• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

UmbreCrypt: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,048
Шифровальщик-вымогатель UmbreCrypt: Технология работы вымогателя

Новый вариант семейства вымогателей CrypBoss был выпущен под названием UmbreCrypt. Это семейство вымогателей шифрует данные жертвы с помощью AES-шифрования, а затем требует прислать по электронной почте платежные поручения. Пока нет бесплатного способа дешифровки файлов, но Фабиан Уосар из Emsisoft уже изучает изменения в новом шифровальщике-вымогателе. Пожелаем ему удачи в деле дешифровки. :Wizard:

Как известно от многочисленных жертв, вернее, они подозревают, что UmbreCrypt был установлен вручную посредством взлома терминальных служб или удаленного рабочего стола. Если ваш ПК был инфицирован этим вымогателем, то можете сами проверить журналы событий Windows на предмет неудачных попыток входа, чтобы определить учетную запись, которая была скомпрометирована.

При установке UmbreCrypt сканирует диски C, D, E, F, G и Н на компьютере для поиска файлов, которые соответствуют нужным ему расширением. При обнаружении целевого расширения производит шифрование файлов с помощью AES-шифрования и добавляет окончание umbrecrypt_ID_ [victim_id] к зашифрованному файлу. Например, файл Chrysanthemum.jpg после шифрования станет Chrysanthemum.jpg.umbrecrypt_ID_abdag113

Список файловых расширений, подвергающихся шифрованию UmbreCrypt:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .unrec, .scan, .sum, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc, .m3u, .flv, .js, .css, .rb, .png, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .ppt, .xlk, , .xls, .wps, .doc, .odb, .odc, .odm, .odp, .odt, .dx, .mrw, .nef, .tiff, .bd, .tar.gz, .mkv, .bmp, .dot, .xml, .pps, .dat, .ods, .qba, .qbw, .ini.$$$, .$db, .001, .002, .003, .113, .73b, .__a, .__b, .ab, .aba, .abbu, .abf, .abk, .acp, .acr, .adi, .aea,.afi, .arc, , .as4, .asd, .ashbak, .asv, .asvx, .ate, .ati, .bac, .backup, .backupdb, .bak2, .bak3, .bakx, .bak~, .bbb, .bbz, .bck, .bckp, .bcm, .bdb, .bff, .bif, .bifx, .bk1, .bkc, .bkup, .bkz, .blend1, .blend2, .bm3, .bmk, .bpa, .bpb, .bpm, .bpn, .bps, .bup, .caa, .cbk, .cbs, .cbu, .ck9, .cmf, .crds, .csd, .csm, .da0, .dash, .dbk, .dim, .diy, .dna, .dov, .dpb, .dsb, .fbc, .fbf, .fbk, .fbu, .fbw, .fh, .fhf, .flka, .flkb, .fpsx, .ftmb, .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .ghs, .ibk, .icbu, .icf, .inprogress, .ipd, .iv2i, .jbk, .jdc, .kb2, .lcb, .llx, .mbf, .mbk, .mbw, .mdinfo, .mem, .mig, .mpb, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .nco, .nda, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nwbak, .obk, .oeb, .old, .onepkg, .ori, .orig, .oyx, .paq, .pba, .pbb, .pbd, .pbf, .pbj, .pbx5script, .pbxscript, .pdb, .pqb, .pqb-backup, .prv, .psa, .ptb, .pvc, .pvhd, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbx, .qic, .qsf, .qualsoftcode, .quicken2015backup, .quickenbackup, .qv~, .rbc, .rbf, .rbk, .rbs, .rdb, .rgmb, .rmbak, .rrr, .sav, .sbb, .sbs, .sbu, .sdc, .sim, .skb, .sme, .sn1, .sn2, .sna, .sns, .spf, .spg, .spi, .sps, .sqb, .srr, .stg, .sv$, .sv2i, .tbk, .tdb, .tibkp, .tig, .tis, .tlg, .tmp, .tmr, .trn, .ttbk, .uci, .v2i, .vbk, .vbm, .vbox-prev, .vpcbackup, .vrb, .wbb, .wbcat, .wbk, .win, .wjf, .wpb, .wspak, .xbk, .xlk, .yrcbck, .~cw

UmbreCrypt также использует белый список имён каталогов, в результате чего любые файлы, находящиеся в этих каталогах из белого списка не будут зашифрованы. Вот папки, которые находятся в белом списке каталогов:
Код:
Windows, WINDOWS, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), ProgramData

Для каждой папки, в которой были зашифрованы файлы, UmbreCrypt также создаёт текстовую записку с требованием выкупа под названием README_DECRYPT_UMBRE_ID_ [victim_id].txt.

По окончании шифрования данных будет отображён экран с требованием выкупа, который сообщает о том, что произошло с файлами жертвы.

lock-screen.png

Эта информация также содержит инструкции жертвам, согласно которой они должны отправить по электронной почте вымогателям-разработчикам письмо, чтобы получить информацию об оплате.

Связанные с UmbreCrypt файлы:
Код:
%AppData%\ChromeSetings3264\
%AppData%\ChromeSetings3264\default32643264.bmp
%AppData%\ChromeSetings3264\default432643264.jpg
%AppData%\ChromeSetings3264\[random].exe
%UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].jpg
%UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].txt

Связанные с UmbreCrypt записи реестра:
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Internet Explorer Update    "[path_to_installer.exe]"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ChromeSettingsStart3264    "%AppData%\ChromeSetings3264\wosybiny.exe"
HKCU\Software\Microsoft\Windows\ChromeRandomAdress3264    [random].exe
HKCU\Software\Microsoft\Windows\ChromeSettiings3264    [path_to_installer.exe]
HKCU\Software\Microsoft\Windows\ChromeStarts3264    [path_to_installer.exe]
HKCU\Software\Microsoft\Windows\TRUECRT3264    TrueUMBRE

 
Сверху Снизу