BAT.Encoder

safety

В полку вредоносных программ, шифрующих данные и документы пользователя прибыло. Вариант, использующий легальную программу GnuPG с криптографией PGP/OpenPGP называют по классификации DrWeb BAT.encoder. Существуют несколько вариантов BAT.encoder, но все они используют один и тот же механизм шифрования. На стороне пользователя создается ключевая пара: pub/sec key. В дальнейшем, sec key /secring.gpg/ сразу же шифруется открытым ключом из пары, созданной на стороне злоумышленников и сохраняется (в зашифрованном виде) в файле KEY.PRIVATE. Оригинал сессионного sec key удаляется спец. утилитой с целью защиты от восстановления. Шифрование данных и документов пользователя на всех найденных локальных, съемных и сетевых дисках выполняется публичным pub key ключом /pubring.gpg/ из созданной сессионной пары. /естественно, воспроизвести повторно ключевую пару невозможно, всякий раз будет создана новая пара с уникальным отпечатком./

пример pub key:

отпечаток: 8637 E30A 6EC3 3205 F0C6  A1E5 5B0D 504C 12B9 516A
ID 12B9516A
ID длин. 5B0D504C12B9516A

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mI0EU/6w/QEEALe9xEmdsFgpYjjDi8MJYQd4kwapQs1BVFXpHLp+MoUYJhLEbfvD
eB9zy3ytgO0zlJclkLOrhcNKMZLASefh8izzzuf9kTDr3KHA/wr95F9vxJVGor4Q
UzJ5JqIPgaxVeCvrAQjGkGUPG0dMl+g2mPKNWNCoWb61qnXT1SURA57jABEBAAG0
JGdlbmVzaXMgKGdlbmVzaXMpIDxrZXlidGNAZ21haWwuY29tPoi4BBMBAgAiBQJT
/rD9AhsvBgsJCAcDAgYVCAIJCgsEFgIDAQIeAQIXgAAKCRBbDVBMErlRakU2A/9D
WH1QhB+0z9IywdT0lfO8/Y8MeO16kCBhBXTvLVohfcNY9icZf+54Wi7OCKyBKyh2
HhAgo0ezzg61uKs5ktiihIDfcWKpcy42niZfZlkz2/QGydvRVLnGP7YtnCqi6bZP
XXKbc0R+izq5xX1F8fiuzxiRSDURDxj43V2dhzVR0w==
=p6nf
-----END PGP PUBLIC KEY BLOCK-----

gpg: зашифровано 1024-битным ключом RSA, с ID 12B9516A, созданным 28.08.2014
"genesis (genesis) "

восстановить полностью ключевую пару невозможно без наличия секретной части ключа, который злоумышленники используют в энкодере.

В теле bat файла содержится лишь публичная часть ключа злоумышленников, которым шифруется sec key из ключевой пары, созданной на стороне юзера.

(в данном случае используется ключ/подключ.... шифрование выполнено подключом, в целях возможной замены подключа, при его компроментации.)

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78
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=yxjK
-----END PGP PUBLIC KEY BLOCK-----

gpg: зашифровано 2048-битным ключом RSA, с ID A3CE7DBE, созданным 05.08.2014
"keybtc (keybtc) "
gpg: сбой расшифрования: секретный ключ не найден.

File: W:\bat.encoder\[email protected]\12B9516A_A3CE7DBE\KEY.PRIVATE
Time: 06.09.2014 17:26:44 (06.09.2014 10:26:44 UTC)

Как защититься от энкодеров:

1. прежде всего, установить антивирусную защиту и регулярно обновлять базы, есть вероятность, что антивирус заблокирует процесс загрузки компонентов вредоносной программы из внешней сети, с определенных URL-адресов или перехватит запуск bat энкодера на локальной системе.

2. регулярно создавать и обновлять архивные копии ваших документов, плюс обратите внимание, что архивы rar, zip могут быть так же зашифрованы, если окажутся на вашем диске в момент работы шифратора.

*.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf
*.accdb *.zip *.rar *.max *.cd *

3. от повторного заражения может защитить наличие в каталоге %temp% файлов: keybtccheck.bin, crypta.bin, crypti.bin, paycrpt.bin, alligation.bit и skipcrypo.bit и др., если в теле энкодера присутствует следующая строка: if exist "%temp%\keybtccheck.bin" goto replyauto , завершающая процесс работы энкодера. (c), В.Мартьянов, DrWeb.

