вторник, 18 июня 2019 г.

LooCipher

LooCipher Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LooCipher. На файле написано: LooCipher.exe. Видеообзор >>

Обнаружения: 
DrWeb -> Trojan.Siggen8.33057
BitDefender -> Gen:Heur.Ransom.Imps.3
ALYac -> Trojan.Ransom.LooCipher
Malwarebytes -> Ransom.LooCipher
ESET-NOD32 -> A Variant Of Win32/Filecoder.NWG
Kaspersky -> Trojan-Ransom.Win32.Agent.avav
Symantec -> Trojan.Gen.2

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .lcphr


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовая записка с требованием выкупа называется: @Please_Read_Me.txt

Содержание записки о выкупе:
Q: What happened to my files?
A: All your important files (including those on the network disks, USBs, etc.) have been encrypted using a strong algorithm with a private and unique key generated for you.
Q: Where is my key?
A: Your key is stored in our tor servers in order to preserve the anonymity.
Q: What do I do?
A: You need to make a Bitcoin payment for the decryption.
Please send €300 (~$330) worth of Bitcoin to this address: 1Ps5Vd9dKWuy9FuMDkec9qquCyTLjc2Bxe
Q: Can I recover my files by other means?
A: No. There is not such a computing power nowadays to find this key within the time of a human could live. Even if you use Tianhe-2
(Milkyway-2), currently the fastest supercomputer in the world, it will take millions of years. Neither NO ONE ANTIVIRUS CAN BRING YOUR FILES BACK, the only thing they could do is delete the decryptor software, but it's impossible they can recover your files, and if some of them is trying to sell you that, we invite you to purchase it and try.
Q: How much time do I have?
A: You have 5 days since your files were encrypted. Specifically until 2019/06/24 14:28. After this period your key will be automatically
destroyed (except for the case of having made the transaction within the period but because of the transaction remains pending of being
confirmed by the blockchain this time period is excedeed. In this case the key will remain safe throughout all this "pending of being confirmed" status of your transaction and additionally it will remain 7 days more after your transaction is confirmed in order that you have enough time to recover your files)
Q: How can I trust?
A: We strongly guarantee you can recover your files. Besides, if we didn't do it nobody trust us and we wouldn't get any payment. In fact, we built the decryptor in the own encryptor software as well in order to make the decryption process as simple as possible for you, thus avoiding having to download an external decryptor. Just make the payment, click <Check payment> and if your payment is approved the <Decrypt> button will become enable to click.
If somehow you closed the decryptor window and you can't run the decryptor software you can download a copy of the decryptor through this link:
https://mega.nz/#!KclRVIRY!YrUgGjvldsoTuNZbCOjebAz5La7hbB41nJHklmlgqZo
(Don't worry, your files won't be re-encrypted if they already are).

Перевод записки на русский язык:
В: Что случилось с моими файлами?
О: Все ваши важные файлы (включая файлы на сетевых дисках, USB-накопителях и т. д.) были зашифрованы надежным алгоритмом с созданным для вас закрытым и уникальным ключом.
В: Где мой ключ?
О: Ваш ключ хранится на наших Tor-серверах, чтобы сохранить анонимность.
В: Что мне делать?
О: Вам надо внести биткоин-платеж за дешифрование.
Пожалуйста, отправьте биткоины на сумму €300 (~$330) по этому адресу: 1Ps5Vd9dKWuy9FuMDkec9qquCyTLjc2Bxe
В: Могу ли я восстановить свои файлы другими способами?
О: Нет. В настоящее время нет такой вычислительной мощности, чтобы найти этот ключ во время жизни человека. Даже если вы используете Tianhe-2 (Milkyway-2), в настоящее время самый быстрый суперкомпьютер в мире, это займет миллионы лет. НИ ОДИН АНТИВИРУС НЕ МОЖЕТ ВЕРНУТЬ ВАШИ ФАЙЛЫ, единственное, что они могут сделать, это удалить программу-расшифровщик, но они не смогут восстановить ваши файлы, и если некоторые из них пытаются продать вам это, мы приглашаем вас приобрести его и пытаться.
В: Сколько у меня времени?
О: У вас есть 5 дней с тех пор, как ваши файлы были зашифрованы. Точнее, до 2019/06/24 14:28. По истечении этого срока ваш ключ будет автоматически уничтожен (за исключением случая совершения транзакции в течение периода, но из-за транзакции остается в ожидании подтверждения блокчейном, этот период превышен. В этом случае ключ будет оставаться безопасным на протяжении всего этого "ожидающего подтверждения" статуса вашей транзакции, и дополнительно он будет оставаться еще 7 дней после подтверждения вашей транзакции, чтобы у вас было достаточно времени для восстановления файлов)
В: Почему я должен доверять?
О: Мы твердо гарантируем, что вы можете восстановить ваши файлы. Кроме того, если бы мы этого не делали, никто нам не доверял, и мы бы не получили никакой оплаты. Фактически мы встроили расшифровщик в собственную программу для шифрования, чтобы максимально упростить процесс расшифровки, избегая при этом необходимости загружать внешний расшифровщик. Просто сделайте платеж, нажмите <Проверить оплату>, и если ваш платеж будет одобрен, кнопка <Расшифровать> станет активной для нажатия.
Если как-то вы закрыли окно расшифровщика и не можете запустить программу-расшифровщик, вы можете скачать копию расшифровщика по этой ссылке:
https://mega.nz/#!KclRVIRY!YrUgGjvldsoTuNZbCOjebAz5La7hbB41nJHklmlgqZo
(Не волнуйтесь, ваши файлы не будут повторно зашифрованы, если это уже сделано).
---

