thyrex
30.04.2014, 21:36
А нас посетил очередной шифровальщик, точнее новая разновидность некоего BitCrypt (или что-то на основе его исходников)
Примеры тем
http://virusinfo.info/showthread.php?t=158940
http://forum.kaspersky.com/index.php?showtopic=294917
Механизм распространения: вложение (дроппер) к электронному письму
Известные имена дроппера
Исковое заявление подано в суд.exe – самораспаковывающийся rar-архив
Исковое заявление PDF.cmd - просто переименованный самораспаковывающийся архив
Шифруемые файлы (на всех логических дисках)
.php, .jpg, .jpeg, .doc*, .txt, .pdf, .tif, .dbf, .eps, .psd, .log, .rar, .cdr, .zip, .psb, .csv, .tst, .mrh, .dbk, .aac, .h, .td, .mdb, .mp4, .raw, .dxb, .xml, .mov, .vob, .xls*, .dwg, .cpp, .dt, .cf, .epf, .erf, .grs, .geo, .vrp, .yml, .mdf, .1cd, .tar, .cdx, .sql, .odt,, .odb, .wps, .pst, .rtf
После запуска в папке c:\tmp появляется все необходимое для шифрования
Для шифрования используется вполне легальная программа AEScrypt (www.aescrypt.com) (консольная версия)
После шифрования файлы получают дополнительное расширение _crypt
В каждой папке создается файл с именем !!!Фaйлы зaшифpoвaнны!!!.txt следующего содержания
Все файлы вашего компьютера зашифрованы: документы, изображения.
Расшифровать файлы, без специальной программы, невозможно. Не удаляйте файлы
с расширением _crypt со своего компьютера. Это ваши данные в зашифрованном
виде. Если Вы удалите файлы, то мы не сможем Вам помочь.
Если Вы заинтересованны в восстановлении данных - отправьте один
зашифрованный файл нам на почту, мы его расшифруем и пришлем Вам обратно.
В письме мы расскажем, как восстановить все остальные данные. Стоимость
программы для расшифровки файлов 10 000 рублей. Не присылайте файлы для
расшифровки размером больше 6 мегабайт.
Почта для связи: [email protected]
Обратный ответ придет в течение 1-24 часов.
Если Вам не приходит ответ долгое время, возможно, наш ответ мог попасть в
папку СПАМ Вашего почтового ящика. Посмотрите там.
Если наша почта не отвечает, возможно, наш почтовый ящик перестал работать.
Мы предусмотрели второй способ связи.
1) Зайдите на сайт www.bitmsg.me
2) Зарегистрируйтесь ( нажмите get started today), затем введите Ваш логин,
e-mail и пароль (пароль вводится два раза для подтверждения правильности
ввода).
3) На Ваш почтовый ящик, указанный при регистрации, будет отправлена ссылка
для подтверждение регистрации.
4) Пройдите по ссылке. Далее, Вам потребуется создать адрес для переписки -
нажмите кнопку Create random address. Все, вы можете отправить нам сообшение.
Отправить новое сообщение - нажмите кнопку New Message. В разделе to (кому)
укажите наш контактный адрес: BM-2cUtQMSeDVKKF19ypoZqSj9TUPAZ2QvDW3
Укажите тему сообщения и пишите сообщение. Потом нажимаете кнопку Send Message
(послать сообщение). Когда Вам придет ответ - его можно прочитать, нажав сверху
кнопку Inbox и нажав на тему сообшения. Ответ придет в течение 1-24 часов.
Перед оплатой просите, чтобы Вам расшифровали один файл бесплатно, это подтверждает, что
вы разговариваете с владельцем ключа шифрования. Никто в мире больше не сможет
расшифровать Ваши данные.
Самый последний вариант для связи (если другие варианты не работают): регистрируетесь
в твиттере (www.twitter.com) и пишите (твит) - он все зашифровал, гад. и ваш email.
Мы с Вами свяжемся сами
Особенности:
1. Оригинальные файлы не удаляются, но имеют нулевой размер.
2. Для каждого такого файла создается дополнительный bat-файл, который должен удалять их и себя
После запуска дроппера, извлечения компонентов стартует zap.exe. Он в свою очередь запускает zap.bat
@echo off
start "" "hello.exe"
IF EXIST wind.crp goto next
ECHO kisa>wind.crp
start "" "attrib.exe"
start "" "moar.exe"
:nextи должен был открывать некий файл 1.pdf (которого нет в архиве)
На экран выводится сообщение якобы об ошибке Adobe Reader
Ошибка в файле или файл испорченЭто развод (инициатор - файл hello.exe) или специально запрограммированная реакция на отсутствие 1.pdf
Для недопущения запуска второй копии шифровальщика выполняется проверка наличия файла wind.crp. Если его нет, файл kisa копируется в wind.crp.
