Показано с 1 по 3 из 3.

BitCrypt - новая версия

  1. #1
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,624
    Вес репутации
    2917

    Exclamation BitCrypt - новая версия

    А нас посетил очередной шифровальщик, точнее новая разновидность некоего BitCrypt (или что-то на основе его исходников)

    Примеры тем
    http://virusinfo.info/showthread.php?t=158940
    http://forum.kaspersky.com/index.php?showtopic=294917

    Механизм распространения: вложение (дроппер) к электронному письму

    Известные имена дроппера
    Исковое заявление подано в суд.exe – самораспаковывающийся rar-архив
    Исковое заявление PDF.cmd - просто переименованный самораспаковывающийся архив
    Шифруемые файлы (на всех логических дисках)
    .php, .jpg, .jpeg, .doc*, .txt, .pdf, .tif, .dbf, .eps, .psd, .log, .rar, .cdr, .zip, .psb, .csv, .tst, .mrh, .dbk, .aac, .h, .td, .mdb, .mp4, .raw, .dxb, .xml, .mov, .vob, .xls*, .dwg, .cpp, .dt, .cf, .epf, .erf, .grs, .geo, .vrp, .yml, .mdf, .1cd, .tar, .cdx, .sql, .odt,, .odb, .wps, .pst, .rtf
    После запуска в папке c:\tmp появляется все необходимое для шифрования
    Для шифрования используется вполне легальная программа AEScrypt (консольная версия)

    После шифрования файлы получают дополнительное расширение _crypt
    В каждой папке создается файл с именем !!!Фaйлы зaшифpoвaнны!!!.txt следующего содержания

    Скрытый текст

    Все файлы вашего компьютера зашифрованы: документы, изображения.
    Расшифровать файлы, без специальной программы, невозможно. Не удаляйте файлы
    с расширением _crypt со своего компьютера. Это ваши данные в зашифрованном
    виде. Если Вы удалите файлы, то мы не сможем Вам помочь.
    Если Вы заинтересованны в восстановлении данных - отправьте один
    зашифрованный файл нам на почту, мы его расшифруем и пришлем Вам обратно.
    В письме мы расскажем, как восстановить все остальные данные. Стоимость
    программы для расшифровки файлов 10 000 рублей. Не присылайте файлы для
    расшифровки размером больше 6 мегабайт.
    Почта для связи: airbus@lelantos.org
    Обратный ответ придет в течение 1-24 часов.

    Если Вам не приходит ответ долгое время, возможно, наш ответ мог попасть в
    папку СПАМ Вашего почтового ящика. Посмотрите там.
    Если наша почта не отвечает, возможно, наш почтовый ящик перестал работать.
    Мы предусмотрели второй способ связи.
    1) Зайдите на сайт www.bitmsg.me
    2) Зарегистрируйтесь ( нажмите get started today), затем введите Ваш логин,
    e-mail и пароль (пароль вводится два раза для подтверждения правильности
    ввода).
    3) На Ваш почтовый ящик, указанный при регистрации, будет отправлена ссылка
    для подтверждение регистрации.
    4) Пройдите по ссылке. Далее, Вам потребуется создать адрес для переписки -
    нажмите кнопку Create random address. Все, вы можете отправить нам сообшение.
    Отправить новое сообщение - нажмите кнопку New Message. В разделе to (кому)
    укажите наш контактный адрес: BM-2cUtQMSeDVKKF19ypoZqSj9TUPAZ2QvDW3
    Укажите тему сообщения и пишите сообщение. Потом нажимаете кнопку Send Message
    (послать сообщение). Когда Вам придет ответ - его можно прочитать, нажав сверху
    кнопку Inbox и нажав на тему сообшения. Ответ придет в течение 1-24 часов.
    Перед оплатой просите, чтобы Вам расшифровали один файл бесплатно, это подтверждает, что
    вы разговариваете с владельцем ключа шифрования. Никто в мире больше не сможет
    расшифровать Ваши данные.
    Самый последний вариант для связи (если другие варианты не работают): регистрируетесь
    в твиттере (www.twitter.com) и пишите (твит) - он все зашифровал, гад. и ваш email.
    Мы с Вами свяжемся сами
    Скрыть


    Особенности:
    1. Оригинальные файлы не удаляются, но имеют нулевой размер.
    2. Для каждого такого файла создается дополнительный bat-файл, который должен удалять их и себя

    Подробности

    После запуска дроппера, извлечения компонентов стартует zap.exe. Он в свою очередь запускает zap.bat
    Код:
    @echo off
    start "" "hello.exe"
    IF EXIST wind.crp goto next
    ECHO kisa>wind.crp
    start "" "attrib.exe"
    start "" "moar.exe"
    :next
    и должен был открывать некий файл 1.pdf (которого нет в архиве)

    На экран выводится сообщение якобы об ошибке Adobe Reader
    Ошибка в файле или файл испорчен
    Это развод (инициатор - файл hello.exe) или специально запрограммированная реакция на отсутствие 1.pdf

    Для недопущения запуска второй копии шифровальщика выполняется проверка наличия файла wind.crp. Если его нет, файл kisa копируется в wind.crp.

