Jump to content
Sign in to follow this  
PetyaMicha_Slow

Petya&Micha Ransomware Recode

Recommended Posts

В продажу вступает модицифрованая, мощная легенда.

Функционал:

> Генерация своего ключа для каждого диска.

> Надежное закрепление в системе.

> Имитация проверки диска (chkdsk) после заражения, и последующая блокировка

> Маленький размер файла: 60-90 кб.

> Рандомное расширение, <random{7}>

Примеры расширений: .FPCKI59 .WP93DPE .CDOSCKX .SPD0330 .SGGP0ZZ

> Шифрование главной загрузочной записи (MBR) загрузочного сектора диска и замена его своим собственным.

> Распространение внутри сети на другие узлы.

(происходит несколькими методами: с помощью WindowsManagement Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue)).
> Работа без админ прав, и с админ правами. В зависимости от возможностей пользователя - будут работать разные режимы.
> Перед запуском шифрования петя выключает распространённые процессы, которые могут мешать качественному шифрованию файлов.
> Перед оплатой билда вы можете запросить подключить Анти-СНГ модуль.
> Silent UAC.


Для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе.


Работа :

При установке будет сканировать компьютер на наличие определённых файлов, которые будут зашифрованы, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.30F9D0G. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла.

Каждый файл зашифрован новым ключом или вектором инициализации.

Файл до и после.
https://i.imgur.com/8vAabI4.png
https://i.imgur.com/5qKSSws.png


В случае, если диски и файлы оказались успешно зашифрованы после перезагрузки, на экран выводится имитация проверки системных файлов (chkdsk), по завершению "проверки", пользователь попадет уже на экран с информацией о блокировки и выкупе.


Список файловых расширений, подвергающихся шифрованию (Добавляю по желанию больше) :

.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .dds, .default, .der, .dfm, .directory, .disc, .dll, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .exe, .fff, .flv, .frm, .gfx, .gif, .gzip, .htm, .html, .ico, .idl, .iiq, .indd, .inf, .ini, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lib, .lit, .lnk, .localstorage, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p7b, .p7c, .pages, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pspimage, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .tiff, .toast, .ts,.txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip


Расшифровать на данный момент - нельзя, и в ближайщее время не будет возможным.


Стоимость

> 100$ - build.
> 15$ - rebuild.

> Word (Silent) - 20$. (Word 2013-2018). Данная услуга доступна только пользователям, и только для пети.

> Исходник обсуждается лично.


Предупреждаю. Будет продано ограниченное количество билдов.
Неадекватным людям - просьба не тревожить от слова совсем.


Связь:
Telegram @petyamichapey

Jabber [email protected]


Готов пройти проверку от модераторов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...