• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Jigsaw: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель Jigsaw Ransomware

Обнаружен новый вымогатель под названием Jigsaw Ransomware, который зашифровывает файлы жертвы с помощью алгоритма AES-256 и добавляет расширение .fun к именам файлов. Жертва получает записку с требованием выкупа, а на экране показывается изображение "куклы Билли" из фильма "Пила". Вымогатель получил свое название в честь культового персонажа из этого фильма ужасов.

jigsaw-ransom-note1.png jigsaw-ransom-note.png

Надпись на экране:
Your computer files have encrypted. Your photos, videos, docements, etc...
But, don't worry! I have not deleted them, yet...
Перевод:
Ваши файлы были зашифрованы. Ваши фото, видео, документы и пр...
Но не бойтесь! Я не удалил их, пока...

В настоящее время сумма выкупа установлена на уровне $ 150 USD, или 0,4 BTC. Сообщения и изображение призваны запугать пользователя, заставляя заплатить выкуп. Если выкуп не поступает в течении часа, часть файлов удаляется и через час отсчет времени начинается заново. Исследователи выяснили, что удаляется первая тысяча файлов, затем вторая...

Когда Jigsaw запускается в первый раз, то он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES, и добавляет расширение .fun к имени файла.

При шифровании файлов вредонос:
- добавляет имя файла в список зашифрованных файлов EncryptedFileList, расположенный в %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt ;
- назначает адрес Bitcoin для уплаты выкупа за файлы и сохраняет его в файл %UserProfile%\AppData\Roaming\System32Work\Address.txt ;
- прописывается в автозапуск, чтобы запускаться с Windows.
Более того, при каждом запуске системы Jigsaw удаляет 1000 зашифрованных файлов.

Если в назначенный час количество поступивших на bitcoin-адресс вымогателя биткоинов равно или больше требуемой суммы, то вымогатель будет автоматически расшифровывать файлы.

Список файловых расширений, подвергающихся шифрованию Jigsaw Ransomware:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr , .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc, .qbp, .aif, .qba, .tlg, .qbx, .qby , .1pa, .qpd, .txt, .set, .iif , .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd, .cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, .drw, .dwg.eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt, .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, .clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .xls, .xlsx, .xlsm, .ppt, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar

Связанные с Jigsaw файлы:
Код:
%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt

Связанные с Jigsaw записи реестра:
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe    %UserProfile%\AppData\Roaming\Frfx\firefox.exe


Новые расширения для зашифрованных файлов:
.btc, .kkk, .gws, .payransom
 
Jigsaw Ransomware: Расшифровка возможна!

Группе исследователей удалось найти бесплатный способ расшифровать файлы, зашифрованные шифровальщиком-вымогателем JigSaw. Для расшифровки файлов, первым делом нужно прекратить процесс firefox.exe и drpbx.exe в диспетчере задач. Затем нужно запустить MSConfig и отключить автозапуск для firefox.exe , который находится по адресу %UserProfile%\AppData\Roaming\Frfx\firefox.exe.

Далее следует загрузить и извлечь Jigsaw Decryptor:

Скачать JigSawDecrypter >>>

Дважды щелкните на файле JigSawDecrypter.exe, чтобы запустить программу. Увидите экран, как на рисунке ниже.

jigsaw-decrypter.png

Для расшифровки файлов просто выберите каталог и нажмите кнопку "Decrypt My Files".
Если захотите расшифровать весь диск, то можете выбрать диск C:, нажав кнопку "Select Directory".
Не ставьте галочку в опции "Delete Encrypted Files" , пока не убедитесь, что инструмент правильно расшифровывает файлы.

jigsaw-decryption-finished.png

Когда декриптер закончит расшифровку файлов, то вы увидите это окно с надписью "Files Decrypted".

 
CryptoHitman Ransomware: Ребрендинг Jigsaw

Уже известный нашим читателям Jigsaw Ransomware претерпел ребрендинг и теперь, спустя месяц, преподносит себя как CryptoHitman, используя персонаж Hitman из популярных видеоигр и фильмов. В дополнение к изображению киллера CryptoHitman использует экран блокировки с порнографическими изображениями.

Как и его предшественник, Jigsaw, криптовымогатель CryptoHitman шифрует данные с помощью AES-256 и требует выкуп, чтобы вернуть их назад. Email, предлагаемый для связи - cryptohitman#yandex.com. К сожалению, эта версия тоже удаляет файлы при каждом запуске Windows, при перезапуске процесса вымогателя и когда таймер досчитает до нуля.

hitman-ransomware-locker.jpg

Основные отличия CryptoHitman от Jigsaw:
- порнографический экран,
- использование символа Hitman,
- новые расширения .porno и .pornoramsom для зашифрованных файлов,
- новые имена исполняемых файлов вымогателя.

В остальном этот криптовымогатель делает всё то же самое, что и Jigsaw Ransomware.

Файлы, связанные с CryptoHitman:
Код:
%LocalAppData%\Suerdf\
%LocalAppData%\Suerdf\suerdf.exe
%AppData%\Mogfh\
%AppData%\Mogfh\mogfh.exe
%AppData%\System32Work\
%AppData%\System32Work\Address.txt
%AppData%\System32Work\dr
%AppData%\System32Work\EncryptedFileList.txt

Записи реестра, связанные с CryptoHitman:
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\mogfh.exe    %AppData%\Mogfh\mogfh.exe

Дешифровка CryptoHitman

Для расшифровки файлов, первым делом нужно прекратить процессы %LocalAppData%\Suerdf\suerdf.exe и %AppData%\Mogfh\mogfh.exe в диспетчере задач. Затем нужно запустить MSConfig и отключить автозапуск для этих исполняемых файлов.

Далее следует загрузить и извлечь Jigsaw Decryptor:
https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip

Далее порядок дешифровки аналогичен тому, что я описывал в посте выше - Jigsaw Ransomware: Расшифровка возможна!
Это новая версия декриптера с функционалом и под CryptoHitman.

.
 
Jigsaw Invisible Empire Ransomware

Появилась новая версия этапажного вымогателя Jigsaw, которая шифрует данные с помощью шифрования AES и требуют выкупа 150 долл в биткоинах. Эта версия тоже удаляет файлы каждый раз при запуске и обнулении таймера. К зашифрованным файлам добавляется расширение .payransom. Название Invisible Empire (Незримая или Тайная империя) от изображения, взятого у Юхи Арвида Хейминена.

jigsaw-2-lock-screen.jpg

Файлы, связанные с Jigsaw Invisible Empire:
%UserProfile%\AppData\Local\Systmd\systmd.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
%UserProfile%\AppData\Roaming\Wrkms\
%UserProfile%\AppData\Roaming\Wrkms\wrkms.exe

Записи реестра, связанные с Jigsaw Invisible Empire:
%UserProfile%\AppData\Roaming\Wrkms\wrkms.exe and %UserProfile%\AppData\Local\Systmd\systmd.exe

Дешифровка
Майкл Гиллеспи обновил свой декриптер Jigsaw Decryptor, созданный ранее для Jigsaw Ransomware.
Полная инструкция была описана ранее. Ссылка на пост в теме.

 
На сегодняшний день у Jigsaw и его итераций на вооружений следующий набор расширений, добавляемых к зашифрованным файлам:
.AFD
.btc
.epic
.fun
.gws
.kkk
.paybtcs
.paymrss
.payms
.paymst
.payransom
.payrms
.porno
.pornoransom
.paym
.pays
+ .xyz (от 29.07.2016)
 
Jigsaw Puzzle Solver: Решает проблему зашифрованных файлов по-своему

Специалисты Check Point также создали свой декритор, поэкспериментировав с балансом и кнопкой «I made a payment, now give me back my files!» (Я заплатил, верните мне мои файлы!). Результат описан в их блоге.

Там же можно скачать архив с инструментом Jigsaw Puzzle Solver, который заставляет криптовымогатель JigSaw "думать", что выкуп уплачен в полном размере и запускать дешифрование файлов.
solver.JPG

PS. JigSawDecrypter, описанный выше, регулярно обновляется его разработчиками. И последнее обновление, с учетом механизма шифрования из новых версий JigSaw Ransomware, было сделано на днях. Ссылка прежняя - пост темы №2.
 
Грубо говоря,в блоге перевод будет примерно такой:
Злоумышленник проверяет наличие платежа через графический интерфейс,а когда юзер жмет кнопку "Я заплатил" для того,что бы получить код расшифровки - тогда производится внедрение в get http запрос скрипта с информацией о сумме внесенного выкупа
Адрес отправки запроса:
Код:
btc.blockr [.] И.О. / API / v1 / адрес / баланс / <Bitcoin-счета>
Получаемый ответ:
Код:
{“status”:”success”,”data”:{“address”:”<bitcoin-account>”,”balance”:0,”balance_multisig”:0},”code”:200,”message”:””}.
Изменяя переменную "баланс" в ответе от 0 до 10,а злоумышленники считают что выкуп уплочен и юзер получает код расшифровки.
 
Обновился шифровальщик-удалитель Jigsaw

Как и раньше - упор в демонстрацию новых изображений. На этот раз снова в стиле Anonymous.
Вредонос устанавливается в директорию %UserProfile%AppData\Local\MS\app_roaming.exe и косит под Microsoft Defender, инициируя запуск сканирования. Связанная запись в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Defender.exe %UserProfile%AppData\Roaming\MS\Defender.exe

29июля-1.jpg 29июля-3.jpg

За дешифровку требуют 250 долларов в биткоинах.
К зашифрованным файлам теперь добавляется расширение .xyz

Дешифровщик оперативно обновлен. Прежде, чем начать дешифровку, нужно завершить через диспетчер задач процесс app_roaming.exe, и лишь потом запустить дешифратор.
 
Назад
Сверху Снизу