• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

TeslaCrypt 3.0-4.0-4.2: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Шифровальщик-вымогатель TeslaCrypt 3.0: Изменения в процессе шифрования

Появился новый вариант вымогателя TeslaCrypt, который содержит незначительные изменения.
Номер версии по-прежнему 3.0, но:
- файлы с требованием выкуп переименованы;
- зашифрованные файлы теперь имеют расширение .MP3

Список используемых криптовымогателем расширений:
.micro
.xxx
.ttt
.mp3


Используемые алгоритмы шифрования:
AES-256 + ECHD + SHA1


Итак, первое изменение заключается в том, что файлы с требованием выкупа были изменены создателями шифровальщика.

Новые файлы с требованием выкупа теперь называются:
_H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].png
_H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].txt
_H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].HTML

Пример вымогательства см. на рисунке ниже.

ransom-note-TeslaCrypt.jpg

Другое изменение заключается в том, что в настоящее время файлы, зашифрованные TeslaCrypt, получают MP3-расширения.
Так, если исходное имя файла было test.jpg , то когда он был зашифрован, станет уже называться test.jpg.mp3 .

Примеры зашифрованных файлов смотрите на изображении ниже.
encrypted-files-TeslaCrypt.jpg



Перевод выполнен SNS-amigo специально для данного раздела и темы "Шифровальщики-вымогатели..."
 
Использование вымогателя TeslaCrypt для компрометации сайтов продолжается

Вредоносная кампания по распространению вымогателя TeslaCrypt эволюционирует. Если раньше malware компрометировали и использовали сайты за базе WordPress для заражение жертв вымогательским ПО, то теперь под угрозой и ресурсы, работающие под управлением CMS Joomla.

В начале текущего месяца специалисты компании Sucuri заметили, что против ресурсов на базе WordPress развернулась масштабная кампания. Злоумышленники заражают все JavaScript-файлы на хостинге, внедряя в них зашифрованный вредоносный код. Если несколько сайтов размещаются на хостинге под одним аккаунтом, заражены окажутся они все; данная техника носит название cross-site contamination. Обойтись очисткой от малвари только одного сайта не получится, придется изолировать каждый ресурс отдельно и чистить их все последовательно.

Зараженные сайты используются для отображения вредоносной рекламы. Фальшивые баннеры инфицируют пользователей малварью, при помощи набора эксплойтов Nuclear. Чуть позже стало известно, что эксплоит-кит распространял криптолокера TeslaCrypt.

Инициаторы данной кампании решили расширить свою атаку на сайты под управлением Joomla, применив к ним аналогичную технику: в файлы JavaScript внедряют вредоносный iframe.

Администраторам сайтов на базе Joomla стоит искать вредоносный код по ключу «admedia» (для WordPress сайтов триггером являлся megaadvertize). Теперь злоумышленники используют не набор Nuclear, а другой популярный набор эксплоитов – Angler.

 
Шифровальщик-вымогатель TeslaCrypt 4.0: четвёртое пришествие

Обнаружена новая версия вымогателя TeslaCrypt 4.0. О ней исследователи узнали из отправляемого на C&C-сервер расшифрованного POST-сообщения. Пока 4-ка мало изучена, но уже известно, что при шифровании больше не используется какое-то особое расширение для зашифрованных с алгоритмом RSA 4096 файлов, что затрудняет изучение и систематизацию. Теневые копии и точки восстановление системы очищаются без остатка. Заголовки зашифрованных файлов совпадают в том, что все файлы начинаются с 0x00000000, потом идет ID жертвы, упомянутый в записке с требованием выкупа, а затем снова 0x00000000.

Также известно, что пока не исправлена ошибка, связанная с повреждением файлов более 4 Гб, но изменено имя файлов с требованием выкупа на RECOVER[5_chars].html.

Имеющие инструменты дешифровки и крак-крипта для предыдущих версий TeslaCrypt, в частности TeslaCrypt Decryption Tool, для 4-ки бесполезны. Во всяком случае, пока бесполезны.