Запиской с требованием выкупа также выступает экран блокировки:
На скриншотах разные BTC-адреса, это говорит о том, что для каждый жертвы создан свой BTC-адрес. 

Содержание текста о выкупе:
All your important files are encrypted!
All your important files (photos, documents, databases, etc.), including those on the network disks, USB, etc. were
encrypted using a strong algorithm with a private and unique key generated for this computer. This key is stored in our
TOR server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
We strongly guarantee that you can recover all your files safely and easily.
But you need to make the payment before 5 days after your files were encrypted, since the server will
automatically destroy your key after that period and then nobody will ever be able to restore your files.
Don't spend your time searching alternative solutions to recover your files because there is no other solution. If you don't know how to buy Bitcoins click -> [How to buy Bitcoin?]. TO RECOVER YOUR FILES FOLLOW THESE 3 STEPS:
1. Send at least €300 worth of Bitcoin to this Bitcoin address generated for you:
1D8TsTKpxR9VWWBwkCYCMUfr9LWV8fyo2F [Copy]
2. Once you have made the payment click -> [Check Payment]
* your transaction may take some hours to be confirmed by the Blockchain system, so if you Check Payment and it fails wait some hours
and try again. Don't worry, we will not delete your key while your transaction is done but pending of being confirmed.
3. If your payment was approved, this <DECRYPT> button will get automatically enabled.
Then, just click it to decrypt all your files:
<DECRYPT>
Server is up
Your key will be destroyed on:
~ 2019/06/23 19:20
Time left: 119:56:11

Перевод текста на русский язык:
Все ваши важные файлы зашифрованы!
Все ваши важные файлы (фотографии, документы, базы данных и т.д.), в том числе файлы на сетевых дисках, USB и т.д., были зашифрованы надежным алгоритмом с закрытым и уникальным ключом, сгенерированным для этого компьютера. Этот ключ хранится в нашем
TOR-сервере и единственный способ получить ваш ключ и расшифровать ваши файлы - это сделать биткоин-платеж.
Мы твердо гарантируем, что вы можете безопасно и легко восстановить все ваши файлы.
Но вы должны сделать оплату до 5 дней после того, как ваши файлы были зашифрованы, т.к. сервер автоматически уничтожит ваш ключ после этого периода, и тогда никто не сможет восстановить ваши файлы.
Не тратьте время на поиск альтернативных решений для восстановления ваших файлов, потому что другого решения нет. Если вы этого не знаете, как купить биткойны, нажмите -> [Как купить биткоины?]. ВОССТАНОВИТЬ ФАЙЛЫ ЗА 3 ШАГА:
1. Отправьте биткоины на сумму не менее 300 евро на этот сгенерированный для вас адрес биткойна:
1D8TsTKpxR9VWWBwkCYCMUfr9LWV8fyo2F [Копировать]
2. После совершения платежа нажмите -> [Проверить оплату]
* Ваша транзакция может быть подтверждена системой Blockchain в течение нескольких часов, поэтому, если вы проверите платеж, и он потерпит неудачу, подождите несколько часов и повторите попытку. Не беспокойтесь, мы не удалим ваш ключ, пока ваша транзакция завершена, но ожидает подтверждения.
3. Если ваш платеж был одобрен, эта кнопка <DECRYPT> автоматически включится.
Затем просто щелкните по нему, чтобы расшифровать все ваши файлы:
<Расшифровать>
Сервер работает
Ваш ключ будет уничтожен:
~ 2019/06/23 19:20
Время осталось: 119:56:11

---

Другим информатором жертвы выступает изображение @LooCipher_wallpaper.bmp, которое копируется на Рабочий стол и заменяет собой его обои. 

