TeslaCrypt 3.0-4.0-4.2: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 14 фев 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель TeslaCrypt 3.0: Изменения в процессе шифрования

    Появился новый вариант вымогателя TeslaCrypt, который содержит незначительные изменения.
    Номер версии по-прежнему 3.0, но:
    - файлы с требованием выкуп переименованы;
    - зашифрованные файлы теперь имеют расширение .MP3

    Список используемых криптовымогателем расширений:
    .micro
    .xxx
    .ttt
    .mp3


    Используемые алгоритмы шифрования:
    AES-256 + ECHD + SHA1


    Итак, первое изменение заключается в том, что файлы с требованием выкупа были изменены создателями шифровальщика.

    Новые файлы с требованием выкупа теперь называются:
    _H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].png
    _H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].txt
    _H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].HTML

    Пример вымогательства см. на рисунке ниже.

    ransom-note-TeslaCrypt.jpg

    Другое изменение заключается в том, что в настоящее время файлы, зашифрованные TeslaCrypt, получают MP3-расширения.
    Так, если исходное имя файла было test.jpg , то когда он был зашифрован, станет уже называться test.jpg.mp3 .

    Примеры зашифрованных файлов смотрите на изображении ниже.
    encrypted-files-TeslaCrypt.jpg


    Перевод выполнен SNS-amigo специально для данного раздела и темы "Шифровальщики-вымогатели..."
     
    Kиpилл, lilia-5-0, machito и 3 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Использование вымогателя TeslaCrypt для компрометации сайтов продолжается

    Вредоносная кампания по распространению вымогателя TeslaCrypt эволюционирует. Если раньше malware компрометировали и использовали сайты за базе WordPress для заражение жертв вымогательским ПО, то теперь под угрозой и ресурсы, работающие под управлением CMS Joomla.

    В начале текущего месяца специалисты компании Sucuri заметили, что против ресурсов на базе WordPress развернулась масштабная кампания. Злоумышленники заражают все JavaScript-файлы на хостинге, внедряя в них зашифрованный вредоносный код. Если несколько сайтов размещаются на хостинге под одним аккаунтом, заражены окажутся они все; данная техника носит название cross-site contamination. Обойтись очисткой от малвари только одного сайта не получится, придется изолировать каждый ресурс отдельно и чистить их все последовательно.

    Зараженные сайты используются для отображения вредоносной рекламы. Фальшивые баннеры инфицируют пользователей малварью, при помощи набора эксплойтов Nuclear. Чуть позже стало известно, что эксплоит-кит распространял криптолокера TeslaCrypt.

    Инициаторы данной кампании решили расширить свою атаку на сайты под управлением Joomla, применив к ним аналогичную технику: в файлы JavaScript внедряют вредоносный iframe.

    Администраторам сайтов на базе Joomla стоит искать вредоносный код по ключу «admedia» (для WordPress сайтов триггером являлся megaadvertize). Теперь злоумышленники используют не набор Nuclear, а другой популярный набор эксплоитов – Angler.

     
    lilia-5-0, machito, Охотник и ещё 1-му нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель TeslaCrypt 4.0: четвёртое пришествие

    Обнаружена новая версия вымогателя TeslaCrypt 4.0. О ней исследователи узнали из отправляемого на C&C-сервер расшифрованного POST-сообщения. Пока 4-ка мало изучена, но уже известно, что при шифровании больше не используется какое-то особое расширение для зашифрованных с алгоритмом RSA 4096 файлов, что затрудняет изучение и систематизацию. Теневые копии и точки восстановление системы очищаются без остатка. Заголовки зашифрованных файлов совпадают в том, что все файлы начинаются с 0x00000000, потом идет ID жертвы, упомянутый в записке с требованием выкупа, а затем снова 0x00000000.

    Также известно, что пока не исправлена ошибка, связанная с повреждением файлов более 4 Гб, но изменено имя файлов с требованием выкупа на RECOVER[5_chars].html.

    Имеющие инструменты дешифровки и крак-крипта для предыдущих версий TeslaCrypt, в частности TeslaCrypt Decryption Tool, для 4-ки бесполезны. Во всяком случае, пока бесполезны.