    Запускается файл attrib.exe (он будет висеть в памяти как минимум до конца шифрования), который создает файл "!" и ждет, пока не появится на диске файл c:\tmp\Systems.lug
    После этого устанавливается атрибут NORMAL у файла c:\tmp\kiskis, файл трижды перезатирается и усекается до нулевого размера, после чего удаляется.
    Открывается файл c:\tmp\kisa, в который дописывается Ki10 и содержимое файла rsa.000 (таким образом в конец каждого зашифрованного файла помещается зашифрованный ключ для дешифровки). Файл c:\tmp\Systems.lug удаляется

    Основную работу выполняет файл moar.exe
    1. Запускается файл windrv.bat
    Код:
    PING -n 75 -w 1000 127.0.0.1 > nul
    Так хитро похоже реализована задержка на 75 сек

    2. Проверяется наличие файла с именем "!". Если его нет, программа завершает работу

    3. Создается файл public.txt следующего содержания

    public.txt

    public mod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
    public key=10B00146C80FAB6AC02F09FD6E5725CF009AEAF1EF4C4E0CAAC821B3B9970767D283045E268EF6536BEE4D1B8428605AF90F77D4FD1F18175637D4E6164A948A52E0B73D73B9069A39500B203CC05350C83CCFFE8E558340716089EAC2A7F0A5077E75D7D92B82FD00431954DDBA8C9DA9D90FEF9.8A0B59B8BE5C51C9DC76A75
    Скрыть


    4. Генерируется случайным образом 64-байтный ключ для шифрования и записывается в файл pwin.aes
    Внимание!!! Пока идет процесс шифрования этот ключ хранится и в памяти компьютера

    5. Создается и запускается файл a.bat
    Код:
    bmrsa.exe -mkh -mit -moh -pu -f public.txt <pwin.aes> rsa.000
    При этом содержимое файла pwin.aes шифруется по алгоритму RSA с использованием ключей из файла public.txt и сохраняется в файл rsa.000

    6. Файлы pwin.rsa (если он есть, скорее всего от какой-то из более ранних версий шифровальщика осталось), pwin.aes, public.txt, a.bat, bmrsa.exe затираются нулями, усекаются до нулевого размера (первые три файла - троекратно затираются и усекаются) и удаляются.

    7. Выполняется поиск и шифрование подходящих по типу файлов.
    При этом:
    - в каждой папке с зашифрованными файлами создатся файл с сообщением вымогателя
    - происходит запуск
    Код:
    aescrypt.exe -e -p ключ_в_памяти -o c:\tmp\kisa c:\tmp\kiskis
    , где c:\tmp\kisa - новое имя зашифрованного файла (какую роль здесь играет c:\tmp\kiskis - пока непонятно)
    - оригинальный файл копируется в c:\tmp\kiskis, после чего трижды перезатирается, затирается до нулевого размера
    - для каждого шифруемого файла создается bat-файл вида
    Код:
    CHCP 1251
    del имя_оригинального_файла
    del имя_оригинального_файла.bat
    , который запускается на выполнение. К слову, файл не выполняется, даже при ручном запуске
    - запускается файл xxx.bat
    Код:
    @Echo off > Systems.lug
    exit
    - файл c:\tmp\kisa переносится в файл оригинальное_имя_файла._crypted

    8. Файл aescrypt.exe удаляется

    9. Создается и запускается файл nott.exe. Он создает на Рабочем столе в папке T сообщение вымогателя и открывает его в Блокноте

    10. Создается файл red.bat
    Код:
    PING -n 75 -w 1000 127.0.0.1 > nul
    @echo off
    echo Start %time%
    echo kisa>moar.exe
    del moar.exe
    del red.bat
    10. Область памяти, где хранился ключ, перезаписывается строкой
    bmrsa.exe -mkh -mit -moh -pu -f public.txt <pwin.aes> rsa.000
    11. Запускается файл red.bat

    Скрыть


    Оценка возможности дешифровки:
    - возможна:
    -- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс шифрования, выдрать из памяти программы ключ;
    -- если антивирусные компании ЗАХОТЯТ заниматься простым перебором ключей;

    - невозможна:
    -- если шифровальщик закончил работу, и остался только зашифрованный файл с ключом;
    -- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.

    P.S. Пока писалась статья, Kaspersky Internet Security успел обновить базы и компоненты шифровальщика стали детектироваться как Trojan-Ransom.Win32.Agent.iby
    Последний раз редактировалось thyrex; 01.05.2014 в 11:29.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  2. thyrex получил(а) 4 благодарностей за это сообщение от


  3. Реклама
     

  4. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,624
    Вес репутации
    2917
    Первый пост приобрел окончательный вид после глобального исследования
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,624
    Вес репутации
    2917
    Расшифровка добавлена в RakhniDecryptor 1.5.5.0: http://support.kaspersky.ru/10556

    Примечания:
    - В случае шифровальщика “_crypt” подбор пароля может осуществляться вплоть до нескольких месяцев в силу специфики алгоритма зловреда.

    - Чтобы ускорить получение пароля, можно запускать перебор разных диапазонов ключей с помощью параметров командной строки -start, -end на нескольких машинах.
    Подробнее о параметрах командной строки можно узнать по ссылке: http://support.kaspersky.ru/viruses/...n/10556#block2

    - Попадаются файлы, зашифрованные этим зловредом более одного раза.
    Допустим, файл «тест.doc_crypt» был зашифрован 2 раза. Тогда первый слой утилита расшифрует в «тест.1.doc.layerDecryptedKLR». В логе будет сообщение «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR».
    Этот файл нужно подать утилите для подбора пароля второго слоя. В случае успеха она расшифрует оригинальный файл и сохранит в «тест.doc».
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. thyrex получил(а) 2 благодарностей за это сообщение от


Похожие темы

  1. Новая версия AUTORUN ?
    От OlegKite в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 25.10.2009, 08:31
  2. Новая версия вымогателя.
    От Jook в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 17.08.2009, 16:17
  3. Opera 9.27 - новая версия
    От SDA в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 03.04.2008, 14:21
  4. Новая версия Mytob (?)
    От Korum в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 18.04.2006, 15:46
  5. Вышла новая версия NOD 32.
    От kvit в разделе Антивирусы
    Ответов: 5
    Последнее сообщение: 23.06.2005, 13:35

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01554 seconds with 18 queries