mike 1
Ветеран
- Сообщения
- 2,323
- Реакции
- 747
Очередной шифровальщик, который шифрует файлы на компьютере жертвы. Шифровальщик перед каждым зашифрованным файлом добавляет расширение ISHTAR-<имя файла>, например: C:\ISHTAR-ComboFix.txt
Судя по записке README-ISHTAR.txt, который шифровальщик оставляет на компьютере пользователя, шифровальщик ориентирован как на русскоговорящих, так и на англоязычных пользователей.
Текст записки с требованиями:
Шифрует следующие типы файлов:
Файлы на диске от IShtar Ransomware:
Ключи реестра от IShtar Ransomware:
Сетевая активность:
Проверка на VT: Antivirus scan for a0dc6c0bcba1e77c080dc3ebff9406f9e869dd8f2ece1575379c564b6dd07fe1 at 2016-11-11 22:05:44 UTC - VirusTotal
Гибридный анализ: см. в комментариях на virustotal.
Источники проникновения на компьютер жертвы: Электронная почта. Злоумышленники для распространения используют dropbox.
Пример фишингово письма:
Восстановление файлов:
Шифровальщик на данный момент пока не удаляет теневые копии, а значит те, кто пострадал от него могут восстановить часть файлов согласно этой https://safezone.cc/threads/kak-vosstanovit-zashifrovannye-trojanami-fajly-sredstvami-windows.25419/ инструкции.
Судя по записке README-ISHTAR.txt, который шифровальщик оставляет на компьютере пользователя, шифровальщик ориентирован как на русскоговорящих, так и на англоязычных пользователей.
Текст записки с требованиями:
Код:
# ----------------------------------------------------------------------------------------------------------------------------
# ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ youneedmail@protonmail.com
# ЛИБО НА
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
# > Стандартный порядок шифрования: AES 256 + RSA 2048.
# > Для каждого файла создается уникальный AES ключ.
# > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
#
# ----------------------------------------------------------------------------------------------------------------------------
# ----------------------------------------------------------------------------------------------------------------------------
# TO DECRYPT YOUR FILES PLEASE WRITE TO youneedmail@protonmail.com
# OR TO
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# BASIC TECHNICAL DETAILS:
# > Standart encryption routine: AES 256 + RSA 2048.
# > Every AES key is unique per file.
# > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).
#
# ----------------------------------------------------------------------------------------------------------------------------
Шифрует следующие типы файлов:
Код:
.t12, .qdf, .t13, .ibank, .sum, .sie, .d3dbsp, .csv, .wmv, .avi, .wma, .zip, .m4a, .rar, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .vpp_pc, .lrf, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .rofl, .hkx, .bar, .upk, .das, .iwi, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .xxx, .desc, .m3u, .flv, .css, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpg, .cdr, .indd, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
Файлы на диске от IShtar Ransomware:
Код:
%App Data%\<случайные символы>.exe
%App Data%\<случайные символы>.tmp
%App Data%\ISHTAR.DATA - уникальный ключ, который был сгенерирован для компьютера.
%App Data%\README-ISHTAR.txt - записка с требованиями выкупа
%App Data%\Roaming\<случайные символы>.exe - шифровальщик
%App Data%\Roaming\<случайные символы>.tmp
%App Data%\Roaming\ISHTAR.DATA - копия ключа
%App Data%\Roaming\README-ISHTAR.txt - копия записки
%SystemDrive%\README-ISHTAR.txt (на каждом жестком диске)
%SystemDrive%\ISHTAR.DATA (на каждом жестком диске)
Ключи реестра от IShtar Ransomware:
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[]=%App Data%\Roaming\<случайные символы>.exe
Сетевая активность:
Код:
bit.ly/*******
www.google.ru
Проверка на VT: Antivirus scan for a0dc6c0bcba1e77c080dc3ebff9406f9e869dd8f2ece1575379c564b6dd07fe1 at 2016-11-11 22:05:44 UTC - VirusTotal
Гибридный анализ: см. в комментариях на virustotal.
Источники проникновения на компьютер жертвы: Электронная почта. Злоумышленники для распространения используют dropbox.
Пример фишингово письма:
Неоплаченный счет Газета "Навигатор"
Приветствуем.
Ваше рекламное объявление в газете "Навигатор" - hччp://navigator61.ru на сегодняшний день все еще оставется без оплаты.
В случае неоплаты счета Ваше объявление будет удалено в течении суток.
Счет на дропбоксе hxxps://dropbox.com/s/[скрыто]
С Уважением,
Издательский Дом «лиОни»
344000, г.Ростов-на-Дону,
ул. Варфоломеева, 265. 3-й этаж, офис № 9
Восстановление файлов:
Шифровальщик на данный момент пока не удаляет теневые копии, а значит те, кто пострадал от него могут восстановить часть файлов согласно этой https://safezone.cc/threads/kak-vosstanovit-zashifrovannye-trojanami-fajly-sredstvami-windows.25419/ инструкции.
Последнее редактирование модератором: