Если вы не видите здесь изображений, то используйте VPN.

среда, 11 апреля 2018 г.

MauriGo

MauriGo Ransomware

MauriEncoder Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей и корпоративных сетей с помощью AES-256 (режим CTR), а затем требует выкуп в 0.7-2.6 BTC, чтобы вернуть файлы. Оригинальное название. Написан на языке Go. Разработчик: mauri870. 

© Генеалогия: ранний Ransomware от mauri870 > MauriGo > MauriEncoder

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на середину марта - начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_TO_DECRYPT.txt 

Содержание записки о выкупе:
The important files on your computer have been encrypted with military grade AES-256 bit encryption.
Your documents, videos, images and other forms of data are now inaccessible, and cannot be unlocked without the decryption key.
This key is currently being stored on a remote server. 
To acquire this key, please follow the instructions below before the time runs out. (2018-04-19 12:34:51 - you have 7 days)
Prices to recover yoor files from :
1 machine on your network : 0.7 BTC
Half machines on your network (randomly chosen): 2.6 BTC
All machines on your network : 5 BTC
The BTC must be sent to this address : 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
Your hostname : trololol-PC
Your identification number (it is the same for all PC encrypted on your network): ***
After you've send payment to our address, please go to our website (via normal browser):
xxxx://ldqu4hxg2gx6af7j.onion.plus/id/***
xxxx://ldqu4hxg2gx6af7j.onion.link/id/***
xxxx://ldqu4hxg2gx6af7j.tor2web.ch/id/***

If it doesn't work please download Tor Browser on their official page and use this link instead: xxxx://ldqu4hxg2gx6af7j.onion/id/***
Once on the website, leave a simple comment to warn us.
After that we will reply with your decryption key(s) as soon as possible.
To demonstrate our sincerity, you can upload 2 encrypted file on the website and we will decrypt it.
Also please understand that we don't want to taint the reliability of your business. Make a reasonable choice.
Note that if you fail to take action within this time window (7 days), the decryption key will be destroyed and access to your files will be
permanently lost.
Where to buy bitcoins (BTC) ?
Bitcoin is a popular crypto-currency. We advise you to buy coins on https://localbitcoins.com/ because of its speed and anonymity.
You will can pay with Western Union. Wire Transfer...
Of course there are much other ways to get bitcoins (ex: Coinbase), simply type on google "how to buy bitcoins".

Перевод записки на русский язык:
Важные файлы на вашем компьютере были зашифрованы с шифрованием военного класса AES-256.
Ваши документы, видео, изображения и другие формы данных теперь недоступны и не могут быть разблокированы без ключа дешифрования.
Этот ключ в настоящее время хранится на удаленном сервере.
Чтобы получить этот ключ, следуйте приведенным ниже инструкциям до истечения времени. (2018-04-19 12:34:51 - у вас есть 7 дней)
Цены на восстановление ваших файлов от:
1 машина в вашей сети: 0.7 BTC
половина машин в вашей сети (случайно выбранная): 2.6 BTC
все машины в вашей сети: 5 BTC
BTC необходимо отправить по этому адресу: 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
Ваше имя: trololol-PC
Ваш идентификационный номер (он одинаков для всех ПК, зашифрованных в вашей сети): ***
После того как вы отправите платеж на наш адрес, перейдите на наш веб-сайт (через обычный браузер):
хххх://ldqu4hxg2gx6af7j.onion.plus/id/***
хххх://ldqu4hxg2gx6af7j.onion.link/id/***
хххх://ldqu4hxg2gx6af7j.tor2web.ch/id/***
Если он не работает, загрузите Tor-браузер на их официальной странице и используйте вместо этого ссылку: xxxx://ldqu4hxg2gx6af7j.onion/id/***
На веб-сайте оставьте простой комментарий, чтобы предупредить нас.
После этого мы ответим с вашим ключом дешифрования как можно быстро.
Чтобы продемонстрировать нашу искренность, вы можете загрузить 2 зашифрованных файла на веб-сайт, и мы расшифруем их.
Также, пожалуйста, поймите, что мы не хотим испортить надежность вашего бизнеса. Сделайте разумный выбор.
Обратите внимание: если вы не сможете принять меры в течение этого временного окна (7 дней), ключ дешифрования будет уничтожен, и доступ к вашим файлам будет потерян.
Где купить биткоины (BTC)?
Биткоин - популярная криптовалюта. Мы советуем вам покупать монеты на https://localbitcoins.com/ из-за его скорости и анонимности.
Вы можете оплатить с Western Union. Передача по проводам...
Конечно, есть много других способов получить биткоины (например: Coinbase), просто введите в google "how to buy bitcoins".



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ В систему также устанавливается майнер криптовалюты, который выполняет команду: 
wininiv.exe -o xmr.crypto-pool.fr:80 -u 48fVrHZuvLY8vFP19bVtqhD9yY3TL8HRqW8JM6MbtvvnTJ2icAQJogHCByJP6yPEKdewUKrKGS1ThJamQm6m5idLCiEkPVv -p x -k -B --donate-level=1 -t 2

 Возможно, что учебный проект от mauri870 был использован другими людьми, которые прикрутили к нему майнер. Или он сам доработал его таким образом. О пострадавших пока неизвестно. 

 Антивирусные движки определяют наличие майнера (CoinMiner) и PowerShell. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wininiv.exe
xmrig.rar
<random>.exe - случайное название
ransomware.exe
server.exe
READ_TO_DECRYPT.txt 

Расположения:
\Desktop\ ->
\User_folders\ ->
%WINDIR%\Temp\wininiv.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://github.com/mauri870/ransomware
xxxx://xmr.crypto-pool.fr/
xxxx://ldqu4hxg2gx6af7j.onion/id/
xxxx://ldqu4hxg2gx6af7j.onion.plus
xxxx://ldqu4hxg2gx6af7j.onion.link
xxxx://ldqu4hxg2gx6af7j.tor2web.ch
BTC: 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
xxxx://tejsqel5npztqnee.onion.link/fa1304fdec7f909d27de6ea97ce79da7/index.php
xxxx://ldqu4hxg2gx6af7j.onion.link/
xxxx://dstormer6em3i4km.onion.link/
xxxx://eowxgliaujppfl7m.onion.link/hj2gr/public/tsfUlOc.bin
xxxx://xiwayy2kn32bo3ko.onion.link/test/read.cgi/ura/1380576973/l50
XMR-кошелёк: 
48fVrHZuvLY8vFP19bVtqhD9yY3TL8HRqW8JM6MbtvvnTJ2icAQJogHCByJP6yPEKdewUKrKGS1ThJamQm6m5idLCiEkPVv
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA wininiv.exe >>
𝚺  VirusTotal анализ >>  VT wininiv.exe >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 15 января 2019:
Расширение: .encrypted
Записка: README.html 
Файл: Encoder.exe
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.26998
BitDefender -> Trojan.GenericKD.40958058
ESET-NOD32 -> A Variant Of Win32/Filecoder.NUD
Kaspersky -> Trojan-Ransom.Win32.Crypmodadv.yav
Malwarebytes -> Trojan.Dropper
Rising -> Malware.Heuristic.MLite(95%) (AI-LITE:uvQ*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> CallRansom_Crypmodadv.R011C0WAH19




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MauriGo)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *