ShellLocker Ransomware
(шифровальщик-вымогатель)
© Генеалогия: Exotic > ShellLocker
К зашифрованным файлам добавляется расширение .L0cked
Названия файлов переименовываются на рэндомные.
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает блокировщик экрана, который подгружает озображение image.jpg и ставит его обоями рабочего стола.
YOUR PC IS LOCKED BY THE SHELLLOCKER!
ALL YOUR PHOTOS, VIDEOS, MUSIC'S ARE ENCRYPTED, YOU HAVE
1VV111 HOURS TO PAY 100 USD IN BITCOINS TO THE ADDRESS
BELOW, AFTER 1VV111 HOURS ALL YOUR FILES WILL BE GONE!
WHEN YOU PAY THE MONEY IT WILL TAKE 30 MINUTES AND YOUR
FILES WILL BE BACK. TRY SOMETHING FUNNY AND YOUR FILES WILL BE GONE.
YOU CAN DELETE THE VIRUS BUT YOUR FILES ARE GONE TOO!
HAVE A NICE DAY
Ошибки:
1VV111 - так в тексте написана цифра 48 искаженными латинскими буквами. Вымогатель знал только две IV (4) и VIII (8), потому и решил, что 48 получается от сочетания IV и VIII. Причем записал их как 1VV111. Правильно число 48 должно быть написано так: XLVIII, где XL - это 40, а VIII - цифра 8.
Ваш компьютер заблокирован с помощью Shelllocker!
Все ваши фото, видео, музыку в зашифрованном виде, у вас есть 48 часов, чтобы заплатить 100 долларов в биткоинах по адресу ниже, через 48 часов все ваши файлы исчезнут!
Когда вы заплатите деньги, это займет 30 минут и ваши файлы будут обратно. Подумаете, что шутка и ваших файлов не будет.
Вы можете удалить вирус, но ваши файлы исчезнут тоже!
Хорошего дня
Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
.001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .adf, .aep, .aepx, .aet, .aex, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFont, .config, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .dat, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .inx, .ion, .iso, .jar, .java, .jnt, .jnt, .jpeg, .jpg, .json, .k2p, .kdc, .key, .lib, .lng, .lnk, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .SFX, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (234 расширения).
Как оказалось, даже собственный дикриптер вымогателей не может расшифровать зашифрованные файлы. Уплата выкупа бесполезна!
Файлы, связанные с этим Ransomware:
image.jpg
<random_name>.exe
ShellLocker.exe
Document.exe
Documents.cmd
MicrosoftGenuineAdvantage.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
C:\Windows\System32\MSCOREE.DLL.local
C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscoreei.dll
C:\Windows\Microsoft.NET\Framework\Upgrades.2.0.50727\mscoreei.dll
C:\Users\test\AppData\Local\Temp\ShellLocker.vir.config
C:\Users\test\AppData\Local\Temp\ShellLocker.vir
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorwks.dll
Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\v2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\InstallRoot
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Upgrades
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\AppPatch
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\CLRLoadLogDir
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\OnlyUseLatestCLR
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Standards\v4.0.30319
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework\Policy\Upgrades
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Upgrades
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\NoGuiFromShim
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles
Сетевые подключения:
хттп://controll-the-world.comli.com (31.170.163.90:80) (США)
хттп://controll-the-world.comli.com/image.jpg
Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >> Ещё >> Ещё >>
Malwr анализ >>
Maldun анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
Обновление от 3 июля 2017:
Пост в Твиттере >>
Расширение: .L0cked
Email: 5quish@mail.ru
Целевые типы файлов:
Read to links: Tweet on Twitter ID Ransomware (ID as ShellLocker) Write-up on BC Video review
Thanks: Jakub Kroustek Michael Gillespie Lawrence Abrams CyberSecurity GrujaRS
© Amigo-A (Andrew Ivanov): All blog articles.