Запускается файл attrib.exe (он будет висеть в памяти как минимум до конца шифрования), который создает файл "!" и ждет, пока не появится на диске файл c:\tmp\Systems.lug
После этого устанавливается атрибут NORMAL у файла c:\tmp\kiskis, файл трижды перезатирается и усекается до нулевого размера, после чего удаляется.
Открывается файл c:\tmp\kisa, в который дописывается Ki10 и содержимое файла rsa.000 (таким образом в конец каждого зашифрованного файла помещается зашифрованный ключ для дешифровки). Файл c:\tmp\Systems.lug удаляется
Основную работу выполняет файл moar.exe
1. Запускается файл windrv.bat
PING -n 75 -w 1000 127.0.0.1 > nulТак хитро похоже реализована задержка на 75 сек
2. Проверяется наличие файла с именем "!". Если его нет, программа завершает работу
3. Создается файл public.txt следующего содержания
public mod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
public key=10B00146C80FAB6AC02F09FD6E5725CF009AEAF1EF4C4E 0CAAC821B3B9970767D283045E268EF6536BEE4D1B8428605A F90F77D4FD1F18175637D4E6164A948A52E0B73D73B9069A39 500B203CC05350C83CCFFE8E558340716089EAC2A7F0A5077E 75D7D92B82FD00431954DDBA8C9DA9D90FEF9.8A0B59B8BE5C 51C9DC76A75
4. Генерируется случайным образом 64-байтный ключ для шифрования и записывается в файл pwin.aes
Внимание!!! Пока идет процесс шифрования этот ключ хранится и в памяти компьютера
5. Создается и запускается файл a.bat
bmrsa.exe -mkh -mit -moh -pu -f public.txt <pwin.aes> rsa.000
При этом содержимое файла pwin.aes шифруется по алгоритму RSA с использованием ключей из файла public.txt и сохраняется в файл rsa.000
6. Файлы pwin.rsa (если он есть, скорее всего от какой-то из более ранних версий шифровальщика осталось), pwin.aes, public.txt, a.bat, bmrsa.exe затираются нулями, усекаются до нулевого размера (первые три файла - троекратно затираются и усекаются) и удаляются.
7. Выполняется поиск и шифрование подходящих по типу файлов.
При этом:
- в каждой папке с зашифрованными файлами создатся файл с сообщением вымогателя
- происходит запуск
aescrypt.exe -e -p ключ_в_памяти -o c:\tmp\kisa c:\tmp\kiskis, где c:\tmp\kisa - новое имя зашифрованного файла (какую роль здесь играет c:\tmp\kiskis - пока непонятно)
- оригинальный файл копируется в c:\tmp\kiskis, после чего трижды перезатирается, затирается до нулевого размера
- для каждого шифруемого файла создается bat-файл вида
CHCP 1251
del имя_оригинального_файла
del имя_оригинального_файла.bat , который запускается на выполнение. К слову, файл не выполняется, даже при ручном запуске
- запускается файл xxx.bat
@Echo off > Systems.lug
exit
- файл c:\tmp\kisa переносится в файл оригинальное_имя_файла._crypted
8. Файл aescrypt.exe удаляется
9. Создается и запускается файл nott.exe. Он создает на Рабочем столе в папке T сообщение вымогателя и открывает его в Блокноте
10. Создается файл red.bat
PING -n 75 -w 1000 127.0.0.1 > nul
@echo off
echo Start %time%
echo kisa>moar.exe
del moar.exe
del red.bat
10. Область памяти, где хранился ключ, перезаписывается строкой
bmrsa.exe -mkh -mit -moh -pu -f public.txt <pwin.aes> rsa.000
11. Запускается файл red.bat
Оценка возможности дешифровки:
- возможна:
-- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс шифрования, выдрать из памяти программы ключ;
-- если антивирусные компании ЗАХОТЯТ заниматься простым перебором ключей;
- невозможна:
-- если шифровальщик закончил работу, и остался только зашифрованный файл с ключом;
-- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.
