• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

PadCrypt: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель PadCrypt: Технология работы,
или Шифровальщик с чатом поддержки


Нежданно-негаданно появился PadCrypt — новый шифровальщик, основанный на старой версии CryptoWall. К нему прикрутили встроенный чат "поддержки", через который можно оперативно связаться со злоумышленниками, а также файл unistl.exe, вроде как деинсталлятор.

Предполагается, что основной канал распространения PadCrypt – это вредоносные файлы .pdf, рассылающиеся в письмах по электронной почте и скрывающиеся в архиве под именем DPD_11394029384.pdf.scr. Если открыть такой файл, то PadCrypt начинает шифровку файлов пользователя и удаляет бэкапы, чтобы нельзя было восстановить данные, используя программы для восстановления. После установки PadCrypt, деинсталлятор расположится в директории %AppData%\PadCrypt\unistl.exe. Рано радоваться! После запуска деинсталлятор удаляет только уведомления с требованием выкупа и сам вредонос, а файлы по-прежнему остаются зашифрованными.

padcrypt1.jpg padcrypt2.jpg padcrypt3.jpg

Шифровальщик оставляет текстовые и HTML-послания IMPORTANT READ ME.txt с требованием выкупа на всех логических дисках и во всех директориях с зашифрованными данными, а также показывает пользователю окно с требование выкупа, который они оценили в 0,8 биткоина (около $327, €290 или 25824 рубля по текущему курсу). В этом же окне слева снизу есть опция LiveChat, кликнув по которой можно открыть окно чата и отправить сообщение разработчикам-вымогателям. Их ответ, видимо, будет показан в этом же окне. К сожалению, исследователям не удалось пообЧаться с вымогателями с его помощью, т.к. C&C-серверы операторов вредоноса пока не функционируют. // То ли рано обнаружили, то ли еще недоработали. :Biggrin:

Исследователи считают, что авторы шифровальщика фанатеют от CryptoWall, потому использовали для создания своего детища некий готовый шаблон, а деинсталлятор был сгенерирован автоматически. Потому и сам шифровальщик выглядит несколько недоделанным.

PadCrypt.exe шифрует все файлы независимо от расширения. При шифровании файлов его целями являются следующие папки:
Код:
C:\Users\[login_name]\Downloads
C:\Users\[login_name]\Documents
C:\Users\[login_name]\Pictures
C:\Users\[login_name]\

Потом он начинает сканировать диск C: и зашифровывать все файлы, которые не расположены в следующих папках или содержат строки: ProgramData, PerfLogs, Config.Msi, $Recyle.Bin.

Затем PadCrypt пройдётся по всем локальным дискам и зашифрует любые обнаруженные файлы.

Во время работы вредонос также удаляет все теневые копии системы и файлов (Shadow Volume Copies), которые могли бы помочь восстановить данные Recovery-программами, с помощью команды зачистки:
Код:
vssadmin delete shadows /for=z: /all /quiet

Связанные с PadCrypt файлы:
Код:
%Desktop%\IMPORTANT READ ME.txt
%AppData%\PadCrypt\unistl.exe
%AppData%\PadCrypt\decrypted_files.dat
%AppData%\PadCrypt\File Decrypt Help.html
%AppData%\PadCrypt\PadCrypt.exe
%AppData%\PadCrypt\Files.txt

Связанные с PadCrypt записи реестра:
Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PadCrypt" = "%AppData%\PadCrypt\PadCrypt.exe"
HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = "%AppData%\PadCrypt\Wallpaper.bmp
HKEY_CURRENT_USER\Control Panel\Desktop "WallpaperStyle" = 1
HKEY_CURRENT_USER\Control Panel\Desktop "TileWallpaper" = 0

 
Шифровальщик-вымогатель PadCrypt: новые штрихи к портрету

Новый вариант вымогателя-шифровальщика PadCrypt обзавелся рядом обновленных функций:
- обновлен интерфейс чата и добавлен текст с насмешкой над жертвой;
- обновлен собственный дешифровщик (некие косметические штрихи);
- добавлена функция "черный список компьютеров".

Расскажу лишь о "blacklist of computer names".

Эта версия PadCrypt включает в себя чёрный список определённых имён компьютеров для того, чтобы PadCrypt делал своё чёрное дело. Если пользователь имеет имя машины, которая содержится в чёрном списке, вредонос запускается и прекращает работу. Это делается для того, чтобы сделать его более трудным для изучения специалистами, исследующими malware, на виртуальных машинах и в песочнице.

Имена компьютеров, которые в настоящее время находятся в черном списке: "PLACEHOL-", MALTEST "," ТЕСТ-PC "," BEA-CHI "," BRBRB "," VMSCAN ". Без сомнения список будет расширяться.
PadCrypt+.jpg
 
PadCrypt: Возвращение

PadCrypt вернулся через 4 месяца неактивности с расширением .padcrypt для зашифрованных файлов.
Сумма выкупа осталась прежней - 0,8 BTC
Экран блокировки имеет ту же некорректную дату 01/01/1970.
padcrypt.jpg
 
Назад
Сверху Снизу