Если вы не видите здесь изображений, то используйте VPN.

суббота, 21 января 2017 г.

Sage 2.0

Sage 2.0 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью редко используемого алгоритма ChaCha20, а затем требует перейти на Tor-сайт, чтобы уплатить выкуп в биткоинах и получить инструкции, как вернуть файлы. Сумма выкупа: $2000 (~2.15550 биткоина). По истечении 7 дней сумма выкупа удвоится. 

© Генеалогия: CryLocker > Sage > Sage 2.0

К зашифрованным файлам добавляется расширение .sage
Файлы не переименовываются. 

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: !Recovery_<3_chars>.html
Привожу записки из двух разных компьютеров. 

Содержание записки о выкупе:
mF9SDtko***
Need help with translation?? Use https://translate.google.com
ATTENTION! ALL YOUR FILES WERE ENCRYPTED!
PLEASE READ THIS MESSAGE CAREFULLY
All your important and critical files as well as databases, images and videos and so on were encrypted by software known as SAGE!
SAGE 2.0 uses military grade elliptic curve cryptography and you have no chances restoring your files without our help!
But if you follow our instructions we guarantee that you can restore all your files quickly and safely!
---
To get the instructions open any of this temporary links m your browser:
***7gie6ffnkrjykggd.er29sl.in/login/AUpcq***
***7gie6ffnkrjykggd.rzunt3u2.com/login/AUpcq***
This links are temporary and will stop working after some time, so if you can't open these links, you can use TOR Browser
The TOR Browser is available on the official website https://www.torproiect.org/
Just open this site, click on the "Download Tor" button and follow the installation instructions, then use it to open the following link:
***7gie6ffnkrjykggd.onion/login/AUpcq***
Please be sure to copy this instruction text and links to your notepad to avoid losing it.
dO5P5u6J77SV-3m-DNiR0fS28bSmYXvoMstN_hfU_vPaLVKNg2xr

Перевод записки на русский язык:
mF9SDtko***
Нужна помощь с переводом?? Используйте https://translate.google.com
ВНИМАНИЕ! Все ваши файлы были зашифрованы!
ПРОЧТИТЕ ЭТО СООБЩЕНИЕ ВНИМАТЕЛЬНО
Все ваши важные и критические файлы, а также базы данных, изображения и видео и т.д. были зашифрованы с помощью программы, известной как SAGE!
SAGE 2.0 использует военного класса эллиптической кривой криптографию и у вас нет никаких шансов восстановить файлы без нашей помощи!
Но если вы будете следовать нашим инструкциям, мы гарантируем, что вы можете восстановить все ваши файлы быстро и безопасно!
---
Чтобы получить инструкции откройте любую из этих временных ссылок и ваш браузер:
***7gie6ffnkrjykggd.er29sl.in/login/AUpcq***
***7gie6ffnkrjykggd.rzunt3u2.com/login/AUpcq***
Это ссылки временные и перестанут работать через некоторое время, так что, если вы не можете открыть эти ссылки, вы можете использовать Tor Browser
TOR Браузер доступен на официальном сайте https://www.torproiect.org/
Просто откройте этот сайт, нажмите на кнопку "Скачать Tor" и следуйте инструкциям по установке, а затем используйте его, чтобы открыть эту ссылку:
***7gie6ffnkrjykggd.onion/login/AUpcq***
Пожалуйста, не забудьте скопировать этот текст инструкции и ссылки в ваш блокнот, чтобы не потерять их.
dO5P5u6J77SV-3m-DNiR0fS28bSmYXvoMstN_hfU_vPaLVKNg2xr

Содержание записки о выкупе дублируется в скринлоке, т.е. изображении, встающем обоями рабочего стола. 

Информация с сайта оплаты
Я сделал одно анимированное изображение из четырёх страниц сайта. Содержание первых двух страниц больше и в одном экране не уместилось. Желающие ознакомиться с ним полностью, могут написать мне и получить их скриншоты для ознакомления. 

Распространяется, по данным Symantec, с помощью набора эксплойтов Rig, спам-рассылок с вредоносными вложениями, с помощью ботнета Trik, который использует троян Wortrik, но вполне может начать распространяться с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Во вложенном документе MS Office Word содержится вредоносный макрос, который жертве предлагается включить, чтобы отобразить содержимое документа. Неосторожный пользователь разрешает включить поддержку макросов в документе, после чего вредонос запускается на выполнение. Если UAC в системе не отключена, то пользователь видит её уведомление, в последний раз предостерегающее его от опасности. Если и здесь пользователь игнорирует предостережение, то шифровальщик запускается на выполнение. Если UAC в системе была ранее отключена, то никакого предостережения не будет, работа шифровальщика начнётся без промедления. Использует возможности Windows PowerShell. В планировщик будет заложена задача шифрования в определенный день и время. 

После шифрования теневые копии файлов удаляются командой:
vssadmin.exe delete shadows /all /quiet

Отключаются инструменты восстановления загрузки системы и точки восстановления системы командами: 
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
 .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .arc, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac, .dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rss, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .zip, .zipx, .zix, .zka (667 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Так выглядят зашифрованные файлы и записка о выкупе

Файлы, связанные с этим Ransomware:
!Recovery_<3_chars>.html - например, !Recovery_pqo.html или !Recovery_AVu.html
<random>.js
<random>.exe
<random>.tmp
<random>.bmp - скринлок на обои рабочего стола;
__config<random>.bat - например, __config471513749.bat
qucuh.exe
Tempequcuh.exe
Sage2Decrypter.exe
EMAIL_[random_numbers]_recipient.zip - пример email-вложения.

Расположения:
%TEMP%\<random>.vbs
%TEMP%\<random>.tmp
%USERPROFILE%\Desktop\!Recovery_<3_chars>.html
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<random>.lnk
%UserProfile%\AppData\Roaming\<random>.tmp

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41D55966-1192-454F-9C86-D0EB950D9984}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Fd3KZfCq
См. ниже результаты анализов.

Сетевые подключения и связи:
***mbfce24rgn65bx3g.rzunt3u2.com (66.23.246.239:80 - США)
***fortycooola.top (54.165.109.229:80 - США)
***smoeroota.top
***newfoodas.top
***84.200.34.99 (Германия)
***7gie6ffnkrjykggd.rzunt3u2.com
***7gie6ffnkrjykggd.er29sl.in
***7gie6ffnkrjykggd.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё>> Ещё >>
VirusTotal анализ >>  Ещё>>  Ещё>>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 февраля 2017:
Файл: Transactions_Report__by_users_from_2017-01-13_to_2017-01-20.exe
Фальш-имя: GuaranteesHindsight. Фальш-копирайт: The Audacity Team
Результаты анализов: HA, VT, DV

Обновление от 13 февраля: 
Пост в Твиттере >>
Версия: Sage v2.0
Расширение: .sage
Записка: !HELP_SOS.hta
Файлы:
   <random>.exe
   Dartmouth Hence.exe
   DOCUMENT_<random_digits>.pdf.exe
   doc_<random_digits>.exe
   %TEMP%\f1.vbs
   %USERPROFILE%\Desktop\!HELP_SOS.hta
Фальш-имя: Dartmouth Hence
Фальш-копирайт: BiniSoft.org
Сетевые подключения и связи: 
xxxx://mbfce24rgn65bx3g.op7su2.com - (52.90.78.180:80)
xxxx://7gie6ffnkrjykggd.onion/
xxxx://meyaau.com/doc_1928419212.exe***
Результаты анализов: HA + VT
Скриншоты страницы на сайте оплаты и рабочего стола с текстом записки о выкупе и адресами сайтов оплаты выкупа: 
 

Обновление от 22 февраля 2017:
Версия: Sage v2.2
Расширение: .sage
Фальш-имя: Adobe Service Manager
Адрес: ***mbfce24rgn65bx3g.io23zc.com и др.
Результаты анализов: HA+VT

Обновление от 8 марта 2017:
Версия: Sage v2.2
Файл: AssumeAffects.exe
Фальш-имя: AssumeAffects
Фальш-копирайт: WiseStarter.COM
Записка: !HELP_SOS.hta
Расширение: .sage
Адрес: ***mbfce24rgn65bx3g.io23zc.com (34.207.223.86) - США
Результаты анализов: HA+VT
Видеообзор от GrujaRS >>

Обзор от 14 октября 2017:
Ссылка на обзор на английском >>
Название: SAGE 2.2 Ransomware
Записка: !HELP_SOS.hta
Расширение: .sage
Сумма выкупа: 0.177720 BTC
TOR: xxxx://z5dq36kjy5swjtmr.hp8ewo.net/
xxxx://z5dq36kjy5swjtmr.0ny42p.com/
Скриншоты прилагаются. 
Записки о выкупе: hta-файл и обои
 Скрипт с текстом для воспроизведения
Поддерживаемые языки сайта оплаты
 Главная страница сайта оплаты
 Страницы оплаты и дешифровки

*
Обновление по версии 2.2 от 29 октября 2017:
Ссылка на статью от Fortinet >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Video review
 Tweet on Twitter
 ID Ransomware (ID as CryLocker)
Added later
Topic on BC (add. January 23, 2017) - help & support topic
Write-up on BC (add. January 23, 2017) - list of extensions
The ChaCha family of stream ciphers
Symantec Official Blog (add. February 14, 2017)
Write-up by Fortinet (add. October 30, 2017)
Additional article (from February 14, 2017)
Additional article (from January 30, upd. February 15, 2017)
 Thanks: 
 GrujaRS, Lawrence Abrams
 Michael Gillespie, Bart
 Andrew Ivanov (author)

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *