Еженедельный вестник


(c) При публичном цитировании или перепубликации
информации текста из этой темы на иных ресурсах
ссылка на автора SNS-amigo или эту тему обязательна.



Криптовымогательская неделя (7-14 мая)

Прошедшая неделя была "плодовитой" на новые криптовымогатели. О некоторых из них я оперативно рассказал выше, но информация о других не публиковалась. Из языконезависимого или англоязычного криптовымогательство становится локально организованным и ориентированным на пользователей, говорящих на других распространенных языках мира: китайском, испанском, португальском, русском, немецком и пр. пр. Итак, по порядку появления на этой неделе.

9 мая
Появилась информация о CryptXXX 2.0 Ransomware, выпущенного создателями вредоносного ПО взамен первой версии вымогателя, для которой ЛК выпустила дешифровщик RannohDecryptor, добавив в него функционал дешифровки файлов, зашифрованных первой версией CryptXXX.
wallpaper-trimmed.png
Рис. Записка о выкупе CryptXXX 2.0 Ransomware
============================
10 мая

Опубликована подробная информация об вымогателе Enigma Ransomware, ориентированном только на русскоязычных пользователей.
enigma-note-png.29772

Рис. Записка о выкупе Enigma Ransomware
===========================

10-11 мая
Появилась информация о китайском вымогателе Shujin Ransomware, первоначально названном Chinese Ransomware, ориентированном только на китайскоязычных пользователей. По тому, как вымогатель подробно снабжен инструкциями на китайском, становится очевидным, что его создатели серьезно взялись за его распространение. По масштабам подготовки, его можно сравнить с Brazilian (Able) Ransomware.
Shujin-note.png
Рис. Записка о выкупе Shujin Ransomware
===========================
11 мая
GNL Locker
, или Германско-Нидерландский Локер, был обнаружен ранее, но только теперь был получен образец для изучения. Когда вымогатель запускается, то он проверяет IP-адрес компьютера и шифрует файлы, только если ПК находится в Нидерландах или Германии.
Файлы, зашифрованные с помощью GNL Locker получают расширение .locked , к ним прилагаются записки с требованием выкупа UNLOCK_FILES_INSTRUCTIONS.txt и UNLOCK_FILES_INSTRUCTIONS.txt .

GNL Locker-note.png
Рис. Записка о выкупе GNL Locker Ransomware
===========================
12 мая
CryptoHitman
стал продолжением вымогателя Jigsaw, но на этот раз его создатели решили шокировать свои жертвы сопровождавшей вымогателя порнографией. К зашифрованным файлам стало добавляться новое расширение .porno .
hitman-note.png
Рис. Экран блокировки CryptoHitman с запиской о выкупе
===========================
12 мая
Усилилось распространение криптовымогателя Crypren, добавляющего расширение .ENCRYPTED к зашифрованным файлам и бросающего своим жертвам записку о выкупе READ_THIS_TO_DECRYPT.html . К счастью для пострадавших, уже есть дешифровщик DecryptCrypren для зашифрованных Crypren файлов.
Crypren-note.png
Рис. Записка о выкупе Crypren Ransomware
=========================

12-13 мая
Вернулся вымогатель Petya, получивший в помощь "товарища" - криптовымогатель Misha. Сначала в системе пытается установиться Petya, а если это не удаётся сделать (админ-права не предоставлены), но устанавливается криптовымогатель Mischa, добавляющий к имени файла четырёхсимвольное расширение. Этот вымогательский союз также стал поставляться как услуг - Ransomware as a Service (RaaS).
petya-misha-ransom-note.png
Рис. Записка о выкупе Misha Ransomware
Статью о них см. выше.
============================
13 мая
Вчера, через 4 дня, ЛК выпустила новую 1.9.1.0 версию декриптера RannohDecryptor для файлов, зашифрованных CryptXXX 2.0, полностью заменив предыдущею версию в репозитории.

 
Криптовымогательские недели (с 19 по 30 сентября)

На этот раз по технические и календарным причинам неделя у нас получилась большая.

MarsJoke Ransomware был впервые обнаружен в конце августа как фейковый CTB-Locker, но только с 22 сентября заявил о себе активным распространением в спам-кампаниях. Исследователи заметили, что он подражал CTB-Locker-у в плане графики, шифрования и ряде других моментов. Первое название JokeFromMars ему дал его первый исследователь Darien Huss из Proofpoint, заметив в коде мьютекс "HelloWorldItsJokeFromMars". Примерно неделю в отчетах оно использовалось, потом переименовали на краткое MarsJoke. С ним он и был включен в ID Ransomware. Его цели в США: государственные учреждения, органы местного самоуправления и образовательные учреждения. Вполне возможно, что жертв будет больше и по всему миру, т.к. скринлок, обои, сайт оплаты и пр. созданы вымогателями на 3-5-8 языках мира, в том числе и на русском.

Вчера вышла статья от ЛК, в которой они назвали этого вымогателя Polyglot из-за использования многоязычных окон и страниц, и, что самое главное, подробно описали его функционал и добавили дешифровщик. Отсылаю любознательных читателей к этой статье.

Две последних недели были плодовиты на криптовымогателей, о которых можно рассказать лишь парой строк.

По алфавиту...
Al-Namrood Ransomware оказался очередной разработкой команды Apocalypse Dev, которые не перестают удивлять исследователей своей наглостью и хамством. Фабиан Восар его тоже дешифровал и обновил свои декрипторы для новых версий Apocalypse и Stampado.

Cyber SpLiTTer Vbs Ransomware делает вид, что шифрует файлы, на самом деле ничего не шифруется, он просто берёт на испуг и демонстрирует экран блокировки, вымогая 1 биткоин.