Окно с требованием выкупа теперь выглядит так:
teslacrypt-4_0-ransom-note.jpg

Файлы связанные с TeslaCrypt 4.0
Код:
%UserProfile%\Desktop\RECOVER[5_chars].html
%UserProfile%\Desktop\RECOVER[5_chars].png
%UserProfile%\Desktop\RECOVER[5_chars].txt
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\recover_file.txt

Записи реестра связанные с TeslaCrypt 4.0
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\_[random]    C:\Windows\SYSTEM32\CMD.EXE /C START %UserProfile%\Documents\[random].exe
HKCU\Software\
HKCU\Software\\data

*** В источнике указана дата - 17 марта, но инфа появилась только сегодня. Видимо три дня была в черновиках.
 
Шифровальщик-вымогатель TeslaCrypt 4.1b: Штрихи к новому портрету

Пока мы располагаем небольшим количеством информации о новой версии. Все собранные нами ранее данные о TeslaCrypt и Alpha Crypt Ransomware, вы можете узнать у нас на сайте.
При появлении новых сведений о новой версии, я буду дополнять информацию на этом же месте. Подписывайтесь, чтобы быть в курсе.

Подтверждение новой версии
Когда TeslaCrypt начинает шифрование данных, он подключается к одному из шлюзов C&C-сервера и отправляет зашифрованное POST-сообщение. Когда это сообщение расшифровывается, одно из значений в сообщении указывает на новую версию TeslaCrypt. Это можно увидеть ниже в примере декодированного запроса 4.1b. Первый образец датирован 19 апреля.
Код:
Sub=Ping&dh=[PublicKeyRandom1_octet|AES_PrivateKeyMaster]&addr=[bitcoin_address]&size=0&version=4.1b&OS=[build_id]&ID=[?]&inst_id=[victim_id]

Кроме того, оказывается, что TeslaCrypt использует только WMIC (Windows Management Instrumentation Command-line) для удаления томов теневых копий, но, возможно, это имело место и в более ранней версии. Используется команда C:\Windows\system32\wbem\WMIC.exe shadowcopy delete /nointeractive

wmic-shadow-volume-deletion.png

Записки с требованием выкупа имеют вид:
-!RecOveR!-[random_chars]++.Png,
-!RecOveR!-[random_chars]++.Htm,
-!RecOveR!-[random_chars]++.Txt
teslacrypt-ransom-note.png

Файлы TeslaCrypt 4.1b
Код:
%UserProfile%\Desktop\-!RecOveR!-[random_chars]++.Txt
%UserProfile%\Desktop\-!RecOveR!-[random_chars]++.Htm
%UserProfile%\Desktop\-!RecOveR!-[random_chars]++.Png
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\-!recover!-!file!-.txt
%UserProfile%\Documents\desctop._ini

Записи реестра TeslaCrypt 4.1b
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random]    C:\Windows\SYSTEM32\CMD.EXE /C START %UserProfile%\Documents\[random].exe
HKCU\Software\[victim_id]
HKCU\Software\[victim_id]\data

 
Шифровальщик-вымогатель TeslaCrypt 4.1a: Штрихи к портрету

Как показывают последние исследования, новые модификации TeslaCrypt говорят нам о том, что криптовымогательство становится не только распространенным явлением, но и всё более изощренным и гибким. Несмотря на первые попадания образчиков TeslaCrypy v.4.1b, нельзя не сказать пару слов о версии 4.1a, которая используется злоумышленниками уже больше недели.

TeslaCrypt 4.1A распространяется доставкой вредоносных вложений в спам-кампаниях для физических лиц. В ней улучшены техники обфускации и обхода обнаружения антивирусами, а также добавлена поддержка шифрования файлов со следующими расширениями:
.7z; .apk; .asset; .avi; .bak; .bik; .bsa; .csv; .d3dbsp; .das; .forge; .iwi; .lbf; .litemod; .litesql; .ltx; .m4a; .mp4; .rar; .re4; .sav; .slm; .sql; .tiff; .upk; .wma; .wmv; и .wallet.