Содержание текста о выкупе:
All your important files are encrypted!
If you see this text but don't see the "LooCipher" window, then your antivirus removed the "LooCipher" decrypt software or somehow you closed it.
If you need your files you have to run the decrypt software and follow the given instructions. So, remove "LooCipher" from the antivirus quarantine or find a copy of "LooCipher" in the Internet and start it again.
You can download "LooCipher" from this link:
https://mega.nz/#!KclRVIRY!YrUgGjvldsoTuNZbCOjebAz5La7hbB41nJHklmlgqZo
(you can directly copy this link from the '@Please_Read_Me.txt' file)
Please, don't spend time searching alternative solutions to recover your files. The only way to recover them is through the "LooCipher" decryptor.
Your private key to recover your files will be destroyed approximately at:
2019/06/23 19:20

Перевод текста на русский язык:
Все ваши важные файлы зашифрованы!
Если вы видите этот текст, но не видите окно "LooCipher", значит, ваш антивирус удалил расшифровщик "LooCipher" или как-то закрыл его.
Если вам нужны ваши файлы, нужно запустить расшифровщик и следовать инструкциям. Итак, удалите "LooCipher" из карантина антивируса или найдите копию "LooCipher" в Интернете и перезапустите.
Вы можете скачать "LooCipher" по этой ссылке:
https://mega.nz/#!KclRVIRY!YrUgGjvldsoTuNZbCOjebAz5La7hbB41nJHklmlgqZo
(вы можете скопировать эту ссылку из файла '@ Please_Read_Me.txt')
Пожалуйста, не тратьте время на поиск альтернативных решений для восстановления ваших файлов. Только один способ вернуть их через расшифровщик "LooCipher".
Ваш закрытый ключ для восстановления файлов уничтожится в:
2019/06/23 19:20



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Нам известно, что этот шифровальщик распространяется в ходе неназванной фишинговой кампании, во время которой адресат получает вредоносный документ Word с макросами Info_BSV_2019.docm. 
После его открытия будет предложено включить макросов для просмотра содержимого. 
Если пользователь соглашается включить макросы, то с помощью VBA-макроса с Tor-сайта hcwyo5rfapkytajg.onion.pet злоумышленников через шлюз будет загружен файл со случайным названием (3agpke31mk.exe, 2hq68vxr3f.exe). Этот файл будет переименован в LooCipher.exe и выполнен.

➤ После выполнения LooCipher создаст файл на Рабочем столе специальный файл c2056.ini, в котором будет уникальный ID пользователя компьютера, ограничение по времени хранения ключа и биткоин-адрес. Сообщается, чтобы жертва не удаляла и не изменяла его, т.к. это может помешать правильной расшифровке файлов.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@Please_Read_Me.txt
@LooCipher_wallpaper.bmp
LooCipher.exe
output.135379688.txt {EXE}
output.135371487.txt {EXE}
<random>.exe - случайное название вредоносного файла
Info_Project_BSV_2019.docm - вредоносный документ Word с макросами, который загружает вредоносные компоненты (VT)
c2056.ini - специальный файл, который не нужно удалять

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\@Please_Read_Me.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL Malware
xxxx://hcwyo5rfapkytajg.onion.pet/3agpke31mk.exe
xxxx://hcwyo5rfapkytajg.onion.pet/2hq68vxr3f.exe
xxxx://hcwyo5rfapkytajg.onion.pet/*
xxxx://hcwyo5rfapkytajg.darknet.to/*
xxxx://hcwyo5rfapkytajg.tor2web.xyz/*
xxxx://hcwyo5rfapkytajg.onion.sh/*
Email: -
BTC: 1D8TsTKpxR9VWWBwkCYCMUfr9LWV8fyo2F
BTC: 17e4KTusLyda44hG8JU7tZT7mCFggNZhvU
BTC: 1Ps5Vd9dKWuy9FuMDkec9qquCyTLjc2Bxe
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>> VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis (Info_Project_BSV_2019.docm) >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as LooCipher)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Petrovic, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author), CyberSecurity GrujaRS
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 14 июня 2019 г.

SystemCrypter

SystemCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 0.066 BTC, чтобы вернуть файлы. Оригинальное название: System Crypter v2.40. На файле написано: Crypter.exe. Написан на языке Python. 

