Zepto Ransomware
Locky-Zepto Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы.
This Locky's logo was developed on this site ID-Ransomware.RU
© Генеалогия: Locky > Locky-Zepto
Zepto называется приемником крипто-вымогателя Locky, но отличается от него по ряду признаков. По факту это новая итерация Locky.
К зашифрованным файлам добавляется расширение .zepto
Zepto в отличие от первоначального Locky использует совсем другой шаблон для названия записки о выкупе:
_ ([0-9] {1,4}) _ HELP_instructions, где диапазон [0-9] означает цифры от 0 до 9, а {1,4} - количество цифр от одной до четырех.
Примеры: _37_HELP_INSTRUCTIONS.txt и _6789_HELP_INSTRUCTIONS.txt.
С использованием расширения .zepto зашифрованные и переименованные файлы будут иметь "шестиэтажное" название и называться примерно так: 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto
Разложим на составляющие названия файл 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto
024BCD33 — первые восемь 16-ричных символов от ID 024BCD3341D1ACD3
41D1 — другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
ACD3 — другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
3EEA — четыре 16-ричных символов, входящих в переименованное название файла
84083E322DFA — двенадцать 16-ричных символов, входящих в переименованное название.
Шаблон можно записать так:
[first_8_hex_chars_of_id]-[next_4_hex_chars_of_id]-[next_4_hex_chars_of_id]-[4_hex_chars]-[12_hex_chars].zepto
Zepto Ransomware на первый взгляд действительно имеет много общего с известным шифровальщиком Locky, потому некоторые исследователи сначала посчитали его новой версией Locky, не изучив подробно саму вредоносную компанию. Образцы Zepto впервые были получены в прошлом месяце, но резкий рост числа спам-писем с вложением, содержащим Zepto, пришелся на 27-29 июня. Это спам-кампания продолжает развитие.
Распространяется Locky-Zepto посредством фишинговых писем с вредоносным вложением, упакованным в zip-архив. Эти письма содержат JS-вложение с различными названиями типа swift[XXXX].js, где вместо X-ов - комбинация из 3-4 букв и цифр. В качестве отправителя писем указан "генеральный директор", "вице-президент по продажам" и прочие высокие должностные лица. Название вложенного zip-файла создается путем объединения типа документа с именем получателя и случайным числом. Например, pdf_copy-peter_461365.zip. Кроме того, во вложении может быть и незаархивированный DOCM-документ, т.е. WORD-документ с поддержкой макросов. Эти документы не всегда содержат какой-то текст и могут оказаться совершенно пустыми, а включенный макрос сработает на загрузку вредоноса.
С конца июля 2016 г. Locky-Zepto стал распространяться с помощью WSF-файлов, помещенных в архив, прикрепленный к email-сообщениям. WSF-файл может содержать как Jscript, так и VBScript код. Письма имитируют банковскую отчетность, счета-фактуры или сообщения о доставке.
Пример запуска Locky-Zepto Ransomware в песочнице. См. видеоролик.
Текстовая запиcка о выкупе называется _HELP_instructions.html Графическая _HELP_instructions.bmp встает обоями рабочего стола с тем же текстом.
Содержание записки:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://mphtadhci5mrdlju.tor2web.org/5E950263BC5AAB7E
2. http://mphtadhci5mrdlju.onion.to/5E950263BC5AAB7E
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: mphtadhci5mrdlju.onion/5E950263BC5AAB7E
4. Follow the instructions on the site.
!!! Your personal identification ID: 5E950263BC5AAB7E !!!
Перевод на русский:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Подробную информацию о RSA и AES можно найти здесь:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Дешифровать файлы можно только с закрытым ключом и декриптером, которые на нашем секретном сервере.
Для получения закрытого ключа идите по одной из ссылок:
1. http://mphhtadhci5mrdlju.tor2web.org/5E950263BC5AAB7E
2. http://mphtadhci5mrdlju.onion.to/5E950263BC5AAB7E
Если эти адреса недоступны, выполните следующие шаги:
1. Скачайте и установите Tor Browser: https://www.torproject.org/download/download-easy.html
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: mphtadhci5mrdlju.onion/5E950263BC5AAB7E
4. Следуйте инструкциям на сайте.
!!! Ваш персональный ID: 5E950263BC5AAB7E !!!
Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (142 расширения)
Степень распространенности: высокая и перспективно высокая.
Подробные сведения собираются.
