит исполняемый, но пока еще неактивный файл вымогателя в директорию %TEMP%\5021052.exe. Затем скрипт создает и запускает CMD-сценарий, содержащий команды, которые будут использоваться для поиска файлов и их целенаправленного шифрования.

    nemucod-js-source.png
    Рис.1. JS-исходник Nemucod

    После шифрования файлов, CMD-сценарий добавит различные пункты автозапуска в реестре, чтобы ПО вымогателей продолжило работу при следующей загрузке Windows. Когда сценарий закончит работу, он удалит себя с компьютера.

    После завершения процедуры шифрования, пострадавшему будет отображена записка с требованием выкупа - Decrypted.txt , которую можно увидеть ниже.

    nemucod-ransom-note.png
    Рис.2. Требование выкупа

    Список файловых расширений, подвергающихся шифрованию Nemucod's .CRYPTED Ransomware:
    .zip .rar .7z .tar .gz .xls .xlsx .doc .docx .pdf .rtf .ppt .pptx .sxi .odm .odt *. MPP .ssh .pub .gpg .pgp .kdb .kdbx .als .aup .cpr .npr .cpp .bas .asm .cs .php .pas .vb .vcproj .vbproj .mdb .accdb .mdf .odb .wdb .csv .tsv .psd .eps .cdr .cpt .indd .dwg .max .skp .scad .cad .3ds .blend .lwo .lws .mb .slddrw .sldasm .sldprt .u3d .jpg .tiff .tif .raw *. AVI .mpg .mp4 .m4v .mpeg .mpe .wmf .wmv .veg .vdi .vmdk .vhd .dsk

    info.png Важно отметить, что вредПО Nemucod работает не только на вымогателей. Nemucod TrojanDownloader также может установить в систему пользователя инфекцию Kovter (см. рисунок ниже) и, возможно, другие вредоносные программы. Для отдельного удаления этого вредоноса есть специальные инструменты, например, Trojan.Kotver Removal Tool.

    Вашему вниманию также инструкция от BleepinComputer по удалению Kovter.
    kovter.png
    Рис.3. Признаки инфекции Kovter

    info.png Поэтому, не забудьте проверить компьютер современными антивирусными инструментами, чтобы убедиться, что все инфекции были удалены.

    Файлы, связанные с Nemucod Trojan:

    Код (Text):
    %Temp%\502105.txt
    %Temp%\5021052.exe
    %LocalAppData%\evum\
    %LocalAppData%\evum\1QGNQ.2MGvFO
    %AppData%\BlastoffCounterpoiseDissimilitude
    %AppData%\ForesideDopattaEmpyrean
    %AppData%\gangbang.dll
    %AppData%\htmlhelp.title.xml
    %AppData%\libertine.dll
    %AppData%\minimize_hover.png
    %AppData%\System.dll
    %Desktop%\Decrypt.txt
    Записи реестра, связанные с Nemucod Trojan:
    Код (Text):
    HKCU\Software\Classes\.2MGvFO
    HKCU\Software\Classes\.2MGvFO\    ayC5
    HKCU\Software\Classes\ayC5
    HKCU\Software\Classes\ayC5\shell
    HKCU\Software\Classes\ayC5\shell\open
    HKCU\Software\Classes\ayC5\shell\open\command
    HKCU\Software\3c1cee05f3
    HKCU\Software\Classes\ayC5\shell\open\command\
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Crypted    %Temp%\502105.txt
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]
     
    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Nemucod Decrypter: Подробности получения ключа дешифрования и дешифровка

    Ссылки для загрузки Decrypt_Nemucod сейчас две:
    Emsisoft Decrypter for Nemucod
    https://decrypter.emsisoft.com/download/nemucod

    Чтобы найти ключ дешифрования, нужно одновременно перетащить зашифрованный файл и незашифрованную версию того же файла на иконку decrypt_nemucod.exe. Для этого нужно курсором выбрать их обоих и перетащить на дешифратор. Если у вас нет оригинальной версии одного из зашифрованных файлов, то можно использовать образцы рисунков Windows, имеющиеся в папке в C:\Users\Public\Pictures (или см. папку Мои документы\Мои рисунки\Образцы изображений). После того, как будет определён ключ, использованный для шифрования ваших файлов, вы можете использовать этот ключ для расшифровки ВСЕХ других зашифрованных файлов на вашем компьютере.

    drag-files (1).gif
    Рис.1. Процесс перетаска файлов на утилиту дешифровки (уменьшенная копия для ускорения загрузки страниц форума).

    После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учетных записей) нажмите кнопку "Да" для продолжения ее работы.Теперь Decrypt_Nemucod попытается брутфорс-способом получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.

    key-found.png
    Рис.2. Найден ключ дешифровки (перевод на русский выполнен для демонстрации).

    Есть вероятность того, что это неправильный ключ. Желательно сначала провести дешифровку нескольких ваших файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

    При нажатии кнопки OK вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK . Теперь вы увидите главный экран Nemucod Decrypter, такой, как показано ниже.

    decryptor.png
    Рис.3. Окно Nemucod Decryptor-а

    По умолчанию дешифратор собирается расшифровывать файлы лишь на диске C:\ . Если у вас есть другие диски с зашифрованными файлами, нажмите на кнопку Add File(s), чтобы добавить диск в список. Когда все будет готово, нажмите на кнопку Decrypt, чтобы начать расшифровку файлов. После это дешифратор начнёт расшифровку всех зашифрованных файлов с отображением состояние дешифровки в окне результатов, как показано ниже.
    decrypted-files.png
    Рис.4. Окно результатов дешифровки

    По окончания процесса дешифрования все файлы, зашифрованные вымогателем Nemucod, будут расшифрованы.

     
    lilia-5-0, Охотник и Theriollaria нравится это.

Поделиться этой страницей