SNS-amigo
SNS System Watch Freelance reporter
- Сообщения
- 4,897
- Решения
- 1
- Реакции
- 6,523
Шифровальщик-вымогатель UmbreCrypt: Технология работы вымогателя
Новый вариант семейства вымогателей CrypBoss был выпущен под названием UmbreCrypt. Это семейство вымогателей шифрует данные жертвы с помощью AES-шифрования, а затем требует прислать по электронной почте платежные поручения. Пока нет бесплатного способа дешифровки файлов, но Фабиан Уосар из Emsisoft уже изучает изменения в новом шифровальщике-вымогателе. Пожелаем ему удачи в деле дешифровки.
Как известно от многочисленных жертв, вернее, они подозревают, что UmbreCrypt был установлен вручную посредством взлома терминальных служб или удаленного рабочего стола. Если ваш ПК был инфицирован этим вымогателем, то можете сами проверить журналы событий Windows на предмет неудачных попыток входа, чтобы определить учетную запись, которая была скомпрометирована.
При установке UmbreCrypt сканирует диски C, D, E, F, G и Н на компьютере для поиска файлов, которые соответствуют нужным ему расширением. При обнаружении целевого расширения производит шифрование файлов с помощью AES-шифрования и добавляет окончание umbrecrypt_ID_ [victim_id] к зашифрованному файлу. Например, файл Chrysanthemum.jpg после шифрования станет Chrysanthemum.jpg.umbrecrypt_ID_abdag113
Список файловых расширений, подвергающихся шифрованию UmbreCrypt:
UmbreCrypt также использует белый список имён каталогов, в результате чего любые файлы, находящиеся в этих каталогах из белого списка не будут зашифрованы. Вот папки, которые находятся в белом списке каталогов:
Для каждой папки, в которой были зашифрованы файлы, UmbreCrypt также создаёт текстовую записку с требованием выкупа под названием README_DECRYPT_UMBRE_ID_ [victim_id].txt.
По окончании шифрования данных будет отображён экран с требованием выкупа, который сообщает о том, что произошло с файлами жертвы.
Эта информация также содержит инструкции жертвам, согласно которой они должны отправить по электронной почте вымогателям-разработчикам письмо, чтобы получить информацию об оплате.
Связанные с UmbreCrypt файлы:
Связанные с UmbreCrypt записи реестра:
Новый вариант семейства вымогателей CrypBoss был выпущен под названием UmbreCrypt. Это семейство вымогателей шифрует данные жертвы с помощью AES-шифрования, а затем требует прислать по электронной почте платежные поручения. Пока нет бесплатного способа дешифровки файлов, но Фабиан Уосар из Emsisoft уже изучает изменения в новом шифровальщике-вымогателе. Пожелаем ему удачи в деле дешифровки.
Как известно от многочисленных жертв, вернее, они подозревают, что UmbreCrypt был установлен вручную посредством взлома терминальных служб или удаленного рабочего стола. Если ваш ПК был инфицирован этим вымогателем, то можете сами проверить журналы событий Windows на предмет неудачных попыток входа, чтобы определить учетную запись, которая была скомпрометирована.
При установке UmbreCrypt сканирует диски C, D, E, F, G и Н на компьютере для поиска файлов, которые соответствуют нужным ему расширением. При обнаружении целевого расширения производит шифрование файлов с помощью AES-шифрования и добавляет окончание umbrecrypt_ID_ [victim_id] к зашифрованному файлу. Например, файл Chrysanthemum.jpg после шифрования станет Chrysanthemum.jpg.umbrecrypt_ID_abdag113
Список файловых расширений, подвергающихся шифрованию UmbreCrypt:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .unrec, .scan, .sum, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc, .m3u, .flv, .js, .css, .rb, .png, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .ppt, .xlk, , .xls, .wps, .doc, .odb, .odc, .odm, .odp, .odt, .dx, .mrw, .nef, .tiff, .bd, .tar.gz, .mkv, .bmp, .dot, .xml, .pps, .dat, .ods, .qba, .qbw, .ini.$$$, .$db, .001, .002, .003, .113, .73b, .__a, .__b, .ab, .aba, .abbu, .abf, .abk, .acp, .acr, .adi, .aea,.afi, .arc, , .as4, .asd, .ashbak, .asv, .asvx, .ate, .ati, .bac, .backup, .backupdb, .bak2, .bak3, .bakx, .bak~, .bbb, .bbz, .bck, .bckp, .bcm, .bdb, .bff, .bif, .bifx, .bk1, .bkc, .bkup, .bkz, .blend1, .blend2, .bm3, .bmk, .bpa, .bpb, .bpm, .bpn, .bps, .bup, .caa, .cbk, .cbs, .cbu, .ck9, .cmf, .crds, .csd, .csm, .da0, .dash, .dbk, .dim, .diy, .dna, .dov, .dpb, .dsb, .fbc, .fbf, .fbk, .fbu, .fbw, .fh, .fhf, .flka, .flkb, .fpsx, .ftmb, .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .ghs, .ibk, .icbu, .icf, .inprogress, .ipd, .iv2i, .jbk, .jdc, .kb2, .lcb, .llx, .mbf, .mbk, .mbw, .mdinfo, .mem, .mig, .mpb, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .nco, .nda, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nwbak, .obk, .oeb, .old, .onepkg, .ori, .orig, .oyx, .paq, .pba, .pbb, .pbd, .pbf, .pbj, .pbx5script, .pbxscript, .pdb, .pqb, .pqb-backup, .prv, .psa, .ptb, .pvc, .pvhd, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbx, .qic, .qsf, .qualsoftcode, .quicken2015backup, .quickenbackup, .qv~, .rbc, .rbf, .rbk, .rbs, .rdb, .rgmb, .rmbak, .rrr, .sav, .sbb, .sbs, .sbu, .sdc, .sim, .skb, .sme, .sn1, .sn2, .sna, .sns, .spf, .spg, .spi, .sps, .sqb, .srr, .stg, .sv$, .sv2i, .tbk, .tdb, .tibkp, .tig, .tis, .tlg, .tmp, .tmr, .trn, .ttbk, .uci, .v2i, .vbk, .vbm, .vbox-prev, .vpcbackup, .vrb, .wbb, .wbcat, .wbk, .win, .wjf, .wpb, .wspak, .xbk, .xlk, .yrcbck, .~cw
UmbreCrypt также использует белый список имён каталогов, в результате чего любые файлы, находящиеся в этих каталогах из белого списка не будут зашифрованы. Вот папки, которые находятся в белом списке каталогов:
Код:
Windows, WINDOWS, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), ProgramData
Для каждой папки, в которой были зашифрованы файлы, UmbreCrypt также создаёт текстовую записку с требованием выкупа под названием README_DECRYPT_UMBRE_ID_ [victim_id].txt.
По окончании шифрования данных будет отображён экран с требованием выкупа, который сообщает о том, что произошло с файлами жертвы.
Эта информация также содержит инструкции жертвам, согласно которой они должны отправить по электронной почте вымогателям-разработчикам письмо, чтобы получить информацию об оплате.
Связанные с UmbreCrypt файлы:
Код:
%AppData%\ChromeSetings3264\
%AppData%\ChromeSetings3264\default32643264.bmp
%AppData%\ChromeSetings3264\default432643264.jpg
%AppData%\ChromeSetings3264\[random].exe
%UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].jpg
%UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].txt
Связанные с UmbreCrypt записи реестра:
Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Internet Explorer Update "[path_to_installer.exe]"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ChromeSettingsStart3264 "%AppData%\ChromeSetings3264\wosybiny.exe"
HKCU\Software\Microsoft\Windows\ChromeRandomAdress3264 [random].exe
HKCU\Software\Microsoft\Windows\ChromeSettiings3264 [path_to_installer.exe]
HKCU\Software\Microsoft\Windows\ChromeStarts3264 [path_to_installer.exe]
HKCU\Software\Microsoft\Windows\TRUECRT3264 TrueUMBRE