Обнаружения: 
DrWeb -> Python.Encoder.1
BitDefender -> Generic.Ransom.PyCrypter.6F59347A
Malwarebytes -> Ransom.Python
Symantec -> ML.Attribute.HighConfidence

© Генеалогия: другие Python Ransomware >> SystemCrypter

К зашифрованным файлам добавляется расширение: .crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
System Crypter
YOUR DECRYPTION KEY HAS BEEN DESTROYED!
---
Attention !!!All your files on this computer have been encrypted.
After payment we will send you a decryption tool that willdecrypt all your files.
GUARANTEES!!!
You can send us up to 3 files for free decryption,
-files should not contain important information
-and their total size should be less than 1 MB
HOW TO OBTAIN BITCOINS!!!
The easiest way to buy bitcoins is the LocalBitcoins website.
You need to register, click "Buy bitcoyne" and select theseller by method of payment and price
https://localbitcoins.com/buy_bitcoins
IMPORTANT !!!
Do not rename encrypted files
Do not try to decrypt your data with third-party
software,this can lead to permanent data loss!
---
WALLET ADDRESS: 18ixe82TGy3hUwmmvZVU75tCVoRyeNoYvY
BITCOIN FEE: 0.066

Перевод записки на русский язык:
System Crypter
ВАШ КЛЮЧ РАСШИФРОВКИ УНИЧТОЖЕН!
---
Внимание !!!
Все ваши файлы на этом компьютере были зашифрованы.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
ГАРАНТИИ !!!
Вы можете отправить нам до 3 файлов для бесплатной расшифровки,
- файлы не должны содержать важную информацию
- и их общий размер должен быть менее 1 МБ
КАК ПОЛУЧИТЬ БИТКОИНЫ !!!
Самый простой способ купить биткоины - это сайт LocalBitcoins.
Вам необходимо зарегистрироваться, нажать "Купить биткоины" и выбрать их по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
ВАЖНО !!!
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровать ваши данные с помощью стороннихпрограмм, это может привести к постоянной потере данных!
---
АДРЕС КОШЕЛЬКА: 18ixe82TGy3hUwmmvZVU75tCVoRyeNoYvY
БИТКОИН-ПЛАТА: 0.066


Примечательно, что текст был заимствован из EncryptServer2018 Ransomware вместе с ошибками. Но родство пока не подтверждено. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 
➤ Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypter.exe
svchost.exe
xmring.exe
key.txt
encrypted_files.txt
<random>.exe - случайное название вредоносного файла
WARNING.txt.crypted
lock.bmp
runtime.cfg

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\encrypted_files.txt
C:\Users\User\AppData\Local\Temp\_MEI32442\runtime.cfg
C:\Users\User\AppData\Local\Temp\_MEI32442\lock.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс:
mutex_rr_windows

Сетевые подключения и связи:
Email: -
BTC: 18ixe82TGy3hUwmmvZVU75tCVoRyeNoYvY
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать.
Смотрите тему поддержки по ссылкам ниже. 
Найдите и не удаляйте файл key.txt
*
*
 Read to links: 
 myTweet + Twitter
 ID Ransomware (ID as SystemCrypter)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 CyberSecurity GrujaRS
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 13 июня 2019 г.

Armageddon

Armageddon Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 или €100, чтобы вернуть файлы. Оригинальное название: Armageddon. На файле написано: WnCryMode.exe

Обнаружения:
DrWeb -> Trojan.Encoder.28506
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Malwarebytes -> Ransom.Armageddon

© Генеалогия: HiddenTear >> Trojan-SyriaGodsomware > Armageddon

К незашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
You personal files are encrypted!
All your files on this computer have been encrypted: photo, videos, documets etc. Here is complete list of all of the
encrypted files, and you can personally verify this.
Encryption was produced using a unique private key RSA-2048 generated for this computer. This key is random for
each computer. To decrypt (return your files to normal state) your files need to obtain the private key.
The only copy of a private key, which will allow you to decrypt the files located on our secret server and will destroy
itself after a time specified in the timer bellow.
After that nobody and never will be able to restore your files....
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 100 USD / 100 EUR
similar amount in another currency. You can buy Bitcoin here: coinbase.com/buy-bitcoin
Click <Next> to select the method of payment and the currency.
Any attempts to remove or damage this software will lead to the immediate destruction of the private key by the server.
---
Send $100 worth of bitcoin to this address:
[15iSjsYtnFex2UppPURJ4C6HidPZfEribm] [Copy]
[Check payment] [Decrypt all files]
Feedback: darkday@mailinator.com