Полный список файловых расширений (не по алфавиту)
.r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .kdc, .mef, .mrwref, .nrw, .orf, .raw, .rwl, .rw2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .jpg, .jpe, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .ai, .indd, .cdr, .erf, .bar, .hkx, .raf, .rofl, .dba, .db0, .kdb, .mpqge, .vfs0, .mcmeta, .m2, .lrf, .vpp_pc, .ff, .cfr, .snx, .lvl, .arch00, .ntl, .fsh, .itdb, .itl, .mddata, .sidd, .sidn, .bkf, .qic, .bkp, .bc7, .bc6, .pkpass, .tax, .gdb, .qdf, .t12, .t13, .ibank, .sum, .sie, .zip, .w3x, .rim, .psk, .tor, .vpk, .iwd, .kf, .mlx, .fpk, .dazip, .vtf, .vcf, .esm, .blob, .dmp, .layout, .menu, .ncf, .sid, .sis, .ztmp, .vdf, .mov, .fos, .sb, .itm, .wmo, .itm, .map, .wmo, .sb, .svg, .cas, .gho, .syncdb, .mdbackup, .hkdb, .hplg, .hvpl, .icxs, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .xf, .dxg, .wpd, .rtf, .wb2, .pfx, .p12, .p7b, .p7c, .txt, .jpeg, .png, .rb, .css, .js, .flv, .m3u, .py, .desc, .xxx, .litesql, wallet, .big, .pak, .rgss3a, .epk, .bik, .slm, .lbf, .sav, .re4, .apk, .bsa, .ltx, .forge, .asset, .litemod, .iwi, .das, .upk, .d3dbsp, .csv, .wmv, .avi, .wma, .m4a, .rar, .7z, .mp4, .sql, .bak, .tiff

Шифрование файлов осуществляется с помощью 256-битного алгоритма шифрования AES.

Как и предыдущие версии TeslaCrypt, 4.1A распространяется через фишинговые письма с уведомлением о доставке. Письмо содержит вложенный zip-файл, представляющий собой JavaScript-загрузчик, использующий Windows Script Host (WSH) или WScript для загрузки полезной нагрузки. После распаковки zip-файла вызывается WSH для выполнения кода. Дроппер загружает TeslaCrypt через GET-запрос к greetingsyoungqq[.]com/80.exe и запускает файл на выполнение.

teslacrypt4-1a.png

Для обхода обнаружения вредонос использует COM-объекты и удаляет Zone.Identifier ADS.
С помощью API CoInitialize() и CoCreateInstance() вредонос контролирует DirectShow через Software\Microsoft\DirectShow\PushClock.

В TeslaCrypt 4.1A также реализована функция обхода пяти стандартных приложений для мониторинга процессов и администрирования Windows (диспетчера задач, редактора реестра, командной оболочки, программы Process Explorer и компонента «Конфигурация системы»).

 

Вложения

  • Your Package Has Been Successfully Encrypted_ TeslaCrypt 4.pdf
    2.3 MB · Просмотры: 1
Шифровальщик-вымогатель TeslaCrypt v.4.2

Появился криптовымогатель TeslaCrypt v.4.2. Эта версия была выпущена сегодня и содержит довольно много изменений в работе программы. Например, сократили записку с требованием выкупа, осталась только основная информация, необходимая для подключения к серверам оплаты.

teslacrypt-4-2-ransom-note.png

Подробнее об измененном функционале:
- Компилятор изменился, код перекомпилирован и оптимизирован;
- Внедрен код svchost.exe, чтобы удалять теневые копии с помощью следующего метода:
--- CreateProcessW(C:\Windows\System32\svchost.exe, DEBUG_ONLY_THIS_PROCESS | NORMAL_PRIORITY_CLASS | CREATE_DEFAULT_ERROR_MODE)
--- инжект кода для отладки svchost;
--- инжектированный код выполняет: vssadmin.exe "C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet
--- теневые копии удаляются до и после шифрования;
- Восстановление файла теперь в data-файл.
- Data-файл переименован в %MyDocuments%\-!recover!-!file!-.txt и теперь в зашифрованном виде.
- Размер файла данных изменен до 272 байт (256 байт из них не зашифрованы)
- Ключ запуска изменен на HKCU\Software\Microsoft\Windows\CurrentVersion\Run] serv[5chars] C:\Windows\SYSTEM32\CMD.EXE /C START "" "[malwarepath].exe"
- Сетевой запрос задается только если InternetGetConnectedState возвращает 1.
- Записка о выкупе стала короче.

