Невероятные приключения бат-энкодера в России

отредактировано November 2018 Раздел: Шифровирусы шумной толпою
Эпидемия bat.encoder-а в России бурно протекала в период с марта 2014 года по октябрь 2015 года.

Согласно дате создания приватных ключей
r4sn2wio3a2x.jpg

мы можем условно выделить несколько периодов:

1. начиная с 01.03.2014 г. для шифрования *.unblck@gmail_com, *.uncrpt@gmail_com, *.unstyx@gmail_com использовались следующие мастер-ключи:
P-crypt (P-crypt) <[email protected]>0x5C63D713/0x591A1333 создан 01.03.2014 года.
passphrase к данному мастер-ключу к сожалению неизвестна.
passphrase для сессионных ключей — "P-crypt"

StyxKey (StyxKey) <[email protected]> 0xF3E75FD0/0x01270FE6 создан 26.05.2014 года
passphrase: «HckTeam”
passphrase для сессионных ключей: «unstyx»

HckTeam (HckTeam) <[email protected]>0xE578490A/0xF107EA9F создан 01.06.2014 года.
Passphrase:”HckTeam”
passphrase для сессионных ключей могут быть: «paycrypt», «unblck», «uncrpt» в зависимости от идентификатора сессионного ключа.

если шифрование данным энкодером происходило в период с 26.05.2014 по 28.06.2014 года, используем известные мастер-ключи StyxKey (StyxKey) и HckTeam (HckTeam), чтобы расшифровать ключевой файл KEY.PRIVATE и извлечь сессионный secring.gpg, необходимый для расшифровки документов пользователя.

2. следующий период в истории bat-энкодера начинается с 28 июня 2014г, когда был создан новый ключ
HckTeam (HckTeam) <[email protected]>0x3ED78E85/0xF05CF9EE создан 28.06.2014 года
с этого момента шифрование документов идет с расширением *.paycrypt@gmail_com
по данному ключу нет в доступе секретной части.

05 августа 2014 г создан новый ключ
keybtc (keybtc) <[email protected]>0xAAB62875/0xA3CE7DBE создан 05.08.2014 года
с этого момента шифрование документов идет с расширением *.keybtc@gmail_com
по данному ключу нет секретной части.

Сессионные ключи в этот период имеют идентификаторы genesis ([email protected]) <[email protected]> и cryptpay (cryptpay) <[email protected]> создаваемые без парольной фразы.

В период июль 2014 года так же параллельно шло распространение простого энкодера с шифрованием *.PZDC, *.CRYPT, *.GOOD с использованием следующих ключей:
uncrypt <[email protected]>0x6E697C70/0xDF907172 создан 30.06.2014года
extension: (*.pzdc, *.crypt)
passphrase: “,tpgfhjkZ”
и
unlock <[email protected]>0xE71BDC55/0x63D1F277 от 17.07.2014 года
extension: (*.good)
passphrase: "Jur59ETnqq"

3. с января 2015 года

nllvj3b5qak3.jpg

и по октябрь 2015 года бат-энкодер шифрует файлы пользователей с расширением *.vault

kb3vgt6p1cln.jpg

в этот период смена мастер-ключей происходила часто, и неизвестен ни один ключ VaultCrypt для восстановления сессионных secring.gpg из VAULT.KEY

сессионные ключи в этот период имеют идентификатор Cellar и не содержат пассфразу.

В конце декабря 2015 года энкодер из России переместился в Германию, и трижды там отметился как *.xrtn, *.trun, *.xort. Во всех трех случаях был использован ключ kkkkk <[email protected]> (от 15.04.2015г), имя сессионного ключа (в случае *.xort) так же Cellar.

f5sch9rglfab.jpg
f03spc058pyy.png

подведем итоги:

khxfme4kbfyc.jpg

(c), chklst.ru
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:

Комментарии

  • отредактировано November 2018 PM
    Вирлаб ESET выпустил расшифровку файлов для вариантов *.GOOD, *.CRYPT
    Расшифровка файлов корректная, один из файлов коллекции модифицирован, поэтому вышла ошибка расшифровки.
    [2018.01.29 13:37:10.023] - Begin
    [2018.01.29 13:37:10.023] - 
    [2018.01.29 13:37:10.023] -     ....................................
    [2018.01.29 13:37:10.024] -   ..::::::::::::::::::....................
    [2018.01.29 13:37:10.025] -   .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT..    Win32/Filecoder.GPGCrypt
    [2018.01.29 13:37:10.026] -  .::EE::::EE:SS:::::::.EE....EE....TT......   Version: 1.0.0.0
    [2018.01.29 13:37:10.028] -  .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT......   Built: Jan 25 2018
    [2018.01.29 13:37:10.028] -  .::EE:::::::::::::SS:.EE..........TT......
    [2018.01.29 13:37:10.030] -   .::EEEEEE:::SSSSSS::..EEEEEE.....TT.....    Copyright (c) ESET, spol. s r.o.
    [2018.01.29 13:37:10.030] -   ..::::::::::::::::::....................    1992-2018. All rights reserved.
    [2018.01.29 13:37:10.030] -     ....................................
    [2018.01.29 13:37:10.030] - 
    [2018.01.29 13:37:10.031] - -------------------------------------------------------------------------------
    [2018.01.29 13:37:10.034] - INFO: Backup: 1
    [2018.01.29 13:37:10.034] - INFO: Looking for infected files...
    [2018.01.29 13:37:10.034] - --------------------------------------------------------------------------------
    [2018.01.29 13:37:10.035] - 
    [2018.01.29 13:37:10.035] - INFO: Cleaning file [GOOD_test\01. Цветные сны.mp3.good]
    [2018.01.29 13:37:10.254] - INFO: Cleaned.
    [2018.01.29 13:37:10.254] - 
    ...........
    [2018.01.29 13:37:10.469] - 
    [2018.01.29 13:37:10.469] - INFO: Cleaning file [GOOD_test\пленка.cdr.good]
    [2018.01.29 13:37:10.475] - INFO: Cleaned.
    [2018.01.29 13:37:10.476] - --------------------------------------------------------------------------------
    [2018.01.29 13:37:10.476] - INFO: 11 infected files found.
    [2018.01.29 13:37:10.476] - INFO: 10 file(s) cleaned.
    [2018.01.29 13:37:18.588] - End
    -
    
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2018 PM
    добавлена расшифровка для варианта .PZDC
    [2018.01.30 23:26:36.345] - Begin
    [2018.01.30 23:26:36.346] - 
    [2018.01.30 23:26:36.347] -     ....................................
    [2018.01.30 23:26:36.348] -   ..::::::::::::::::::....................
    [2018.01.30 23:26:36.349] -   .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT..    Win32/Filecoder.GPGCrypt
    [2018.01.30 23:26:36.365] -  .::EE::::EE:SS:::::::.EE....EE....TT......   Version: 1.0.0.0
    [2018.01.30 23:26:36.367] -  .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT......   Built: Jan 25 2018
    [2018.01.30 23:26:36.368] -  .::EE:::::::::::::SS:.EE..........TT......
    [2018.01.30 23:26:36.369] -   .::EEEEEE:::SSSSSS::..EEEEEE.....TT.....    Copyright (c) ESET, spol. s r.o.
    [2018.01.30 23:26:36.370] -   ..::::::::::::::::::....................    1992-2018. All rights reserved.
    [2018.01.30 23:26:36.371] -     ....................................
    [2018.01.30 23:26:36.371] - 
    [2018.01.30 23:26:36.371] - --------------------------------------------------------------------------------
    
    [2018.01.30 23:26:38.731] - INFO: Cleaning file [files\15092014 16_55_03.xls.pzdc]
    [2018.01.30 23:26:38.771] - INFO: Cleaned.
    [2018.01.30 23:26:38.772] - 
    ......
    [2018.01.30 23:26:38.885] - INFO: Cleaning file [files\Концепт uvs.txt.pzdc]
    [2018.01.30 23:26:38.920] - INFO: Cleaned.
    [2018.01.30 23:26:38.921] - 
    [2018.01.30 23:26:38.942] - INFO: Cleaning file [files\Правила поведения вахтеров.jpg.pzdc]
    [2018.01.30 23:26:39.018] - INFO: Cleaned.
    [2018.01.30 23:26:39.018] - --------------------------------------------------------------------------------
    [2018.01.30 23:26:39.020] - INFO: 11 infected files found.
    [2018.01.30 23:26:39.021] - INFO: 11 file(s) cleaned.
    [2018.01.30 23:26:41.423] - End
    

    скачать дешифраторы можно на странице технического форума forum.esetnod32.ru
    собственно, при наличие secring.gpg расшифровка возможна для любого варианта:
    *.paycrypt@gmail_com, *.keybtc@gmail_com, *.VAULT и другие, если шифрование было с помощью утилиты gpg.exe
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано May 2023 PM
    +
    еще хорошие новости:

    есть расшифровка для paycrypt@gmail_com, unblck@gmail_com, unstyx@gmail_com, если шифрование было в период с 26.05.2014 по 28.06.2014 года, c использованием известных уже мастер-ключей StyxKey - 0xF3E75FD0/0x01270FE6 и HckTeam - 0xE578490A/0xF107EA9F

    С Вашей стороны нужны файл KEY.PRIVATE и пара зашифрованных файлов, если шифрование было в указанный период.
    [2018.02.13 21:24:28.813] -
    [2018.02.13 21:24:28.814] -
    [2018.02.13 21:24:28.823] - INFO: Cleaning file [files\Вырезка из паспорта.doc.paycrypt@gmail_com]
    [2018.02.13 21:24:28.882] - INFO: Cleaned.
    [2018.02.13 21:24:28.883] -
    [2018.02.13 21:24:28.883] - INFO: Cleaning file [files\Разбрасыватель опилок.JPG.paycrypt@gmail_com]
    [2018.02.13 21:24:28.959] - INFO: Cleaned.
    [2018.02.13 21:24:28.960] -
    [2018.02.13 21:24:28.960] - INFO: 2 infected files found.
    [2018.02.13 21:24:28.962] - INFO: 2 file(s) cleaned.
    [2018.02.13 21:24:31.017] - End
    [2018.02.13 21:27:44.354] -
    [2018.02.13 21:27:44.354] -
    [2018.02.13 21:27:44.354] - INFO: Cleaning file [files\0QbPrKcKTEY.jpg.unblck@gmail_com]
    [2018.02.13 21:27:44.399] - INFO: Cleaned.
    [2018.02.13 21:27:44.400] -
    [2018.02.13 21:27:44.400] - INFO: Cleaning file [files\Сергей2.docx.unblck@gmail_com]
    [2018.02.13 21:27:44.413] - INFO: Cleaned.
    [2018.02.13 21:27:44.414] -
    [2018.02.13 21:27:44.414] - INFO: Cleaning file [files\ТЕЛЕФОНЫ ХИРУРГИЧЕСКОГО КОРПУСА.docx.unblck@gmail_com]
    [2018.02.13 21:27:44.424] - INFO: Cleaned.
    [2018.02.13 21:27:44.425] -
    [2018.02.13 21:27:44.425] - INFO: Cleaning file [files\Тех паспорт хирургии.pdf.unblck@gmail_com]
    [2018.02.13 21:27:44.505] - INFO: Cleaned.
    [2018.02.13 21:27:44.507] -
    [2018.02.13 21:27:44.507] - INFO: Cleaning file [files\Экстренные 17.04.2014.rar.unblck@gmail_com]
    [2018.02.13 21:27:44.607] - INFO: Cleaned.
    [2018.02.13 21:27:44.608] -
    [2018.02.13 21:27:44.609] - INFO: 5 infected files found.
    [2018.02.13 21:27:44.610] - INFO: 5 file(s) cleaned.
    [2018.02.13 21:27:46.360] - End
    [2018.04.12 10:25:49.766] - INFO: Looking for infected files...
    [2018.04.12 10:25:49.766] -
    [2018.04.12 10:25:49.766] -
    [2018.04.12 10:25:49.766] - INFO: Cleaning file [10\Изменения по ЛК Армении.docx.unstyx@gmail_com]
    [2018.04.12 10:25:49.777] - INFO: Cleaned.
    [2018.04.12 10:25:49.778] -
    [2018.04.12 10:25:49.778] - INFO: Cleaning file [10\Отраслевые сайты.docx.unstyx@gmail_com]
    [2018.04.12 10:25:49.783] - INFO: Cleaned.
    [2018.04.12 10:25:49.784] -
    [2018.04.12 10:25:49.784] - INFO: 2 infected files found.
    [2018.04.12 10:25:49.785] - INFO: 2 file(s) cleaned.
    [2018.04.12 10:25:49.787] - End
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано January 2019 PM
    любопытно, что один из файлов, зашифрованных как uncrpt@gmail_com,
    Как не прискорбно, но Вы стали жертвой целевой атаки
    Все файлы, имеющие расширение *.uncrpt@gmail_com, были зашифрованы при помощи алгоритма RSA-1024

    1. Никакой сис.админ или антивирусная компания никогда не смогут восстановить файлы
    2. Советуем почитать о взломе 1024-битного RSA ключа: http://ru.wikipedia.org/wiki/Криптоанализ_RSA

    3. У Вас есть два варианта:
    а) Форматировать диск и вернуть 0% файлов - неправильный выбор
    б) Купить уникальный ключ восстановления и вернуть 100% файлов - Правильно

    4. Письма с угрозами приведут к удалению секретного ключа
    5. Более того, все Ваши частоиспользуемые файлы слиты, мы сможем найти им применение
    6. У Вас есть ровно 5 дней (срок годности ключа). Обращайтесь за помощью: [email protected] (или [email protected])

    --

    Hello, it's me, CryptoLocker! Today I chose you, my friend.
    All your information is encrypted using the MOST STRONG ENCRYPTION in the world - RSA-1024

    1. Neither programmer, nor system administrator, nor law officer cannot decode RSA-1024
    2. Stop working and start reading about cracking 1024-bit RSA key: http://bit.ly/1kfA66e

    3. You have two variants:
    a) Format HDD and loose ALL important data forever - wrong choice

    Buy UNIQUE uncryption key and restore 100% of data - RIGHT choice

    4. Threatening letters will cause deleting of your Private RSA key
    5. Moreover, we have all your frequently-used files, and we can find them useful
    6. Unfortunately, you have only 5 days (Private key expires). E-mail us: [email protected] (or [email protected])


    DATA ENCRYPTED: 19.05.2014 17:46

    зашифрован известным приватным ключом.
    P-crypt (P-crypt) <[email protected]>0x5C63D713/0x591A1333 создан 01.03.2014 года.
    passphrase к данному мастер-ключу к сожалению неизвестна.
    passphrase для сессионных ключей — "P-crypt" ???

    gpg: зашифровано 1024-битным ключом RSA с идентификатором DE299FAA591A1333, созданным 01.03.2014
    "P-crypt (P-crypt) <[email protected]>"
    gpg: сбой расшифровки с открытым ключом: Плохая фраза-пароль
    gpg: сбой расшифровки: Нет закрытого ключа

    File: G:\DATA\shifr\encode_files\BAT.Encoder\uncrpt@gmail_com\10\001 (2).jpg.uncrpt@gmail_com
    Time: 17.02.2018 15:09:14 (17.02.2018 8:09:14 UTC)

    интересно, что этот приватный ключ "P-crypt (P-crypt) <[email protected]>" 0x5C63D713/0x591A1333 был выложен вместе с другими ключами StyxKey (StyxKey) <[email protected]> 0xF3E75FD0/0x01270FE6 и HckTeam (HckTeam) <[email protected]>0xE578490A/0xF107EA9F,

    но похоже никому не удалось получить пассфразу к данному ключу.

    есть предположение, что в мае (второй половине) 2014г шифрование *uncrpt@gmail_com шло этим паблик_ключом (без создания сессионных ключей для каждого пострадавшего юзера), и если есть у кого то дешифратор по данному расширению uncrpt@gmail_com, то в нем должна быть зашита пассфраза.

    констатируем что часть вариантов bat.encoder возможно расшифровать:
    +.crypt;
    +.GOOD;
    +.PZDC;
    +.paycrypt@gmail_com /если шифрование было до 28.06.2014 года/;
    +.unblck@gmail_com;
    +.unstyx@gmail_com
    -.uncrpt@gmail_com
    -.vault
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.