добавлю, что это мера защиты от повторного запуска, предусмотрена разработчиками шифратора, и может быть пересмотрена от версии к версии, т.о. не является серьезным шагом для защиты от шифрования.

4. процесс шифрования может быть остановлен и завершен после перезагрузки системы или аварийного завершения работы.

5. Пробуйте с помощью, например, HIPS запретить запись в файлы pubring.gpg, secring.gpg в папке %temp% в любом случае, в данной модификации bat-encoder (если он использует GnuPG) после скачивая утилиты gpg.exe (которая может быть переименована как угодно) вначале будет пытаться создать ключевую пару в эти файлы. а затем будет шифровать ваши данные с помощью созданных ключей.
Если перехватить процесс на стадии создания ключей, то шифрование не состоится. или можете положить известные вам ключи pubring.gpg, secring.gpg
------
троян, если не сможет их перезаписать, возможно будет пытаться их использовать для шифрования.



вообщем, так и выходит: защищаем в HIPS добавленные в %temp% известную пару pub/sec ключей
в итоге, бат_энкодер, если пробился через черные списки и мониторинг, не сможет перезаписать, и удалить эту пару ключей, и шифровать документы будет вашим pub key. соответственно, и secring.gpg из этой пары не будет удален и перезаписан.

результат:

файлы зашифрованы, но ключик то секретный у нас хранится на связке ключей. .

Upd: достаточно положить и защитить pubring.gpg, а секретную часть ключа хранить в надежном месте.

Upd1: bat encoder слегка модифицировался (вариант от 26.09.2014), теперь используются два ключа на рандомный выбор (AAB62875/A3CE7DBE и 3ED78E85/F05CF9EE) для шифрования secring.gpg из ключевой пары, созданной на стороне юзера. вместо "taskmgr.exe" модуль gpg.exe (скачивается из сети) теперь называется "svchost.exe".
сцена по прежнему разворачивается в папке %temp% пользователя.
и по прежнему актуально блокирующее правило защиты от перезаписи и удаления для конечного файла %temp%\pubring.gpg
-----------
(c), chklst.ru

my pubring.gpg
скачать известную ключевую пару

safety

Создатели нашумевшего трояна отвечают на вопросы Артема Бардижа

-Как мне вас называть?

-Как угодно. Господа злоумышленники. Вы.

-Вы один человек или группа людей?

-(пусто)

-Откуда вы? (хотя бы страна или континент).

-Вопрос в том, откуда или где находимся. К сожалению для пользователей, мы не новички, а это означает большой нанесённый ущерб. Адекватно оценив ситуацию, находится на одном месте не есть правильным. Путешествуем, скажем так.

-Что такое keybtc?

-Для восстановления данных по факту нужны две составляющие. BitCoin и Private.key. “Получи ключ за btc”. После оплаты ключи отправляются. Иногда с задержкой, так как есть фактор загрузки работы робота-автоответчика.
......
......
......
-Если я правильно понимаю, можно не платить вам, достаточно дождаться дешифратора от антивирусной компании? Если они его сделают.

-Некие товарищи опубликовали в открытый доступ те самые приватные ключи для дешифрования KEY.PRIVATE от почт paycrypt и еще каких-то. Это предоставило отличную возможность антивирусным лабораториям (таким как Dr Web & Kaspersky) подзаработать на лицензиях при обращении в ТП. У keybtc подобных планов (отправка приватной части) нет и не будет.

http://apps.plushev.com/2014/08/14/2829/

safety

в связи с тем, что команда paycrypt, прежде чем запустить новый вариант бат-энкодера (paycrypt@gmail_com) предоставила в распоряжение хелперов и вирус_аналитиков несколько своих мастер-ключей :

:user ID packet: "P-crypt (P-crypt) "
:signature packet: algo 1, keyid 278605395C63D713
(sig created 2014-03-01)

:user ID packet: "StyxKey (StyxKey) "
:signature packet: algo 1, keyid BAC121F1F3E75FD0
(sig created 2014-05-26)

:user ID packet: "HckTeam (HckTeam) "
:signature packet: algo 1, keyid 528FE439E578490A
(sig created 2014-06-01)

