Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 7 августа 2016 г.

Hitler

Hitler Ransomware

(фейк-шифровальщик, шифровальщик-вымогатель)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 25 Евро с Vodafone Card, чтобы вернуть файлы обратно. 

  Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера с поднятой рукой, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 25-евровой Vodafone Card и нажать жёлтую кнопку "Decrypt" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и не слишком грамотный, раз допустил ошибку в названии Hitler-Ransonware (буква "n" вместо правильной "m").
Экран блокировки вымогателя

Изображение я размыл в фоторедакторе. Как выглядит оригинальный экран блокировки, см. здесь

Как было обнаружено, этот вымогатель всего лишь тестовый вариант. Его разработчик рассказал это в краткой фразе в пакетном файле. 

Шифрование файлов вообще не производится, а вместо этого удаляются расширения у всех файлов в следующих каталогах:
%userprofile%\Pictures
%userprofile%\Documents
%userprofile%\Downloads
%userprofile%\Music
%userprofile%\Videos
%userprofile%\Contacts
%userprofile%\Links
%userprofile%\Desktop
C:\Users\Public\Pictures\Sample Pictures
C:\Users\Public\Music\Sample Music
C:\Users\Public\Videos\Sample Videos

После этой операции вымогатель выставляет экран блокировки с текстом условий, ниже которого включается обратный отсчет времени. Через час он вырубает компьютер в синий BSOD-экран, который будет висеть, пока жертва не перезагрузит ПК. При перезагрузке Hitler-вымогатель удалит все файлы, находящиеся в директории пользователя %USERPROFILE%.

Подробности о файлах вымогателя:
Основным исполняемым файлом вымогателя является пакетный файл, который преобразуется в exe-файл в купе с другими файлами (chrst.exe, ErOne.vbs, firefox32.exe), у каждого из которых свои задачи.
Файл chrset.exe отображает экран блокировки с таймером, через час завершает системный процесс csrss.exe, что приводит к BSOD-у. После перезагрузки и входа в систему автоматически запускается файл firefox32.exe и удаляет все файлы в папке% USERPROFILE%. Файл ErOne.vbs выводит алерты типа "Файл не найден" после удаления расширений файлов и других своих операций, чтобы заставить жертву думать, что программа, которую он хочет запустить, просто некорректно работает.
VBS-алерт, как результат работы файла ErOne.vbs

BSOD, вызванный завершением процесса csrss.exe

Удаление файлов, произведенное файлом firefox32.exe

Файлы, связанные с Hitler Ransomware
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\firefox32.exe
%Temp%\[folder].tmp\
%Temp%\[folder].tmp\chrst.exe
%Temp%\[folder].tmp\ErOne.vbs
%Temp%\[folder].tmp\firefox32.exe
ExtraTools.bat
ExtraTools.exe
ErOne.vbs
ransomware_hitler.exe

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Symantec: Ransom.Hit >>

Т.к. файлы всё же не шифруются, то я отношу Hitler Ransomware к фейк-шифровальщикам. В новой версии шифрование уже может быть реализовано. 

Степень распространённости: низкая. 

Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 сентября 2016:
Название: CainXPii
Расширение .CainXPii
Шифрование: нет. 
См. статью CainXPii Ransomware 


Обновление от 28 января 2017:
Пост в Твиттере >>
Hitler Ransomware финальная версия
Расширение: .Nazi
Файлы: HitlerRansom.exe, YOUR-BILL.pdf.exe
Фальш-имя: Adobe Reader
Результаты анализов: HA+VT
<< Экран блокировки
Судя по некоторым местам экрана блокировки этого Ransomware, то и эта "финальная" версия еще далека до релизной версии. 



Обновление от 6 ноября 2017:
Пост в Твиттере >>
🎥 Видеообзор >>
Название: Adolf Hitler
Файл: Adolf Hitler.exe
Шифрование: есть
Расширение: .AdolfHitler
Сумма выкупа: 20€ в BTC
BTC: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
Страны: Китай, Гонконг.
Результаты анализов: HA+VT
Скриншоты (изображение на обоях и экран блокировки):
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Используется RDP для проникновения.  
Не знаю, является ли эта версия продолжением первой, представленной во главе статьи, но делать ещё одну статью с фотографиями Гитлера я бы не стал. 

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 JAMESWT‏ 
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *