воскресенье, 15 ноября 2015 г.

Troldesh, Shade

Troldesh Ransomware

Shade Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (CBC-режим), затем требует отправить на email вымогателя код из записки о выкупе, чтобы получить дальнейшие инструкции. В ответном письме сообщается сумма выкупа в сотнях долларов. Ориентирован на русскоязычных пользователей и их адресатов из других стран (Россия, Украина, Германия, Турция и пр.). Другие названия: Shade, XTBL, Trojan.Encoder.858

  Обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы. Это bmp-изображение может размещаться в директории %APPDATA%\Roaming, например, так C:\Users\User\AppData\Roaming\0ED528EB0ED528EB.bmp

 Когда этот вредонос выполняется, он создает следующие файлы:
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp

Затем создает следующую запись в реестре, чтобы выполняться при каждом запуске Windows,:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Client Server Runtime Subsystem" = "%Windir%\csrss.exe"

Затем соединяется со следующими удаленными адресами, чтобы загрузить и выполнить другие вредоносные файлы: 
gxyvmhc55s4fss2q.onion/reg***
gxyvmhc55s4fss2q.onion/prog***
gxyvmhc55s4fss2q.onion/err***
gxyvmhc55s4fss2q.onion/cmd***
gxyvmhc55s4fss2q.onion/sys***

Для каждого зашифрованного файла генерируется два случайных 256-битных ключа AES: один для шифрования содержимого файла, второй для шифрования имени файла. Эти ключи помещаются в служебную структуру key_data, которая шифруется выбранным ключом RSA и помещается в конец кодируемого файла. Подробнее >>>

 Troldesh зашифровывает пользовательские файлы, меняет их набором из случайных символом, а расширение на .xbtl или .cbtl, изменяет записи в реестре системы для автозапуска при включении компьютера. На рабочем столе и в каждой папке с зашифрованными файлами Troldesh разбрасывает до 10 файлов с вымогательским текстом: README.txt

После шифрования удаляются все теневые копии файлов на всех дисках.

  Распространяется через email-спам и вредоносные вложения (фейк-PDF-файл), фишинг-письма со ссылками на заражённые набором эксплойтов Axpergle или Neclu (Nuclear) сайты. Поставщиками шифровальщика могут выступать ботнеты, в частности Kelihos (Waledac) осенью 2016. Нередки случаи установки другого вредоносного ПО: Pony, Teamspy RAT, банковских троянов и других. 

Зараженный сайт способствует запуску вредоносного кода на ПК, а эксплуатируемая уязвимость способствует инфицированию системы шифровальщиком Troldesh. Попав на компьютер создает в системе файлы %APPDATA%\windows\csrss.exe (копия вредоноса) и %TEMP%\state.tmp (временный файл для шифрования).

  Фишинг-письма и email-спам могут иметь следующие заголовки (темы письма): Жалоба, Уведомление, Сообщение из банка (суда, налоговой, от кредиторов), Задолженность, Уголовное производство, Счет-фактура, Доставка, Посылка, Предложение любого типа и пр... Это далеко не весь список. 


   Ни в коем случае не загружайте их, не открывайте вложение, не переходите по ссылкам в письме, каким бы особенно важным не казалось содержимое письма!!!

Список файловых расширений, подвергающихся шифрованию:  
.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx, .avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf, .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp, .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda, .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef, .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm, .pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl, .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .srw, .ssi, .st, .stm, .svg, .svgz, .swf, .tab, .tar, .tbb, .tbi, .tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wav, .wb2, .wbm, .wbmp, .wim, .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, .zip (342 расширения). 

Email, использованные вымогателями в предыдущее время:
decode00001@gmail.com
decode00002@gmail.com
...
decode77777@gmail.com
...
decode99999@gmail.com
files000001@gmail.com
...
files640@gmail.com
...
files08880@gmailcom
files08881@gmailcom


Файлы и ключи реестра, связанные в этим Ransomware:
%All Users%\Application Data\Windows\csrss.exe
%All Users%\Application Data\Windows\csrss.exe
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
C:\ProgramData\Windows\csrss.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp
См. также ниже результаты анализов в обновлениях. 

Сетевые подключения и связи:
См. ниже гибридный анализ в обновлениях. 

Степень распространённости: очень высокая и перспективно высокая.
Подробные сведения собираются регулярно.





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Дополнение №1, декабрь 2015:
Email: files000001@gmail.com
Расширения: .breaking_bad и .heisenberg
Время использования: сентябрь - декабрь 2015, январь 2016

Дополнение №2, март 2016:
Email: decode99999@gmail.com, decode77777@gmail.com, files640@gmail.com
Расширение: .better_call_saul
Время использования: январь 2016 - март 2016

Дополнение №3, июнь 2016
Email: Ryabinina.Lina@gmail.com
Расширение: .windows10
См. отдельное описание Windows10 Ransomware


Обновление от 25 мая 2016:
Записка: README.txt и с цифрами
Email: VladimirScherbinin1991@gmail.com
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
<< Скриншот записки





Обновление от 14 июля 2016:
Новые расширения: .da_vinci_code и .magic_software_syndicate
Email: Lukyan.Sazonov26@gmail.com
Записки о выкупе получили ссылки на Tor-сайт (ранее был email-адрес);
Имеется □-ошибка в тексте с требованиями выкупа на изображении обоев;
Теперь вредонос доставляется на ПК жертв с помощью трояна Mexar.
Подробнее: в блоге Technet Microsoft, в статье Threat Encyclopedia.