Файлы, связанные с TeslaCrypt v.4.2:
Код:
%UserProfile%\Desktop\!RecoveR!-[5_characters]++.HTML
%UserProfile%\Desktop\!RecoveR!-[5_characters]++.PNG
%UserProfile%\Desktop\!RecoveR!-[5_characters]++.TXT
%UserProfile%\Documents\-!recover!-!file!-.txt
%UserProfile%\Documents\[random].exe

Записи реестра, связанные с TeslaCrypt v.4.2:
Код:
serv[5chars] C:\Windows\SYSTEM32\CMD.EXE /C START "" "%UserProfile%\Documents\[random].exe"

 
Счастливый конец TeslaCrypt

Разработчики TeslaCrypt закрыли свой проект и выпустили мастер-ключ для дешифрования, а их дистрибьюторы переключились на распространение вымогателей CryptXXX.

teslacrypt-closed.png

Это единый универсальный ключ для дешифрования, который позволяет дешифровать файлы, зашифрованные криптовымогателями TeslaCrypt, в том числе и последних 3.0 и 4.0 версий.

440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

Конечно, один ключ, без программы для дешифровки, погоды не сделает, потому эксперт по TeslaCrypt некто BloodDolly по такому случаю обновил TeslaDecoder до версии 1.0. Теперь любой, кто имел зашифрованные файлы с расширением xxx, .ttt, .micro, .mp3 или без таких расширений, может расшифровать свои файлы бесплатно!

СкачатьTeslaDecoder >>>

Инструкция по использованию TeslaDecoder


Загрузить и разархивировать файл TeslaDecoder.zip на рабочем столе.
Запустить файл TeslaDecoder.exe и нажать кнопку Set key для выбора расширения.
В ниспадающем поле раздела Extension выберите пункт с нужными расширениями.
Если файлы были зашифрованы без изменения расширений, то выберите <as original>.
Скопируйте и введите в верхнее поле мастер-ключ, опубликованный выше.

Далее нажмите кнопку Set key, как показано на рисунке ниже.
tesladecoder-decryption-key-set.png tesladecoder-set-key1.png

Откроется главное окно утилиты с загруженным в дешифратор ключом дешифрования, как показано ниже.
tesladecoder-press-set-key2.png

Теперь можно расшифровать нужную папку с файлами или просканировать весь диск.
Для выбора папки c зашифрованными файлами нажмите кнопку Decrypt folder.
Для расшифровки всех файлов компьютера нажмите кнопку Decrypt all.
При этом TeslaDecoder спросит, хотите ли вы перезаписать файлы незашифрованными версиями.
Если на диске достаточно места, то откажитесь от перезаписи, тогда будет сделан бэкап зашифрованных файлов.

tesladecoder-decryption-key-set-2.png tesladecoder-files-decrypted3.png

Когда TeslaDecoder завершит дешифрование файлов, он сообщит об этом в главном окне (результат я выделил зелёной рамкой).

Все файлы будут расшифрованы, и если вы не выбрали перезапись файлов, то будут созданы резервные копии зашифрованных файлов с расширением .TeslaBackup, к ним добавленным.

 
Вымогатели теперь сами рекомендуют TeslaDecoder!

Четыре дня тому назад было объявлено о том, что благодаря публикации мастер-ключа разработчиками криптовымогателя TeslaCrypt, удалось обновить инструмент дешифрования TeslaDecoder и использовать его для дешифровки зашифрованных файлов.
Но вчера свершилось еще одно неожиданное событие. Разработчики обновили свое сообщение, теперь они извиняются и рекомендуют инструмент TeslaDecoder от BloodDolly для дешифрования файлов.

new-tor-message.png
 
Назад
Сверху Снизу