UmbreCrypt: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 14 фев 2016.

Метки:
  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик-вымогатель UmbreCrypt: Технология работы вымогателя

    Новый вариант семейства вымогателей CrypBoss был выпущен под названием UmbreCrypt. Это семейство вымогателей шифрует данные жертвы с помощью AES-шифрования, а затем требует прислать по электронной почте платежные поручения. Пока нет бесплатного способа дешифровки файлов, но Фабиан Уосар из Emsisoft уже изучает изменения в новом шифровальщике-вымогателе. Пожелаем ему удачи в деле дешифровки. :Wizard:

    Как известно от многочисленных жертв, вернее, они подозревают, что UmbreCrypt был установлен вручную посредством взлома терминальных служб или удаленного рабочего стола. Если ваш ПК был инфицирован этим вымогателем, то можете сами проверить журналы событий Windows на предмет неудачных попыток входа, чтобы определить учетную запись, которая была скомпрометирована.

    При установке UmbreCrypt сканирует диски C, D, E, F, G и Н на компьютере для поиска файлов, которые соответствуют нужным ему расширением. При обнаружении целевого расширения производит шифрование файлов с помощью AES-шифрования и добавляет окончание umbrecrypt_ID_ [victim_id] к зашифрованному файлу. Например, файл Chrysanthemum.jpg после шифрования станет Chrysanthemum.jpg.umbrecrypt_ID_abdag113

    Список файловых расширений, подвергающихся шифрованию UmbreCrypt:
    UmbreCrypt также использует белый список имён каталогов, в результате чего любые файлы, находящиеся в этих каталогах из белого списка не будут зашифрованы. Вот папки, которые находятся в белом списке каталогов:
    Код (Text):
    Windows, WINDOWS, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), ProgramData

    Для каждой папки, в которой были зашифрованы файлы, UmbreCrypt также создаёт текстовую записку с требованием выкупа под названием README_DECRYPT_UMBRE_ID_ [victim_id].txt.

    По окончании шифрования данных будет отображён экран с требованием выкупа, который сообщает о том, что произошло с файлами жертвы.

    lock-screen.png

    Эта информация также содержит инструкции жертвам, согласно которой они должны отправить по электронной почте вымогателям-разработчикам письмо, чтобы получить информацию об оплате.

    Связанные с UmbreCrypt файлы:
    Код (Text):
    %AppData%\ChromeSetings3264\
    %AppData%\ChromeSetings3264\default32643264.bmp
    %AppData%\ChromeSetings3264\default432643264.jpg
    %AppData%\ChromeSetings3264\[random].exe
    %UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].jpg
    %UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].txt
    Связанные с UmbreCrypt записи реестра:
    Код (Text):
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Internet Explorer Update    "[path_to_installer.exe]"
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ChromeSettingsStart3264    "%AppData%\ChromeSetings3264\wosybiny.exe"
    HKCU\Software\Microsoft\Windows\ChromeRandomAdress3264    [random].exe
    HKCU\Software\Microsoft\Windows\ChromeSettiings3264    [path_to_installer.exe]
    HKCU\Software\Microsoft\Windows\ChromeStarts3264    [path_to_installer.exe]
    HKCU\Software\Microsoft\Windows\TRUECRT3264    TrueUMBRE
     
    lilia-5-0, machito и Охотник нравится это.

Поделиться этой страницей