    Окно с требованием выкупа теперь выглядит так:
    teslacrypt-4_0-ransom-note.jpg

    Файлы связанные с TeslaCrypt 4.0
    Код (Text):
    %UserProfile%\Desktop\RECOVER[5_chars].html
    %UserProfile%\Desktop\RECOVER[5_chars].png
    %UserProfile%\Desktop\RECOVER[5_chars].txt
    %UserProfile%\Documents\[random].exe
    %UserProfile%\Documents\recover_file.txt
    Записи реестра связанные с TeslaCrypt 4.0
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\_[random]    C:\Windows\SYSTEM32\CMD.EXE /C START %UserProfile%\Documents\[random].exe
    HKCU\Software\
    HKCU\Software\\data
    *** В источнике указана дата - 17 марта, но инфа появилась только сегодня. Видимо три дня была в черновиках.
     
    lilia-5-0, machito, Охотник и ещё 1-му нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель TeslaCrypt 4.1b: Штрихи к новому портрету

    Пока мы располагаем небольшим количеством информации о новой версии. Все собранные нами ранее данные о TeslaCrypt и Alpha Crypt Ransomware, вы можете узнать у нас на сайте.
    При появлении новых сведений о новой версии, я буду дополнять информацию на этом же месте. Подписывайтесь, чтобы быть в курсе.

    Подтверждение новой версии
    Когда TeslaCrypt начинает шифрование данных, он подключается к одному из шлюзов C&C-сервера и отправляет зашифрованное POST-сообщение. Когда это сообщение расшифровывается, одно из значений в сообщении указывает на новую версию TeslaCrypt. Это можно увидеть ниже в примере декодированного запроса 4.1b. Первый образец датирован 19 апреля.
    Код (Text):
    Sub=Ping&dh=[PublicKeyRandom1_octet|AES_PrivateKeyMaster]&addr=[bitcoin_address]&size=0&version=4.1b&OS=[build_id]&ID=[?]&inst_id=[victim_id]
    Кроме того, оказывается, что TeslaCrypt использует только WMIC (Windows Management Instrumentation Command-line) для удаления томов теневых копий, но, возможно, это имело место и в более ранней версии. Используется команда C:\Windows\system32\wbem\WMIC.exe shadowcopy delete /nointeractive

    wmic-shadow-volume-deletion.png

    Записки с требованием выкупа имеют вид:
    -!RecOveR!-[random_chars]++.Png,
    -!RecOveR!-[random_chars]++.Htm,
    -!RecOveR!-[random_chars]++.Txt
    teslacrypt-ransom-note.png

    Файлы TeslaCrypt 4.1b
    Код (Text):
    %UserProfile%\Desktop\-!RecOveR!-[random_chars]++.Txt
    %UserProfile%\Desktop\-!RecOveR!-[random_chars]++.Htm
    %UserProfile%\Desktop\-!RecOveR!-[random_chars]++.Png
    %UserProfile%\Documents\[random].exe
    %UserProfile%\Documents\-!recover!-!file!-.txt
    %UserProfile%\Documents\desctop._ini
    Записи реестра TeslaCrypt 4.1b
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random]    C:\Windows\SYSTEM32\CMD.EXE /C START %UserProfile%\Documents\[random].exe
    HKCU\Software\[victim_id]
    HKCU\Software\[victim_id]\data
     
    lilia-5-0 и Охотник нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель TeslaCrypt 4.1a: Штрихи к портрету

    Как показывают последние исследования, новые модификации TeslaCrypt говорят нам о том, что криптовымогательство становится не только распространенным явлением, но и всё более изощренным и гибким. Несмотря на первые попадания образчиков TeslaCrypy v.4.1b, нельзя не сказать пару слов о версии 4.1a, которая используется злоумышленниками уже больше недели.

