• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

IShtar Ransomware

mike 1

Ветеран
Сообщения
2,332
Реакции
753
Очередной шифровальщик, который шифрует файлы на компьютере жертвы. Шифровальщик перед каждым зашифрованным файлом добавляет расширение ISHTAR-<имя файла>, например: C:\ISHTAR-ComboFix.txt

Судя по записке README-ISHTAR.txt, который шифровальщик оставляет на компьютере пользователя, шифровальщик ориентирован как на русскоговорящих, так и на англоязычных пользователей.

Текст записки с требованиями:

Код:
# ----------------------------------------------------------------------------------------------------------------------------
# ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ youneedmail@protonmail.com
# ЛИБО НА
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
# >     Стандартный порядок шифрования: AES 256 + RSA 2048.
# >     Для каждого файла создается уникальный AES ключ.
# >     Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
#
# ----------------------------------------------------------------------------------------------------------------------------


# ----------------------------------------------------------------------------------------------------------------------------
# TO DECRYPT YOUR FILES PLEASE WRITE TO youneedmail@protonmail.com
# OR TO
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#                                                                                        
# BASIC TECHNICAL DETAILS:                                    
# >     Standart encryption routine: AES 256 + RSA 2048.                                     
# >     Every AES key is unique per file.                                                    
# >     Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).                                 
#                                                                                        
# ----------------------------------------------------------------------------------------------------------------------------

Шифрует следующие типы файлов:

Код:
.t12, .qdf, .t13, .ibank, .sum, .sie, .d3dbsp, .csv, .wmv, .avi, .wma, .zip, .m4a, .rar, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .vpp_pc, .lrf, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .rofl, .hkx, .bar, .upk, .das, .iwi, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .xxx, .desc, .m3u, .flv, .css, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpg, .cdr, .indd, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Файлы на диске от IShtar Ransomware:

Код:
%App Data%\<случайные символы>.exe
%App Data%\<случайные символы>.tmp
%App Data%\ISHTAR.DATA - уникальный ключ, который был сгенерирован для компьютера.
%App Data%\README-ISHTAR.txt - записка с требованиями выкупа
%App Data%\Roaming\<случайные символы>.exe - шифровальщик
%App Data%\Roaming\<случайные символы>.tmp
%App Data%\Roaming\ISHTAR.DATA - копия ключа
%App Data%\Roaming\README-ISHTAR.txt - копия записки
%SystemDrive%\README-ISHTAR.txt (на каждом жестком диске)
%SystemDrive%\ISHTAR.DATA (на каждом жестком диске)

Ключи реестра от IShtar Ransomware:

Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[]=%App Data%\Roaming\<случайные символы>.exe


Сетевая активность:

Код:
bit.ly/*******
www.google.ru

Проверка на VT: Antivirus scan for a0dc6c0bcba1e77c080dc3ebff9406f9e869dd8f2ece1575379c564b6dd07fe1 at 2016-11-11 22:05:44 UTC - VirusTotal
Гибридный анализ: см. в комментариях на virustotal.

Источники проникновения на компьютер жертвы: Электронная почта. Злоумышленники для распространения используют dropbox.

Пример фишингово письма:

Неоплаченный счет Газета "Навигатор"


Приветствуем.

Ваше рекламное объявление в газете "Навигатор" - hччp://navigator61.ru на сегодняшний день все еще оставется без оплаты.
В случае неоплаты счета Ваше объявление будет удалено в течении суток.

Счет на дропбоксе hxxps://dropbox.com/s/[скрыто]

С Уважением,
Издательский Дом «лиОни»
344000, г.Ростов-на-Дону,
ул. Варфоломеева, 265. 3-й этаж, офис № 9

Восстановление файлов:

Шифровальщик на данный момент пока не удаляет теневые копии, а значит те, кто пострадал от него могут восстановить часть файлов согласно этой https://safezone.cc/threads/kak-vosstanovit-zashifrovannye-trojanami-fajly-sredstvami-windows.25419/ инструкции.
 
Последнее редактирование модератором:
Назад
Сверху Снизу