Winnix Cryptor Ransomware

[mike 1]

Очередной шифровальщик, который шифрует файлы на компьютере жертвы. Шифровальщик перед каждым зашифрованным файлом добавляет расширение <имя файла>.wnx, например: ComboFix.txt.wnx

Судя по записке YOUR FILES ARE ENCRYPTED!.txt, который шифровальщик оставляет на компьютере пользователя, шифровальщик ориентирован на англоязычных пользователей, но это не мешает ему заражать и русскоговорящих пользователей.

Текст записки с требованиями злоумышленников:

Your files are encrypted!

Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key.

The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure.

In order to decrypt the files send your bitcoins to the following address:

13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by

After you complete your payment, send an email to 6214ssxpvo@sigaint.org with YOUR ID as subject (ID is in the end of the file) and you'll receive private key, needed software and step by step guide in 1 business day.

Offer is valid for 5 business days (expiration date is in the end of the file). AFTER TIME IS UP, PRICE DOUBLES.
No discounts, no other payment methods.


How to buy bitcoins?

1. Create a Bitcoin Wallet (we recommend Blockchain.info)

2. Buy necessary amount of Bitcoins
Do not forget about the transaction commission in the Bitcoin network (= 0.0005).

Here are our recommendations:

LocalBitcoins.com – the fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com – the simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu – the best for Europe;
CEX.IO – Visa / MasterCard;
CoinMama.com – Visa / MasterCard;
HowToBuyBitcoins.info – discover quickly how to buy and sell bitcoins in your local currency.

More questions?

Send an email to 6214ssxpvo@sigaint.org


ID:[redacted[
EXP DATE: Sept. 12 2016
--
Winnix Cryptor Team

Криптография: для шифрования файлов используется легальная утилита GnuPG (GnuPG — Википедия), которая шифрует файлы по алгоритму RSA.

Шифровальщик шифрует следующие типы файлов:

*.7z *.rar *.doc. *.xls. *.ppt. *.pps. *.cf *.dbf *.fdb *.1cd *.lgf *.lgp *.md *.mdf *.gdb *.ora *.bak *.mdf *.ldf *.vib *.udb *.bls *.mdb *.pst *.vhd *.vhdx *.backup *.dbv *.dbase *.trn *.tib *.nx. *.dt. *.cdx *.djvu *.mlg *.tbl *.blb *.mcx *.mrimg *.db6 *.jpg *.jpeg *.pdf *.psd *.cdr *.edb *.zip

Файлы на диске от Winnix Cryptor Ransomware:

%SYSTEMROOT%\system32\config\systemprofile\Application Data\gnupg - папка с утилитой GnuPG.
%systemroot%\tracing\C.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска С.
%systemroot%\tracing\D.bat  - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска D.
%systemroot%\tracing\E.bat -  батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска E.
%systemroot%\tracing\F.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска F.
%systemroot%\tracing\G.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска G.
%systemroot%\tracing\H.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска H.
%systemroot%\tracing\I.bat - батник, который делает импорт публичного RSA ключа злоумышленника, а потом запускает процесс шифрования диска I.
%systemroot%\logs.cmd - этот файл запускается автоматически каждый час и выполняет очистку событий в журналах Windows.
%systemroot%\tracing\addwin.bat - файл, который создает в планировщике заданий задачи, которые отвечают за шифрование файлов на дисках, а также за создание задачи logs, которая чистит журналы Windows.
%systemroot%\tracing\ClearAllWinEventLogs.cmd - фактически дублирует функции файла logs.cmd
%systemroot%\tracing\0system.bat - Конфигурационный файл.
%systemroot%\tracing\delwin.bat - Производит удаление задач из планировщика заданий, которые служат для шифрования дисков.
%systemroot%\tracing\gpg.exe - сама утилита GnuPG.
%systemroot%\tracing\winnix_pub.asc - публичный ключ, сгенерированный на стороне злоумышленников.
YOUR FILES ARE ENCRYPTED!.txt - записка с требованиями выкупа.

Некоторые особенности шифрования диска С:

На диске С завершаются следующие процессы и службы:

NET stop MSSQLSERVER /Y
NET stop MSSQL$SQLEXPRESS /Y
NET STOP acrsch2svc /Y
NET STOP acronisagent /Y
NET STOP arsm /Y
NET STOP FirebirdServerDefaultInstance /Y
NET STOP FirebirdGuardianDefaultInstance /Y
NET STOP MuzzleServer /Y
taskkill /im 1cv7s.exe /T /F
taskkill /im 1cv8s.exe /T /F
taskkill /im 1cv7.exe /T /F
taskkill /im 1cv8.exe /T /F

Также происходит удаление теневых копий командой:

wmic shadowcopy delete

Дальше происходит импорт публичного ключа, командой:

"%p%"\gpg.exe --import winnix_pub.asc

И последующее шифрование файлов.

Пример публичного ключа злоумышленников:

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: GnuPG v1
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=3GAf

-----END PGP PUBLIC KEY BLOCK-----

Источники проникновения на компьютер жертвы:

Некоторые пользователи писали, что ловили его через электронную почту, но думаю здесь заражение происходит через подбор пароля к RDP. Ребята просто удаленно заходят и шифруют файлы на сервере.

Восстановление файлов:

Восстановление файлов думаю возможно только в том случае, если Вы сможете восстановить файл %SYSTEMROOT%\system32\config\systemprofile\Application Data\gnupg\secring.gpg, который содержит приватный ключ, но к сожалению, этот файл удаляется перед шифрованием.

Семпл: Free Automated Malware Analysis Service - powered by VxStream Sandbox

 

[Кирилл]

оторый содержит приватный ключ, но к сожалению, этот файл удаляется перед шифрованием.

Просто удаляется?А если дедовским методом попробовать восстановить?

 

[mike 1]

Просто удаляется?А если дедовским методом попробовать восстановить?

Перезаписывается мусором, а потом удаляется.

echo 77406a1e885873e930cb056a91c09c6025ca7a7cd21f132ab320494e> "%SYSTEMROOT%\System32\config\systemprofile\AppData\Roaming\gnupg\secring.gpg"
echo 77406a1e885873e930cb056a91c09c6025ca7a7cd21f132ab320494e> "%SYSTEMROOT%\System32\config\systemprofile\AppData\Roaming\gnupg\pubring.gpg"
del "%SYSTEMROOT%\System32\config\systemprofile\AppData\Roaming\gnupg\secring.gpg"
del /s /q "%SYSTEMROOT%\System32\config\systemprofile\AppData\Roaming\gnupg\"

 

[Кирилл]

Ну а все же-когда восстанавдиваешь файлы с отформатированного диска - порой попадается несколько копий.
Это не подходит?

 

[thyrex]

Сомнительно, что будет несколько копий.
Да и размер "мусора" берется больший, чем изначальное содержимое файла.