thyrex
20.08.2012, 21:43
В первой половине августа начал свою «деятельность» новый шифровальщик, использующий для шифрования файлов алгоритм AES. Шифрует все файлы на жестком диске со следующими расширениями (59 типов)
.txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx,
.xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo,
.djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr,
.frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx,
.dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf,
.xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl
По окончании шифрования выводит на экран картинку с сообщением
Ваш идентификационный номер: ***
Ваш IP адрес: ************
Протокол 1637/04 системы контроля НРНП МВД РФ
Автоматизированная система по надзору за распространением нелегального программного обеспечения Министерства Внутренних Дел Российской Федерации
Ваш компьютер заблокирован!
На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов:
Загрузка и сохранение аудио материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев.
На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав».
Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок.
По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по вашему делу.
В письме будет указан код разблокировки.
Для оплаты штрафа следуйте инструкциям ниже:
Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу [email protected]. Для регистрации и разблокировки вашей системы в письме необходимо указать: Идентификационый номер и IP адрес.
Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп.
Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать»
ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности
и т.д.
Механизм работы (возможны неточности):
1. После запуска создает mutex с именем SYSTEMMVDRF для предотвращения запуска нескольких копий
2. Окно программы скрывается до момента окончания шифрования
3. В реестр записывается ключ автозапуска вируса при старте системы, сам файл сохраняется в папку Application Data (Windows XP) или AppData\Roaming (для систем выше XP) учетной записи пользователя, под которым происходило шифрование
4. Проверяется наличие параметров id и IP в реестре + наличие файла с ключом шифрования
- если это первый запуск (данных, естественно, еще нет), идет обращение к серверу, откуда приходит ключ шифрования (ключ шифруется и сохраняется на диск в папку с вирусом), а также id и IP, которые нужно указать при обращение за ключом. Шифрование начинается. Оригинальные файлы удаляются* В каждую папку с зашифрованными файлами дополнительно сбрасывается файл WARNING.txt, дублирующий сообщение о шифровании
- если это не первый запуск, программа продолжает шифрование.
5. По окончании шифрования файл с ключом (похоже на то) стирается, а пользователя «радует» сообщение вымогателя
6. После оплаты и нажатия кнопки Разблокировать, проверяется валидность ключа: при шифровании в папке с вирусом создается файл с текстом
Спасибо!, который попутно шифруется с остальными файлами, а при нажатии кнопки Разблокировать происходит его дешифровка и сравнение
* При удалении файлов (будь то оригинальные файлы, временные файлы или зашифрованные) вирус трижды перезаписывает их мусорным кодом и только после этого удаляет
Шифровальщик детектируется Лабораторией Касперского как Trojan-Ransom.Win32.Elcore.a
P.S. В процессе анализа случайно запустил тело у себя, также случайно обнаружил и вовремя остановил. Да, кстати, механизм самозащиты у вируса оказался хилым, и он дал мне открыть диспетчер задач и снять процесс
.txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx,
.xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo,
.djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr,
.frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx,
.dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf,
.xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl
По окончании шифрования выводит на экран картинку с сообщением
Ваш идентификационный номер: ***
Ваш IP адрес: ************
Протокол 1637/04 системы контроля НРНП МВД РФ
Автоматизированная система по надзору за распространением нелегального программного обеспечения Министерства Внутренних Дел Российской Федерации
Ваш компьютер заблокирован!
На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов:
Загрузка и сохранение аудио материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев.
На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав».
Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок.
По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по вашему делу.
В письме будет указан код разблокировки.
Для оплаты штрафа следуйте инструкциям ниже:
Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу [email protected]. Для регистрации и разблокировки вашей системы в письме необходимо указать: Идентификационый номер и IP адрес.
Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп.
Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать»
ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности
и т.д.
Механизм работы (возможны неточности):
1. После запуска создает mutex с именем SYSTEMMVDRF для предотвращения запуска нескольких копий
2. Окно программы скрывается до момента окончания шифрования
3. В реестр записывается ключ автозапуска вируса при старте системы, сам файл сохраняется в папку Application Data (Windows XP) или AppData\Roaming (для систем выше XP) учетной записи пользователя, под которым происходило шифрование
4. Проверяется наличие параметров id и IP в реестре + наличие файла с ключом шифрования
- если это первый запуск (данных, естественно, еще нет), идет обращение к серверу, откуда приходит ключ шифрования (ключ шифруется и сохраняется на диск в папку с вирусом), а также id и IP, которые нужно указать при обращение за ключом. Шифрование начинается. Оригинальные файлы удаляются* В каждую папку с зашифрованными файлами дополнительно сбрасывается файл WARNING.txt, дублирующий сообщение о шифровании
- если это не первый запуск, программа продолжает шифрование.
5. По окончании шифрования файл с ключом (похоже на то) стирается, а пользователя «радует» сообщение вымогателя
6. После оплаты и нажатия кнопки Разблокировать, проверяется валидность ключа: при шифровании в папке с вирусом создается файл с текстом
Спасибо!, который попутно шифруется с остальными файлами, а при нажатии кнопки Разблокировать происходит его дешифровка и сравнение
* При удалении файлов (будь то оригинальные файлы, временные файлы или зашифрованные) вирус трижды перезаписывает их мусорным кодом и только после этого удаляет
Шифровальщик детектируется Лабораторией Касперского как Trojan-Ransom.Win32.Elcore.a
P.S. В процессе анализа случайно запустил тело у себя, также случайно обнаружил и вовремя остановил. Да, кстати, механизм самозащиты у вируса оказался хилым, и он дал мне открыть диспетчер задач и снять процесс