P.S. Пока писалась статья, Kaspersky Internet Security успел обновить базы и компоненты шифровальщика стали детектироваться как Trojan-Ransom.Win32.Agent.iby
Примеры тем
http://virusinfo.info/showthread.php?t=158940
http://forum.kaspersky.com/index.php?showtopic=294917
Механизм распространения: вложение (дроппер) к электронному письму
Известные имена дроппера
Исковое заявление подано в суд.exe – самораспаковывающийся rar-архив
Исковое заявление PDF.cmd - просто переименованный самораспаковывающийся архив
Шифруемые файлы (на всех логических дисках)
.php, .jpg, .jpeg, .doc*, .txt, .pdf, .tif, .dbf, .eps, .psd, .log, .rar, .cdr, .zip, .psb, .csv, .tst, .mrh, .dbk, .aac, .h, .td, .mdb, .mp4, .raw, .dxb, .xml, .mov, .vob, .xls*, .dwg, .cpp, .dt, .cf, .epf, .erf, .grs, .geo, .vrp, .yml, .mdf, .1cd, .tar, .cdx, .sql, .odt,, .odb, .wps, .pst, .rtf
После запуска в папке c:\tmp появляется все необходимое для шифрования
Для шифрования используется вполне легальная программа AEScrypt (www.aescrypt.com) (консольная версия)
После шифрования файлы получают дополнительное расширение _crypt
В каждой папке создается файл с именем !!!Фaйлы зaшифpoвaнны!!!.txt следующего содержания
Все файлы вашего компьютера зашифрованы: документы, изображения.
Расшифровать файлы, без специальной программы, невозможно. Не удаляйте файлы
с расширением _crypt со своего компьютера. Это ваши данные в зашифрованном
виде. Если Вы удалите файлы, то мы не сможем Вам помочь.
Если Вы заинтересованны в восстановлении данных - отправьте один
зашифрованный файл нам на почту, мы его расшифруем и пришлем Вам обратно.
В письме мы расскажем, как восстановить все остальные данные. Стоимость
программы для расшифровки файлов 10 000 рублей. Не присылайте файлы для
расшифровки размером больше 6 мегабайт.
Почта для связи: [email protected]
Обратный ответ придет в течение 1-24 часов.
Если Вам не приходит ответ долгое время, возможно, наш ответ мог попасть в
папку СПАМ Вашего почтового ящика. Посмотрите там.
Если наша почта не отвечает, возможно, наш почтовый ящик перестал работать.
Мы предусмотрели второй способ связи.
1) Зайдите на сайт www.bitmsg.me
2) Зарегистрируйтесь ( нажмите get started today), затем введите Ваш логин,
e-mail и пароль (пароль вводится два раза для подтверждения правильности
ввода).
3) На Ваш почтовый ящик, указанный при регистрации, будет отправлена ссылка
для подтверждение регистрации.
4) Пройдите по ссылке. Далее, Вам потребуется создать адрес для переписки -
нажмите кнопку Create random address. Все, вы можете отправить нам сообшение.
Отправить новое сообщение - нажмите кнопку New Message. В разделе to (кому)
укажите наш контактный адрес: BM-2cUtQMSeDVKKF19ypoZqSj9TUPAZ2QvDW3
Укажите тему сообщения и пишите сообщение. Потом нажимаете кнопку Send Message
(послать сообщение). Когда Вам придет ответ - его можно прочитать, нажав сверху
кнопку Inbox и нажав на тему сообшения. Ответ придет в течение 1-24 часов.
Перед оплатой просите, чтобы Вам расшифровали один файл бесплатно, это подтверждает, что
вы разговариваете с владельцем ключа шифрования. Никто в мире больше не сможет
расшифровать Ваши данные.
Самый последний вариант для связи (если другие варианты не работают): регистрируетесь
в твиттере (www.twitter.com) и пишите (твит) - он все зашифровал, гад. и ваш email.
Мы с Вами свяжемся сами
Особенности:
1. Оригинальные файлы не удаляются, но имеют нулевой размер.
2. Для каждого такого файла создается дополнительный bat-файл, который должен удалять их и себя
После запуска дроппера, извлечения компонентов стартует zap.exe. Он в свою очередь запускает zap.bat
@echo off
start "" "hello.exe"
IF EXIST wind.crp goto next
ECHO kisa>wind.crp
start "" "attrib.exe"
start "" "moar.exe"
:nextи должен был открывать некий файл 1.pdf (которого нет в архиве)
На экран выводится сообщение якобы об ошибке Adobe Reader
Ошибка в файле или файл испорченЭто развод (инициатор - файл hello.exe) или специально запрограммированная реакция на отсутствие 1.pdf
Для недопущения запуска второй копии шифровальщика выполняется проверка наличия файла wind.crp. Если его нет, файл kisa копируется в wind.crp.
Запускается файл attrib.exe (он будет висеть в памяти как минимум до конца шифрования), который создает файл "!" и ждет, пока не появится на диске файл c:\tmp\Systems.lug
После этого устанавливается атрибут NORMAL у файла c:\tmp\kiskis, файл трижды перезатирается и усекается до нулевого размера, после чего удаляется.
Открывается файл c:\tmp\kisa, в который дописывается Ki10 и содержимое файла rsa.000 (таким образом в конец каждого зашифрованного файла помещается зашифрованный ключ для дешифровки). Файл c:\tmp\Systems.lug удаляется
Основную работу выполняет файл moar.exe
1. Запускается файл windrv.bat
PING -n 75 -w 1000 127.0.0.1 > nulТак хитро похоже реализована задержка на 75 сек
2. Проверяется наличие файла с именем "!". Если его нет, программа завершает работу
3. Создается файл public.txt следующего содержания
public mod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
public key=10B00146C80FAB6AC02F09FD6E5725CF009AEAF1EF4C4E 0CAAC821B3B9970767D283045E268EF6536BEE4D1B8428605A F90F77D4FD1F18175637D4E6164A948A52E0B73D73B9069A39 500B203CC05350C83CCFFE8E558340716089EAC2A7F0A5077E 75D7D92B82FD00431954DDBA8C9DA9D90FEF9.8A0B59B8BE5C 51C9DC76A75
4. Генерируется случайным образом 64-байтный ключ для шифрования и записывается в файл pwin.aes
Внимание!!! Пока идет процесс шифрования этот ключ хранится и в памяти компьютера
5. Создается и запускается файл a.bat
bmrsa.exe -mkh -mit -moh -pu -f public.txt <pwin.aes> rsa.000
При этом содержимое файла pwin.aes шифруется по алгоритму RSA с использованием ключей из файла public.txt и сохраняется в файл rsa.000
6. Файлы pwin.rsa (если он есть, скорее всего от какой-то из более ранних версий шифровальщика осталось), pwin.aes, public.txt, a.bat, bmrsa.exe затираются нулями, усекаются до нулевого размера (первые три файла - троекратно затираются и усекаются) и удаляются.
7. Выполняется поиск и шифрование подходящих по типу файлов.
При этом:
- в каждой папке с зашифрованными файлами создатся файл с сообщением вымогателя
- происходит запуск
aescrypt.exe -e -p ключ_в_памяти -o c:\tmp\kisa c:\tmp\kiskis, где c:\tmp\kisa - новое имя зашифрованного файла (какую роль здесь играет c:\tmp\kiskis - пока непонятно)
- оригинальный файл копируется в c:\tmp\kiskis, после чего трижды перезатирается, затирается до нулевого размера
- для каждого шифруемого файла создается bat-файл вида
CHCP 1251
del имя_оригинального_файла
del имя_оригинального_файла.bat , который запускается на выполнение. К слову, файл не выполняется, даже при ручном запуске
- запускается файл xxx.bat
@Echo off > Systems.lug
exit
- файл c:\tmp\kisa переносится в файл оригинальное_имя_файла._crypted
8. Файл aescrypt.exe удаляется
9. Создается и запускается файл nott.exe. Он создает на Рабочем столе в папке T сообщение вымогателя и открывает его в Блокноте
10. Создается файл red.bat
PING -n 75 -w 1000 127.0.0.1 > nul
@echo off
echo Start %time%
echo kisa>moar.exe
del moar.exe
del red.bat
10. Область памяти, где хранился ключ, перезаписывается строкой
bmrsa.exe -mkh -mit -moh -pu -f public.txt <pwin.aes> rsa.000
11. Запускается файл red.bat
Оценка возможности дешифровки:
- возможна:
-- ОПЫТНЫМ ПОЛЬЗОВАТЕЛЕМ (понимающим в программировании, владеющим навыками работы с программой WinHex, PE Tools), если вовремя заметить процесс шифрования, выдрать из памяти программы ключ;
-- если антивирусные компании ЗАХОТЯТ заниматься простым перебором ключей;
- невозможна:
-- если шифровальщик закончил работу, и остался только зашифрованный файл с ключом;
-- антивирусные компании НЕ СТАНУТ ЗАМОРАЧИВАТЬСЯ с перебором ключей.
P.S. Пока писалась статья, Kaspersky Internet Security успел обновить базы и компоненты шифровальщика стали детектироваться как Trojan-Ransom.Win32.Agent.iby