1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

IShtar Ransomware

Тема в разделе "Вирусы-шифровальщики", создана пользователем mike 1, 12 ноя 2016.

  1. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.516
    Симпатии:
    909
    Баллы:
    233
    Очередной шифровальщик, который шифрует файлы на компьютере жертвы. Шифровальщик перед каждым зашифрованным файлом добавляет расширение ISHTAR-<имя файла>, например: C:\ISHTAR-ComboFix.txt

    Судя по записке README-ISHTAR.txt, который шифровальщик оставляет на компьютере пользователя, шифровальщик ориентирован как на русскоговорящих, так и на англоязычных пользователей.

    Текст записки с требованиями:

    Код (Text):
    # ----------------------------------------------------------------------------------------------------------------------------
    # ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ youneedmail@protonmail.com
    # ЛИБО НА
    # BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/
    # ----------------------------------------------------------------------------------------------------------------------------
    #
    # БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
    # >     Стандартный порядок шифрования: AES 256 + RSA 2048.
    # >     Для каждого файла создается уникальный AES ключ.
    # >     Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
    #
    # ----------------------------------------------------------------------------------------------------------------------------


    # ----------------------------------------------------------------------------------------------------------------------------
    # TO DECRYPT YOUR FILES PLEASE WRITE TO youneedmail@protonmail.com
    # OR TO
    # BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/
    # ----------------------------------------------------------------------------------------------------------------------------
    #                                                                                        
    # BASIC TECHNICAL DETAILS:                                    
    # >     Standart encryption routine: AES 256 + RSA 2048.                                    
    # >     Every AES key is unique per file.                                                    
    # >     Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).                                
    #                                                                                        
    # ----------------------------------------------------------------------------------------------------------------------------
    Шифрует следующие типы файлов:

    Код (Text):
    .t12, .qdf, .t13, .ibank, .sum, .sie, .d3dbsp, .csv, .wmv, .avi, .wma, .zip, .m4a, .rar, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .vpp_pc, .lrf, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .rofl, .hkx, .bar, .upk, .das, .iwi, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .xxx, .desc, .m3u, .flv, .css, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpg, .cdr, .indd, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
    Файлы на диске от IShtar Ransomware:

    Код (Text):
    %App Data%\<случайные символы>.exe
    %App Data%\<случайные символы>.tmp
    %App Data%\ISHTAR.DATA - уникальный ключ, который был сгенерирован для компьютера.
    %App Data%\README-ISHTAR.txt - записка с требованиями выкупа
    %App Data%\Roaming\<случайные символы>.exe - шифровальщик
    %App Data%\Roaming\<случайные символы>.tmp
    %App Data%\Roaming\ISHTAR.DATA - копия ключа
    %App Data%\Roaming\README-ISHTAR.txt - копия записки
    %SystemDrive%\README-ISHTAR.txt (на каждом жестком диске)
    %SystemDrive%\ISHTAR.DATA (на каждом жестком диске)
    Ключи реестра от IShtar Ransomware:

    Код (Text):
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    []=%App Data%\Roaming\<случайные символы>.exe

    Сетевая активность:

    Код (Text):
    bit.ly/*******
    www.google.ru
    Проверка на VT: Antivirus scan for a0dc6c0bcba1e77c080dc3ebff9406f9e869dd8f2ece1575379c564b6dd07fe1 at 2016-11-11 22:05:44 UTC - VirusTotal
    Гибридный анализ: см. в комментариях на virustotal.

    Источники проникновения на компьютер жертвы: Электронная почта. Злоумышленники для распространения используют dropbox.

    Пример фишингово письма:

    Восстановление файлов:

    Шифровальщик на данный момент пока не удаляет теневые копии, а значит те, кто пострадал от него могут восстановить часть файлов согласно этой http://safezone.cc/threads/kak-vosstanovit-zashifrovannye-trojanami-fajly-sredstvami-windows.25419/ инструкции.
     
    Последнее редактирование модератором: 13 ноя 2016

Поделиться этой страницей