• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Nemucod: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель Nemucod: штрихи к портрету

Пару дней назад мы уже рассказали, что Фабиан Уосар из Emsisoft выпустил доработанную бесплатную утилиту для дешифровки файлов, пострадавших от вредоносной деятельности вымогательского ПО Nemucod. Наша новость, кстати, прошла раньше, чем подробная публикация на сайте BleepingComputer.com, потому сейчас опишу ряд подробностей этой вредоносной технологии и получения ключа шифрования.

Nemucod ранее проявлял себя только как троян-загрузчик вредоносных программ, в частности TeslaCrypt и Locky. Последние версии Nemucod обзавелись собственной реализаций вымогателей-шифровальщиков, которая получила название Nemucod's .CRYPTED Ransomware.

Вымогатель Nemucod распространяется через загрузчик Nemucod Trojan.Downloader, рассылаемый злоумышленниками по электронной почте в виде JavaScript-вложения (.js) . Когда пользователь откроет это вложение, то Javascript сработает и скачает на компьютер жертвы другое вредоносное ПО, необходимое для осуществления атаки и шифрования. Вымогатели Nemucod шифруют первые 2048 байт файла, используя 255 байт ключа XOR, а потом требуют 4 биткоина за ключ дешифровки.

Особенность работы этого вымогателя в том, что шаги шифрования разбиты между двумя различными программами. Javascript-инсталлеры генерируют различные команды и командные файлы, которые используют загруженные файлы для выполнения процесса шифрования.

Когда пользователь открывает JS-вложение, то JS-скрипт загрузит и сохранит исполняемый, но пока еще неактивный файл вымогателя в директорию %TEMP%\5021052.exe. Затем скрипт создает и запускает CMD-сценарий, содержащий команды, которые будут использоваться для поиска файлов и их целенаправленного шифрования.

nemucod-js-source.png
Рис.1. JS-исходник Nemucod

После шифрования файлов, CMD-сценарий добавит различные пункты автозапуска в реестре, чтобы ПО вымогателей продолжило работу при следующей загрузке Windows. Когда сценарий закончит работу, он удалит себя с компьютера.

После завершения процедуры шифрования, пострадавшему будет отображена записка с требованием выкупа - Decrypted.txt , которую можно увидеть ниже.

nemucod-ransom-note.png
Рис.2. Требование выкупа

Список файловых расширений, подвергающихся шифрованию Nemucod's .CRYPTED Ransomware:
.zip .rar .7z .tar .gz .xls .xlsx .doc .docx .pdf .rtf .ppt .pptx .sxi .odm .odt *. MPP .ssh .pub .gpg .pgp .kdb .kdbx .als .aup .cpr .npr .cpp .bas .asm .cs .php .pas .vb .vcproj .vbproj .mdb .accdb .mdf .odb .wdb .csv .tsv .psd .eps .cdr .cpt .indd .dwg .max .skp .scad .cad .3ds .blend .lwo .lws .mb .slddrw .sldasm .sldprt .u3d .jpg .tiff .tif .raw *. AVI .mpg .mp4 .m4v .mpeg .mpe .wmf .wmv .veg .vdi .vmdk .vhd .dsk

info.png
Важно отметить, что вредПО Nemucod работает не только на вымогателей. Nemucod TrojanDownloader также может установить в систему пользователя инфекцию Kovter (см. рисунок ниже) и, возможно, другие вредоносные программы. Для отдельного удаления этого вредоноса есть специальные инструменты, например, Trojan.Kotver Removal Tool.

Вашему вниманию также инструкция от BleepinComputer по удалению Kovter.
kovter.png
Рис.3. Признаки инфекции Kovter

info.png
Поэтому, не забудьте проверить компьютер современными антивирусными инструментами, чтобы убедиться, что все инфекции были удалены.

Файлы, связанные с Nemucod Trojan:

Код:
%Temp%\502105.txt
%Temp%\5021052.exe
%LocalAppData%\evum\
%LocalAppData%\evum\1QGNQ.2MGvFO
%AppData%\BlastoffCounterpoiseDissimilitude
%AppData%\ForesideDopattaEmpyrean
%AppData%\gangbang.dll
%AppData%\htmlhelp.title.xml
%AppData%\libertine.dll
%AppData%\minimize_hover.png
%AppData%\System.dll
%Desktop%\Decrypt.txt

Записи реестра, связанные с Nemucod Trojan:
Код:
HKCU\Software\Classes\.2MGvFO
HKCU\Software\Classes\.2MGvFO\    ayC5
HKCU\Software\Classes\ayC5
HKCU\Software\Classes\ayC5\shell
HKCU\Software\Classes\ayC5\shell\open
HKCU\Software\Classes\ayC5\shell\open\command
HKCU\Software\3c1cee05f3
HKCU\Software\Classes\ayC5\shell\open\command\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Crypted    %Temp%\502105.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]

 
Nemucod Decrypter: Подробности получения ключа дешифрования и дешифровка

Ссылки для загрузки Decrypt_Nemucod сейчас две:
Emsisoft Decrypter for Nemucod
https://decrypter.emsisoft.com/download/nemucod

Чтобы найти ключ дешифрования, нужно одновременно перетащить зашифрованный файл и незашифрованную версию того же файла на иконку decrypt_nemucod.exe. Для этого нужно курсором выбрать их обоих и перетащить на дешифратор. Если у вас нет оригинальной версии одного из зашифрованных файлов, то можно использовать образцы рисунков Windows, имеющиеся в папке в C:\Users\Public\Pictures (или см. папку Мои документы\Мои рисунки\Образцы изображений). После того, как будет определён ключ, использованный для шифрования ваших файлов, вы можете использовать этот ключ для расшифровки ВСЕХ других зашифрованных файлов на вашем компьютере.

drag-files (1).gif
Рис.1. Процесс перетаска файлов на утилиту дешифровки (уменьшенная копия для ускорения загрузки страниц форума).

После перетаска файлов утилита запустится в работу и на запрос UAC (контроля учетных записей) нажмите кнопку "Да" для продолжения ее работы.Теперь Decrypt_Nemucod попытается брутфорс-способом получить ключ дешифрования. Когда ключ будет найден, он будет отображен в новом окне.

key-found.png
Рис.2. Найден ключ дешифровки (перевод на русский выполнен для демонстрации).

Есть вероятность того, что это неправильный ключ. Желательно сначала провести дешифровку нескольких ваших файлов, чтобы узнать правилен ли полученный ключ. И лишь потом, при их успешной дешифровке, использовать его для дешифровки остальных файлов.

При нажатии кнопки OK вам нужно будет ознакомиться и согласиться с лицензионным соглашением. Для продолжения нажмите кнопку OK . Теперь вы увидите главный экран Nemucod Decrypter, такой, как показано ниже.

decryptor.png
Рис.3. Окно Nemucod Decryptor-а

По умолчанию дешифратор собирается расшифровывать файлы лишь на диске C:\ . Если у вас есть другие диски с зашифрованными файлами, нажмите на кнопку Add File(s), чтобы добавить диск в список. Когда все будет готово, нажмите на кнопку Decrypt, чтобы начать расшифровку файлов. После это дешифратор начнёт расшифровку всех зашифрованных файлов с отображением состояние дешифровки в окне результатов, как показано ниже.
decrypted-files.png
Рис.4. Окно результатов дешифровки

По окончания процесса дешифрования все файлы, зашифрованные вымогателем Nemucod, будут расшифрованы.

 
Назад
Сверху Снизу