    TeslaCrypt 4.1A распространяется доставкой вредоносных вложений в спам-кампаниях для физических лиц. В ней улучшены техники обфускации и обхода обнаружения антивирусами, а также добавлена поддержка шифрования файлов со следующими расширениями:
    Полный список файловых расширений (не по алфавиту)
    .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .kdc, .mef, .mrwref, .nrw, .orf, .raw, .rwl, .rw2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .jpg, .jpe, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .ai, .indd, .cdr, .erf, .bar, .hkx, .raf, .rofl, .dba, .db0, .kdb, .mpqge, .vfs0, .mcmeta, .m2, .lrf, .vpp_pc, .ff, .cfr, .snx, .lvl, .arch00, .ntl, .fsh, .itdb, .itl, .mddata, .sidd, .sidn, .bkf, .qic, .bkp, .bc7, .bc6, .pkpass, .tax, .gdb, .qdf, .t12, .t13, .ibank, .sum, .sie, .zip, .w3x, .rim, .psk, .tor, .vpk, .iwd, .kf, .mlx, .fpk, .dazip, .vtf, .vcf, .esm, .blob, .dmp, .layout, .menu, .ncf, .sid, .sis, .ztmp, .vdf, .mov, .fos, .sb, .itm, .wmo, .itm, .map, .wmo, .sb, .svg, .cas, .gho, .syncdb, .mdbackup, .hkdb, .hplg, .hvpl, .icxs, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .xf, .dxg, .wpd, .rtf, .wb2, .pfx, .p12, .p7b, .p7c, .txt, .jpeg, .png, .rb, .css, .js, .flv, .m3u, .py, .desc, .xxx, .litesql, wallet, .big, .pak, .rgss3a, .epk, .bik, .slm, .lbf, .sav, .re4, .apk, .bsa, .ltx, .forge, .asset, .litemod, .iwi, .das, .upk, .d3dbsp, .csv, .wmv, .avi, .wma, .m4a, .rar, .7z, .mp4, .sql, .bak, .tiff

    Шифрование файлов осуществляется с помощью 256-битного алгоритма шифрования AES.

    Как и предыдущие версии TeslaCrypt, 4.1A распространяется через фишинговые письма с уведомлением о доставке. Письмо содержит вложенный zip-файл, представляющий собой JavaScript-загрузчик, использующий Windows Script Host (WSH) или WScript для загрузки полезной нагрузки. После распаковки zip-файла вызывается WSH для выполнения кода. Дроппер загружает TeslaCrypt через GET-запрос к greetingsyoungqq[.]com/80.exe и запускает файл на выполнение.

    teslacrypt4-1a.png

    Для обхода обнаружения вредонос использует COM-объекты и удаляет Zone.Identifier ADS.
    С помощью API CoInitialize() и CoCreateInstance() вредонос контролирует DirectShow через Software\Microsoft\DirectShow\PushClock.

    В TeslaCrypt 4.1A также реализована функция обхода пяти стандартных приложений для мониторинга процессов и администрирования Windows (диспетчера задач, редактора реестра, командной оболочки, программы Process Explorer и компонента «Конфигурация системы»).

     

    Вложения:

    lilia-5-0, Охотник, orderman и ещё 1-му нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель TeslaCrypt v.4.2

    Появился криптовымогатель TeslaCrypt v.4.2. Эта версия была выпущена сегодня и содержит довольно много изменений в работе программы. Например, сократили записку с требованием выкупа, осталась только основная информация, необходимая для подключения к серверам оплаты.

    teslacrypt-4-2-ransom-note.png

    Подробнее об измененном функционале:
    - Компилятор изменился, код перекомпилирован и оптимизирован;
    - Внедрен код svchost.exe, чтобы удалять теневые копии с помощью следующего метода:
    --- CreateProcessW(C:\Windows\System32\svchost.exe, DEBUG_ONLY_THIS_PROCESS | NORMAL_PRIORITY_CLASS | CREATE_DEFAULT_ERROR_MODE)
    --- инжект кода для отладки svchost;
    --- инжектированный код выполняет: vssadmin.exe "C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet
    --- теневые копии удаляются до и после шифрования;
    - Восстановление файла теперь в data-файл.
    - Data-файл переименован в %MyDocuments%\-!recover!-!file!-.txt и теперь в зашифрованном виде.
    - Размер файла данных изменен до 272 байт (256 байт из них не зашифрованы)
    - Ключ запуска изменен на HKCU\Software\Microsoft\Windows\CurrentVersion\Run] serv[5chars] C:\Windows\SYSTEM32\CMD.EXE /C START "" "[malwarepath].exe"
    - Сетевой запрос задается только если InternetGetConnectedState возвращает 1.
    - Записка о выкупе стала короче.