для расшифровки файла KEY.PRIVATE, есть возможность расшифровать ранние (первая половина-июнь 2014 года) зашифрованные документы с расширением: .unblck@gmail_com/.uncrpt@gmail_com/.unstyx@gmail_com/.paycrypt@gmail_com

safety

получены secring.gpg с id

0x6E697C70/0xDF907172 uncrypt <[email protected]>, 0xE71BDC55/0x63D1F277 unlock <[email protected]>

и passphrase к этим ключам для расшифровки файлов, зашифрованных бат-энкодером с расширением *.PZDC, *.CRYPT, *.GOOD. судя по созданным ключам, данные шифраторы были активны в июле 2014 года, параллельно с другими вариантами бат-энкодера: paycrypt@gmail_com/keybtc@gmail_com.

gpg: зашифровано 1024-битным ключом RSA с идентификатором 2BECECA6DF907172, созданным 30.06.2014
"uncrypt <[email protected]>"

File: C:\DATA\decrypt\files\bat encoder\CRYPT\DF907172\1\DSCN3637.JPG.crypt
Time: 13.12.2017 10:19:37 (13.12.2017 3:19:37 UTC)

gpg: зашифровано 1024-битным ключом RSA с идентификатором 57DCC0A163D1F277, созданным 17.07.2014
"unlock <[email protected]>"

File: C:\DATA\decrypt\files\bat encoder\GOOD\57DCC0A163D1F277\10\Katalog-06.pdf.good
Time: 13.12.2017 10:22:56 (13.12.2017 3:22:56 UTC)

p.s. спасибо за помощь thyrex, BloodDolly!

safety

добавлю, что в апреле 2016 года были случаи с использованием GnuPG варианта с шифрованием *.repairfiles365@gmail_com
https://forum.esetnod32.ru/forum35/topic13163/?PAGEN_1=3
https://virusinfo.info/showthread.php?t=199536

интересно, что в обоих случаях на компьютерах пострадавших пользователей установлен не_без_известный софт Medoc: C:\ProgramData\Medoc\Medoc_2\ezvitInfo.exe
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ezvitInfo

возможно, именно через него и было получено "очередное обновление с нагрузкой шифратора"

пример записки:

Все ваши документы, фотографии, базы данных и другие файлы были зашифрованы криптостойким алгоритмом с уникальным для вашего ПК ключом.

Если вы хотите убедится в том, что дешифратор для ваших файлов у нас действительно есть, можете прислать нам какой-нибудь зшифрованный файл и мы вернем его оригинал

E-mail для связи с нами - [email protected]

пример зашифрованных файлов:
v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
001_0218_2.zip.id-{C4591254}_repairfiles365@gmail_com

использован ключ:

gpg: зашифровано 1024-битным ключом RSA с идентификатором 3DEC2AC53ADBF810, созданным 11.04.2016
"mycrypt (mycrypt) <[email protected]>"
gpg: сбой расшифровки, нет закрытого ключа.

File: C:\DATA\decrypt\files\bat encoder\repairfiles365@gmail_com\10\encode_files\v1.2.3_NewInConfig_ru.htm.id-{815F73E7}_repairfiles365@gmail_com
Time: 09.02.2018 8:46:38 (09.02.2018 1:46:38 UTC)

к сожалению, по второй теме нет зашифрованных файлов, чтобы проверить каким ключом было выполнено шифрование, т.е. использовался ли в этих случаях один и тот же ключ, или в каждом случае была создана уникальная пара pub/sec key.

---

вторая половина 2016 года:
шифрование *.WNX:
https://forum.esetnod32.ru/forum35/topic13487/

использован ключ winnix <[email protected]>
пример зашифрованного файла:

IMG_0185.JPG.wnx
gpg: зашифровано ключом RSA с идентификатором B41CFCCAF7CED07E

File: C:\DATA\decrypt\files\wnx\4\IMG_0185.JPG.wnx
Time: 09.02.2018 10:05:00 (09.02.2018 3:05:00 UTC)

---

шифрование *.MATRIX

пример ключа:
PGuest43 0xBF22D8AF/0x91239522

пример зашифрованного файла:
LbPCy1fREZX.id-D31FE624BF22D8AF.MATRIX

записка о выкупе: (matrix-readme.rtf)

Внимание! Все Вашu файлы были зашифpoваны.
Чmoбы раcшифрoвать uх, Вам нeoбхoдимo omnравить код:
ID-D31FE624BF22D8AF
на электpoнный адрес: [email protected]
Далeе в oтвeтнoм пиcьмe вы noлyчите вce нeoбxoдuмые uнстpyкцuu.
Пonыmku расшифрoвать самocmoяmeльнo не пpuвeдym ни k чемy, kрoмe безвoзвpатнoй noтeри инфoрмацuи.
Ecли вы вcё же xomиme nonыmаmьcя, тo пpедваритeльнo cдeлайтe pезервныe konиu файлoв, uначe в слyчаe ux изменeнuя раcшифрoвка станeт нeвoзмoжнoй ни при каkuх ycлoвuяx.
Еcли вы не noлyчuлu oтвета пo вышеykазаннoмy адpecy в течениe 24 чаcoв (и тoльko в этoм случае!), вoспoльзуйmecь резервнoй пoчтoй:
[email protected]

Аttеntiоn! Аll yоur filеs wаs еnсryрtеd.
Tо dесryрt thе filеs, Yоu hаvе to shоuld sеnd thе fоllоwing cоdе:
ID-D31FE624BF22D8AF
tо е-mаil аddrеss: [email protected]
Thеn Yоu will rеciеvе аll nеcеssаry instruсtiоns.
Аll thе аttеmpts оf dесryptiоn by yоursеlf will rеsult оnly in irrеvосаble lоss оf yоur dаtа.
If yоu still wаnt tо try tо dеcrypt thеm by yоursеlf plеаsе mаkе а bаckup аt first bеcаusе thе dесryptiоn will bеcоmе impоssiblе in cаsе оf аny chаngеs insidе thе filеs.
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаil fоr mоrе thоn 24 hеurs (аnd оnly in this cаsе!), usе thе rеsеrvе е-mаil аddrеss:
[email protected]

указанный ID в записке о выкупе является идентификатором pub key, которым выполнено шифрование.

safety

FCrypt Ransomware обнаружен в сети в начале февраля, возможно как тестовый вариант.

судя по коду шифратора, GnuPG используется в данном случае для шифрования рандомного ключа, с помощью которого шифруются файлы пользователя.

"%MYFILES%\gpg.exe" --import "%MYFILES%\FCRYPT_RSA_PUBLIC_KEY.TMP"
"%MYFILES%\gpg.exe" -r FCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\FCRYPT_KEY.TMP"
del "%temp%\FCRYPT_KEY.TMP" >nul 2>nul

публичный ключ FCrypt (импортированный из файла FCRYPT_RSA_PUBLIC_KEY.TMP) создан на стороне злоумышленников.
gpg: ключ D79BF9D67589C395: "FCrypt"

Очевидно, что этот файл может меняться от версии или сборки.
ключевая пара при этом, на стороне пользователя, не создается и не используется.

файлы пользователя шифруются по другому алгоритму. (не OpenPGP)

%MYFILES%\svchost.exe -e %passmd5% "%%i" "%%i.FCrypt" >nul 2>nul && del "%%i" >nul 2>nul

gpg: не найдено данных формата OpenPGP.
gpg: processing message failed: Неизвестная системная ошибка
File: G:\DATA\shifr\encode_files\BAT.Encoder\FCrypt\10\Pointers.pdf.FCrypt

в качестве записки о выкупе используется шаблон:

--= FCRYPT V1.1 =--

Warning!

All your important files are encrypted and have the extension: .FCrypt

No one else can decrypt your file!

Please follow the steps below:

|
|1. Send this file (#HELP-DECRYPT-FCRYPT1.1#.txt) to E-mail : [email protected]
|
|2. Uninstall all anti-virus software on your computer.
|
|3. Waiting for our reply .
|

You DON'T need to pay any money for decryption.

NOTE!
IN ORDER TO PREVENT DATA DAMAGE:

# DO NOT MODIFY ENCRYPTED FILES
# DO NOT CHAGE DATA BELOW

+
добавляется информация о зашифрованном ключе в base64-кодировке.

C:\Windows\System32\certutil -encode "%temp%\FCRYPT_KEY.TMP.gpg" "%temp%\FCRYPT.KEY"
copy /b "%MYFILES%\FCrypt.txt.tmp"+"%temp%\FCRYPT.KEY" "%temp%\#HELP-DECRYPT-FCRYPT1.1#.txt"