Обновление от 24 ноября 2016:
Файлы: csrss.exe, <random_name>.exe
Записка: README.txt и с цифрами
Новое расширение: .no_more_ransom
Email: vladimirscherbinin1991@gmail.com
Результаты анализов:  VTHA, RE
Образец от 17.02.17 на VT






***************************
Обновление от 14 апреля 2017:
Пост в Твиттере >>
Файл: <random>.exe и др. 
Фальш-имя: Microsoft Office Outlook
Фальш-копирайт: Microsoft Corporation
Записки: README1.txt, README1.txt ... README10.txt
Расширение: .dexter
Шаблон зашифрованных файлов: <base64>.<id>.dexter
Примеры зашифрованных файлов:
vwX3Xh9UAXWRwRX8ZgUll-IjflDCC6Bs087177GtWeo=.0123456789ABCDEF0123.dexter
WxJbT7+shAWVwbQ2aYvfwhZ2rNGqMrNcDuGZ7hSFxP8=.0123456789ABCDEF0123.dexter
yE8U-ykICrqPLXu5TgP0vPbScejpC8VFDLumlldsqMg=.0123456789ABCDEF0123.dexter
Email: Ryabinina.Lina@gmail.com
URL: cryptsen7fo43rr6.onion.to , cryptsen7fo43rr6.onion.cab
Результаты анализов: VT
Скриншот записки и обоев рабочего стола:
 
***************************
Обновление от 1 и 5 мая 2017:
Пост в Твиттере >>
Записки о выкупе: README1.txt, README1.txt ... README10.txt 
Email: Novikov.Vavila@gmail.com
VladimirScherbinin1991@gmail.com
<< Пример записки
Файлы: csrss.exe, TPVCGateway.exe, <random>.exe
Версия файла:  8,6,239,2
Фальш-имя: TPVCGateway (ThinPrint Virtual Channel Gateway)
Фальш-копирайт: Cortado AG
Расширение: .crypted000007
<< Пример зашифрованных файлов


<< Пример вложения email 
Сетевые связи: 
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
xxxx://whatsmyip.net/
xxxx://whatismyipaddress.com/
whatismyipaddress.com/ip/
whatsmyip.net
128.31.0.39:9101 - США
86.59.21.38:443 - Австрия
5.148.175.35:9001 - Швейцария
62.210.90.164:9001 - Франция
37.200.98.5:443 - Германия
163.172.133.54:443 - Великобритания
163.172.165.6:9001 - Великобритания
217.12.210.95:9001 - Украина
141.138.200.249:80 - Нидерланды

Результаты анализов: HA+VT
Скриншоты рабочего стола:

Скриншот страницы Tor-сайта вымогателей:
Содержание текста с Tor-сайта:
Вы можете отправить сообщение через форму обратной связи:
You can send the message using the following feedback form:
Ваш e-mail / Your e-mail: 
Мой код из Readme.txt (вида 0011223344556677AAFF|0):
My code from Readme.txt (it looks like 0011223344556677AAFF|0):
Я потерял все Readme.txt либо не смог найти ни одного
I lost all my Readme.txt files or did not find any of them
Текст сообщения / The text of the message:
Пожалуйста, введите текст с картинки:
Please enter the text from the image:
Отправить / Send
Информация: на данный момент используется алгоритм шифрования RSA-3072. Он является одним из самых криптостойких методов, и данные, зашифрованные им, не могут быть расшифрованы без приватного ключа. Подробнее...
Information: the current encryption algorithm is RSA-3072. It is one of the most cryptographically strong methods and the data encrypted by it can not be decrypted without the private key. More... 
***************************

Обновление от 10 мая 2017:
Пост в Твиттере >>
Файл: fan.EXE и другие
Email: selenadymond@gmail.com
Расширения: .crypted000007, .crypted000078
Результаты анализов: VT
Видео-обзор от GrujaRS CyberSecurity >>


Обновление 15 мая 2017:
Примеры вложений: (якобы обновления от Microsoft)
Update_MS17_010.zip
Security_Update_MS17_010.js


Обновление от 23 ноября 2017:
Вредоносная кампания продолжается!!!
Пост в Твиттере >> Спасибо GrujaRS! 
Примеры вложений: invoice_3098_2017_11.exe
Расширение .crypted000007
Email: gervasiy.menyaev@gmail.com
Записки: README1.txt - README10.txt
Скриншот записки >>
Текст на английском из записки: 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
70ECF9E62CDD108XXXX|0
to e-mail address gervasiy.menyaev@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
xxxxs://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
xxxx://cryptsenXXXXXXX.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
xxxx://cryptsenXXXXXXX.onion.to/
xxxx://cryptsenXXXXXXX.onion.cab/

Расположения:
  \AppData\Roaming\9F4BB42E9F4BB42E.bmp
  \Desktop\README1.txt - README10.txt

  \Temp\<random>.exe
---


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для двух ранних версий есть декриптор (дешифровщик)!
Скачать декриптор для Troldesh (Shade) можно по ссылкам
Поддерживаются только расширения: 
.xtbl, .ytbl, .breaking_bad, .heisenberg
Версии: English / Russian
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Troldesh / Shade)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 Karsten Hahn
 Alex Svirid, CyberSecurity GrujaRS и другие

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton