Petya&Micha Ransomware Recode

[AngelRed]

В продажу вступает модицифрованая, мощная легенда.
Функционал:
> Генерация своего ключа для каждого диска.
> Надежное закрепление в системе.
> Имитация проверки диска (chkdsk) после заражения, и последующая блокировка
> Маленький размер файла: 60-90 кб.
> Рандомное расширение, <random{7}>
Примеры расширений: .FPCKI59 .WP93DPE .CDOSCKX .SPD0330 .SGGP0ZZ
> Шифрование главной загрузочной записи (MBR) загрузочного сектора диска и замена его своим собственным.
> Распространение внутри сети на другие узлы.
(происходит несколькими методами: с помощью WindowsManagement Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue)).
> Работа без админ прав, и с админ правами. В зависимости от возможностей пользователя - будут работать разные режимы.
> Перед запуском шифрования петя выключает распространённые процессы, которые могут мешать качественному шифрованию файлов.
> Перед оплатой билда вы можете запросить подключить Анти-СНГ модуль.
> Silent UAC.
Для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе.
Работа :
При установке будет сканировать компьютер на наличие определённых файлов, которые будут зашифрованы, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.30F9D0G. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла.
Каждый файл зашифрован новым ключом или вектором инициализации.
Файл до и после.
https://i.imgur.com/8vAabI4.png
https://i.imgur.com/5qKSSws.png
В случае, если диски и файлы оказались успешно зашифрованы после перезагрузки, на экран выводится имитация проверки системных файлов (chkdsk), по завершению "проверки", пользователь попадет уже на экран с информацией о блокировки и выкупе.
Список файловых расширений, подвергающихся шифрованию (Добавляю по желанию больше) :
.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .dds, .default, .der, .dfm, .directory, .disc, .dll, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .exe, .fff, .flv, .frm, .gfx, .gif, .gzip, .htm, .html, .ico, .idl, .iiq, .indd, .inf, .ini, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lib, .lit, .lnk, .localstorage, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p7b, .p7c, .pages, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pspimage, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .tiff, .toast, .ts,.txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip
Расшифровать на данный момент - нельзя, и в ближайщее время не будет возможным.
Стоимость
> 100$ - build.
> 15$ - rebuild.
> Word (Silent) - 20$. (Word 2013-2018). Данная услуга доступна только пользователям, и только для пети.
> Исходник обсуждается лично.
Предупреждаю. Будет продано ограниченное количество билдов.
Неадекватным людям - просьба не тревожить от слова совсем.
Связь:
Telegram @petyamichapey
Jabber mailto:[email protected]
Готов пройти проверку от модераторов.