1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Winnix Cryptor Ransomware

Тема в разделе "Вирусы-шифровальщики", создана пользователем mike 1, 23 дек 2016.

  1. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.516
    Симпатии:
    909
    Баллы:
    233
    Очередной шифровальщик, который шифрует файлы на компьютере жертвы. Шифровальщик перед каждым зашифрованным файлом добавляет расширение <имя файла>.wnx, например: ComboFix.txt.wnx

    Судя по записке YOUR FILES ARE ENCRYPTED!.txt, который шифровальщик оставляет на компьютере пользователя, шифровальщик ориентирован на англоязычных пользователей, но это не мешает ему заражать и русскоговорящих пользователей.

    Текст записки с требованиями злоумышленников:

    Код (Text):
    Your files are encrypted!

    Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key.

    The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure.

    In order to decrypt the files send your bitcoins to the following address:

    13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by

    After you complete your payment, send an email to 6214ssxpvo@sigaint.org with YOUR ID as subject (ID is in the end of the file) and you'll receive private key, needed software and step by step guide in 1 business day.

    Offer is valid for 5 business days (expiration date is in the end of the file). AFTER TIME IS UP, PRICE DOUBLES.
    No discounts, no other payment methods.


    How to buy bitcoins?

    1. Create a Bitcoin Wallet (we recommend Blockchain.info)

    2. Buy necessary amount of Bitcoins
    Do not forget about the transaction commission in the Bitcoin network (= 0.0005).

    Here are our recommendations:

    LocalBitcoins.com – the fastest and easiest way to buy and sell Bitcoins;
    CoinCafe.com – the simplest and fastest way to buy, sell and use Bitcoins;
    BTCDirect.eu – the best for Europe;
    CEX.IO – Visa / MasterCard;
    CoinMama.com – Visa / MasterCard;
    HowToBuyBitcoins.info – discover quickly how to buy and sell bitcoins in your local currency.

    More questions?

    Send an email to 6214ssxpvo@sigaint.org


    ID:[redacted[
    EXP DATE: Sept. 12 2016
    --
    Winnix Cryptor Team
    Криптография: для шифрования файлов используется легальная утилита GnuPG (GnuPG — Википедия), которая шифрует файлы по алгоритму RSA.

    Шифровальщик шифрует следующие типы файлов:

    Код (Text):
    *.7z *.rar *.doc. *.xls. *.ppt. *.pps. *.cf *.dbf *.fdb *.1cd *.lgf *.lgp *.md *.mdf *.gdb *.ora *.bak *.mdf *.ldf *.vib *.udb *.bls *.mdb *.pst *.vhd *.vhdx *.backup *.dbv *.dbase *.trn *.tib *.nx. *.dt. *.cdx *.djvu *.mlg *.tbl *.blb *.mcx *.mrimg *.db6 *.jpg *.jpeg *.pdf *.psd *.cdr *.edb *.zip
    Файлы на диске от Winnix Cryptor Ransomware:

    Код (Text):
    %SYSTEMROOT%\system32\config\systemprofile\Application Data\gnupg - папка с утилитой GnuPG.
    %systemroot%\tracing\C.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска С.
    %systemroot%\tracing\D.bat  - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска D.
    %systemroot%\tracing\E.bat -  батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска E.
    %systemroot%\tracing\F.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска F.
    %systemroot%\tracing\G.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска G.
    %systemroot%\tracing\H.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска H.
    %systemroot%\tracing\I.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска I.
    %systemroot%\logs.cmd - этот файл запускается автоматически каждый час и выполняет очистку событий в журналах Windows.
    %systemroot%\tracing\addwin.bat - файл, который создает в планировщике заданий задачи, которые отвечают за шифрование файлов на дисках, а также за создание задачи logs, которая чистит журналы Windows.
    %systemroot%\tracing\ClearAllWinEventLogs.cmd - фактически дублирует функции файла logs.cmd
    %systemroot%\tracing\0system.bat - Конфигурационный файл.
    %systemroot%\tracing\delwin.bat - Производит удаление задач из планировщика заданий, которые служат для шифрования дисков.
    %systemroot%\tracing\gpg.exe - сама утилита GnuPG.
    %systemroot%\tracing\winnix_pub.asc - публичный ключ, сгенерированный на стороне злоумышленников.
    YOUR FILES ARE ENCRYPTED!.txt - записка с требованиями выкупа.
     
    Некоторые особенности шифрования диска С:

    На диске С завершаются следующие процессы и службы:

    Код (Text):
    NET stop MSSQLSERVER /Y
    NET stop MSSQL$SQLEXPRESS /Y
    NET STOP acrsch2svc /Y
    NET STOP acronisagent /Y
    NET STOP arsm /Y
    NET STOP FirebirdServerDefaultInstance /Y
    NET STOP FirebirdGuardianDefaultInstance /Y
    NET STOP MuzzleServer /Y
    taskkill /im 1cv7s.exe /T /F
    taskkill /im 1cv8s.exe /T /F
    taskkill /im 1cv7.exe /T /F
    taskkill /im 1cv8.exe /T /F
    Также происходит удаление теневых копий командой:

    Код (Text):
    wmic shadowcopy delete
    Дальше происходит импорт публичного ключа, командой:

    Код (Text):
    "%p%"\gpg.exe --import winnix_pub.asc
    И последующее шифрование файлов.

    Пример публичного ключа злоумышленников:


    Код (Text):
    -----BEGIN PGP PUBLIC KEY BLOCK-----

    Version: GnuPG v1

    mI0EWCFl2AEEAMJNagm03bld4Ok9l7MFVoeSrngnEh7Oj+y5+wBRYShbo+2Qv6LT
    jkjahjXyAGU9SKyvRzHPIX6p6XR3gp3De8PEsr/I8fSjINy1aA2EBrJE30GTRQrc
    arseicShfUVSwkQBZ8kw+SCDjjM/R6HtsAzDYDd5lcMYXetTb0hQf7QNABEBAAG0
    H1dpbm5peCA8NjIxNHNzeHB2b0BzaWdhaW50Lm9yZz6ItgQTAQoAIAUCWCFl2AIb
    AwULCQgHAwUVCgkICwQWAgEAAh4BAheAAAoJEAYE9M3u8dx11WwD/RZ47FrhiY90
    EtFtqConikfQLWuKnGkka/vexengYGaM6qaTUVFIlgClbLCape9UNzVhby/+5suQ
    tzEZRjvjiXbkr4OkKIVntkqbZxeZ56W58Y/4sP3NldGuQOVynKE2rslRKDwUh0Wp
    DnUqNoROmhNAeHAhJG72f8GoLjeL3qc8uI0EWCFl2AEEAMksu1e4PLPAYcTZN4eW
    JvDMl6UoEFofw5Y+IYTPek1FUgeU7GGNhkt6+998vgPhkhbtstmaDZeNyi0ynR9w
    BR6ufUa1WWft4AG0eRoA67bELScr/3TDvczaCe488/2IkGSLbcl748oII78xcvZA
    OLnf7L8ClVyMGdcZUhO4QwdRABEBAAGInwQYAQoACQUCWCFl2AIbDAAKCRAGBPTN
    7vHcdZdgA/0cCxSnIz0xBbVcGmLtovz6xvWDEb+AkbJMavrz08JewcYL80mAihvJ
    fytLqYL3naNhesA8voiMh2KjxiTOuedZns2XX8oZQocotIIb6vXefvOVWPqzYxtW
    h7F8ptWweExDpp/pQP2Or3CvZwxUwQaS1Z09YYkvBUNshAphtHNblA==
    =3GAf

    -----END PGP PUBLIC KEY BLOCK-----

    Источники проникновения на компьютер жертвы:

    Некоторые пользователи писали, что ловили его через электронную почту, но думаю здесь заражение происходит через подбор пароля к RDP. Ребята просто удаленно заходят и шифруют файлы на сервере.

    Восстановление файлов:

    Восстановление файлов думаю возможно только в том случае, если Вы сможете восстановить файл %SYSTEMROOT%\system32\config\systemprofile\Application Data\gnupg\secring.gpg, который содержит приватный ключ, но к сожалению, этот файл удаляется перед шифрованием.

    Семпл: Free Automated Malware Analysis Service - powered by VxStream Sandbox
     
    Последнее редактирование: 24 дек 2016
    Kиpилл нравится это.
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.960
    Симпатии:
    5.377
    Баллы:
    783
    Просто удаляется?А если дедовским методом попробовать восстановить?
     
  3. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.516
    Симпатии:
    909
    Баллы:
    233
    Перезаписывается мусором, а потом удаляется.

    Код (Text):
    echo 77406a1e885873e930cb056a91c09c6025ca7a7cd21f132ab320494e> "%SYSTEMROOT%\System32\config\systemprofile\AppData\Roaming\gnupg\secring.gpg"
    echo 77406a1e885873e930cb056a91c09c6025ca7a7cd21f132ab320494e> "%SYSTEMROOT%\System32\config\systemprofile\AppData\Roaming\gnupg\pubring.gpg"
    del "%SYSTEMROOT%\System32\config\systemprofile\AppData\Roaming\gnupg\secring.gpg"
    del /s /q "%SYSTEMROOT%\System32\config\systemprofile\AppData\Roaming\gnupg\"
     
     
    Kиpилл нравится это.
  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.960
    Симпатии:
    5.377
    Баллы:
    783
    Ну а все же-когда восстанавдиваешь файлы с отформатированного диска - порой попадается несколько копий.
    Это не подходит?
     
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.591
    Симпатии:
    3.132
    Баллы:
    583
    Сомнительно, что будет несколько копий.
    Да и размер "мусора" берется больший, чем изначальное содержимое файла.
     

Поделиться этой страницей