    Файлы, связанные с TeslaCrypt v.4.2:
    Код (Text):
    %UserProfile%\Desktop\!RecoveR!-[5_characters]++.HTML
    %UserProfile%\Desktop\!RecoveR!-[5_characters]++.PNG
    %UserProfile%\Desktop\!RecoveR!-[5_characters]++.TXT
    %UserProfile%\Documents\-!recover!-!file!-.txt
    %UserProfile%\Documents\[random].exe
    Записи реестра, связанные с TeslaCrypt v.4.2:
    Код (Text):
    serv[5chars] C:\Windows\SYSTEM32\CMD.EXE /C START "" "%UserProfile%\Documents\[random].exe"
     
    Охотник, thyrex и orderman нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Счастливый конец TeslaCrypt

    Разработчики TeslaCrypt закрыли свой проект и выпустили мастер-ключ для дешифрования, а их дистрибьюторы переключились на распространение вымогателей CryptXXX.

    teslacrypt-closed.png

    Это единый универсальный ключ для дешифрования, который позволяет дешифровать файлы, зашифрованные криптовымогателями TeslaCrypt, в том числе и последних 3.0 и 4.0 версий.

    440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

    Конечно, один ключ, без программы для дешифровки, погоды не сделает, потому эксперт по TeslaCrypt некто BloodDolly по такому случаю обновил TeslaDecoder до версии 1.0. Теперь любой, кто имел зашифрованные файлы с расширением xxx, .ttt, .micro, .mp3 или без таких расширений, может расшифровать свои файлы бесплатно!

    СкачатьTeslaDecoder >>>

    Инструкция по использованию TeslaDecoder


    Загрузить и разархивировать файл TeslaDecoder.zip на рабочем столе.
    Запустить файл TeslaDecoder.exe и нажать кнопку Set key для выбора расширения.
    В ниспадающем поле раздела Extension выберите пункт с нужными расширениями.
    Если файлы были зашифрованы без изменения расширений, то выберите <as original>.
    Скопируйте и введите в верхнее поле мастер-ключ, опубликованный выше.

    Далее нажмите кнопку Set key, как показано на рисунке ниже.
    tesladecoder-decryption-key-set.png tesladecoder-set-key1.png

    Откроется главное окно утилиты с загруженным в дешифратор ключом дешифрования, как показано ниже.
    tesladecoder-press-set-key2.png

    Теперь можно расшифровать нужную папку с файлами или просканировать весь диск.
    Для выбора папки c зашифрованными файлами нажмите кнопку Decrypt folder.
    Для расшифровки всех файлов компьютера нажмите кнопку Decrypt all.
    При этом TeslaDecoder спросит, хотите ли вы перезаписать файлы незашифрованными версиями.
    Если на диске достаточно места, то откажитесь от перезаписи, тогда будет сделан бэкап зашифрованных файлов.

    tesladecoder-decryption-key-set-2.png tesladecoder-files-decrypted3.png

    Когда TeslaDecoder завершит дешифрование файлов, он сообщит об этом в главном окне (результат я выделил зелёной рамкой).

    Все файлы будут расшифрованы, и если вы не выбрали перезапись файлов, то будут созданы резервные копии зашифрованных файлов с расширением .TeslaBackup, к ним добавленным.

     
    Охотник, Candellmans и orderman нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Вымогатели теперь сами рекомендуют TeslaDecoder!

    Четыре дня тому назад было объявлено о том, что благодаря публикации мастер-ключа разработчиками криптовымогателя TeslaCrypt, удалось обновить инструмент дешифрования TeslaDecoder и использовать его для дешифровки зашифрованных файлов.
    Но вчера свершилось еще одно неожиданное событие. Разработчики обновили свое сообщение, теперь они извиняются и рекомендуют инструмент TeslaDecoder от BloodDolly для дешифрования файлов.

    new-tor-message.png
     
    Kиpилл, thyrex и Охотник нравится это.
  9. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    282
    Симпатии:
    345
    Совесть проснулась. Столько зла наделали.
     
    SNS-amigo нравится это.

Поделиться этой страницей