DXXD Ransomware шифрует данные на серверах, которые компрометируются с помощью хакерских атак и путём взлома. К счастью для пострадавших, его удалось дешифровать. См. Дешифровщики в помощь!!!

FenixLocker Ransomware шифрует данные и использует зашифрованное сообщение "FenixIloveyou" в качестве маркера конца файла. К счастью для пострадавших, Фабиану Восару его удалось дешифровать. См. Дешифровщики в помощь!!!

Globe Ransomware
получил обновление. В новой версии файлы после шифрования получают составное имя [random_char].help_you@india.com.[random_char].xtbl . Это может говорить о связи его дэвов с создателями CrySiS Ransomware.

HelpDCFile Ransomware может вполне оказаться итерацией июльского крипотовымогателя R980, судя только по записке о выкупе, но сведений пока маловато, чтобы сказать наверняка.

Nagini Ransomware
является очередной пугалкой, к тому же недоработанной. Может шифровать файлы, но не может их дешифровать. Обнаружен исследователями на ресурсах Даркнета.

Nuke Ransomware отличился тем, что исходное имя файла, Bitcoin адрес и другая информация добавляется в конец каждого зашифрованного файла. Он переименовывает файлы жертвы случайным образом и добавляет расширение ".0x5bm".

Princess Locker Ransomware отличился логотипом Princess на сайте оплаты. Некоторые исследователи считают его итерацией ранее известного вымогателя Nemucod, но это пока не подтверждено. Сайт оплаты схож с сайтом Cerber.

UnblockUPC Ransomware, хоть и был написан малограмотными разработчиками, наделал немало шума. Его распространение вышло за рамки одной страны, пролетев по Европе, США и Японии.

Буквально накануне...
CainXPii Ransomware оказался новой вариацией Hitler Ransomware. Требует оплату выкупа списанием 20 евро с карты PaySafeCard. Имеет ошибку в функционале, связанную с .NET Framework, из-за чего работает неправильно.

Krypte Ransomware материализовался для Германии и немецкоязычных пользователей как вариация уже знакомого читателям Razy Ransomware. Требует 15-20 евро и даёт на уплату выкупа 72 часа. К зашифрованным файлам добавляет расширение .fear.

KillerLocker Ransomware ориентирован на испаноязычных пользователей. Ставит блокировщик экрана с киллером в обличье клоуна и дает 24 часа на уплату выкупа. К зашифрованным файлам добавляет расширение .rip.

В отдельных темах...

Donald Trump Ransomware решил приколоться над жертвами. Создана отдельная тема на SZ.
Locky Ransomware получил новую итерацию, т.н. Odin-Locky. Создана отдельная тема на SZ.
XRat Ransomware обновился, но был изучен и по заказу дешифрован командой ЛК. См. тему на SZ.

TrendMicro обновили свой инструмент Ransomware File Decryptor. Ссылка на описание.

Источник подробной информации: блог "Шифовальщики-вымогатели".
Если какого-то описания ещё нет, см. короткий видеоролик тут.
 
Последнее редактирование:
Криптовымогательская неделя (1 - 7 октября)

Dr. Fucker Ransomware шифрует данные с помощью RSA-2048, а затем требует выкуп в 1,7 биткоина за 1 систему, 29 биткоинов за все компьютеры атакованной сети, чтобы вернуть файлы. Является приемником SamSam Ransomware, потому наследовал его методы и аппетиты. Ориентирован на организации, но вполне может атаковать и любые другие более мелкие, в том числе внутридомовые сети.

Fs0ciety Ransomware шифрует данные с помощью AES-256 CBC и 32-bit ключа. Написан на Python. К зашифрованным файлам добавляется расширение .realfs0ciety@sigaint.org.fs0ciety. Оригинальное имя файла не меняются. Записка с требованием выкупа fs0ciety.html размещается на рабочем столе. После шифрования теневые копий файлов удаляются. Не путайте с FSociety, из статьи в августе.

Hades Locker Ransomware шифрует данные с помощью AES-256. Является приемником разгромленного в Нидерландах правоохранителями WildFire Ransomware. Сайт вымогателей имеет страницы на 6 разных европейских языках. К зашифрованным файлам добавляется расширение по шаблону .~HL[first_5_chars_of_password]. Целевыми являются файлы 380 типов.

HCrypto Ransomware шифрует данные с помощью AES, а выкуп требует в 0,5 биткоина за дешифровку. Записка с требованием выкупа называется ex3t.pdf. К зашифрованным файлам добавляется расширение .hcrypto. Основан на HiddenTear. Распространяется с помощью email-спама и вредоносных вложений в виде обновления Adobe-программ.

Kostya Ransomware шифрует данные с помощью AES-256, а выкуп требует в 300 чешских крон с карты PaySafe Card, при неуплате в срок грозят поднять выкуп до 2000 крон. Потому ориентирован на чешских пользователей.

Фантазия у криптовымогателей похоже иссякает, перешли на имена: Петя, Миша, Барт, Фабиан, Костя... Кто следующий?

К получившим обновления в виде версий и отдельных моментов относятся:
Cerber, CryptoLocker 5.1, DXXD, Globe, Locky ...

Продолжается борьба специалистов по дешифровке, создающих декриптеры, с теми, кто отслеживает их работу и выпускает новые версии вирусов-шифровальщиков. Причём последние не гнушаются ни откровенной матерщины в коде своих поделок, ни шкодливых рисунков, направленных в адрес старатеелй-дешифровщиков. Публиковать это здесь, разумеется, не будем.

Источник подробной информации: блог "Шифовальщики-вымогатели".
 
Последнее редактирование:
Назад
Сверху Снизу