Перевод записки на русский язык:
Ваши личные файлы зашифрованы!
Все ваши файлы на этом компьютере были зашифрованы: фото, видео, документы и т. Д. Вот полный список всех
зашифрованные файлы, и вы можете лично убедиться в этом.
Шифрование было произведено с использованием уникального закрытого ключа RSA-2048, сгенерированного для этого компьютера. Этот ключ является случайным для
каждый компьютер. Чтобы расшифровать (вернуть файлы в нормальное состояние) ваши файлы должны получить закрытый ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать файлы, расположенные на нашем секретном сервере и уничтожит
Сам по истечении времени, указанного в приведенном ниже таймере.
После этого никто и никогда не сможет восстановить ваши файлы ....
Чтобы получить закрытый ключ для этого компьютера, который будет автоматически расшифровывать файлы, вам нужно заплатить 100 USD / 100 EUR
аналогичная сумма в другой валюте. Вы можете купить биткойн здесь: coinbase.com/buy-bitcoin
Нажмите <Далее>, чтобы выбрать способ оплаты и валюту.
Любые попытки удалить или повредить это программное обеспечение приведут к немедленному уничтожению приватного ключа сервером.
---
Отправьте биткоины на $100 по этому адресу:
[15iSjsYtnFex2UppPURJ4C6HidPZfEribm] [Копировать]
[Проверить оплату] [Расшифровать все файлы]
Обратная связь: darkday@mailinator.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск.


Список файловых расширений, подвергающихся шифрованию:
Вероятно, файлы не шифруются. 
После доработки целями вполне могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WnCryMode.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
G:\soft\WnCryMode\WnCryMode\obj\Debug\WnCryMode.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: darkday@mailinator.com
BTC: 15iSjsYtnFex2UppPURJ4C6HidPZfEribm
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
☢ VX Vault >>  VXV>>
𝚺  VirusTotal analysis >>  VT>>
Ⓗ Hybrid analysis >>  HA>>
🐞 Intezer analysis >>  IA>>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 - Видеообзор атаки
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 11 июня 2019 г.

Cephalo

Cephalo Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cephalo. На файле написано: Cephalo.exe и WmiPrvSE.exe. Разработчик: Billie. Написан на языке C#. Вымогатели выдают себя за борцов с педофилами. 

Обнаружения: 
DrWeb -> Trojan.Encoder.28497
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Symantec -> Trojan.Gen.MBT
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SZ
ALYac -> Trojan.Ransom.HiddenTear
Malwarebytes -> Ransom.FileCryptor

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение, используемое шифровальщиком

К зашифрованным файлам добавляется расширение: .ceph


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _READ_ME_.txt

Содержание записки о выкупе:
- // -
Your files, personal data and identity are now being held for ransom.
This campaign is targeted at pedophiles worldwide, exposing those who are downloading and sharing child pornography.
If the ransom is not paid, your data will never be recovered and you will be exposed to the world.
- // -
Your sensitive files have been encrypted and uploaded to our Tor Hidden Service and will soon be analyzed by our team.
Your files will soon be presented together with your personal data (name, address and contact information), screen captures and webcam captures (if present) to the appropriate authorities and will soon after be released publicly across several platforms.
In order to cease our team from contacting the authorities and releasing the data publicly, a payment is required.
You have up to 72 hours to complete payment, during this time your files and personal data will be prepared for public exposure.
- // -
Requested Amount: 125 USD (current equivalent in Bitcoin).
Payment is demanded in Bitcoin, a form of electronic cash.
Bitcoin Payment Address: --> 193kt6VwHgoedmq7Vpme2EeAmovCobkfBN <--
Deadline: --> <deadline> <--
- // -
Gathered information is inclusive of; all documents, images, videos and archives found on the system (including removable devices). Browser data such as; browsing/download history, active logins, form/search history and cookies. Screen captures and webcam captures (if present at time of data collection). Storage devices have also been mined for deleted data using recovery tools.
- // -
https://virtualglobaltaskforce.com/operations/
https://www.europol.europa.eu/crime-areas-and-trends/crime-areas/child-sexual-exploitation
https://www.interpol.int/Crimes/Crimes-against-children
- // -

Перевод записки на русский язык:
- // -
Ваши файлы, личные данные и личность в настоящее время удерживаются для выкупа.
Эта кампания нацелена ​​на педофилов во всем мире, обличая тех, кто скачивает и распространяет детскую порнографию.
Если выкуп не будет выплачен, ваши данные никогда не будут восстановлены, и вы будете раскрыты миру.
- // -
Ваши конфиденциальные файлы зашифрованы и загружены в нашу скрытую Tor-службу и скоро будут проанализированы нашей командой.
Вскоре ваши файлы будут отправлены вместе с вашими личными данными (имя, адрес и контакты), скриншотами и веб-камерой (если они есть) в соответствующие органы и вскоре будут опубликованы на нескольких платформах.
Чтобы наша команда не связывалась с властями и не публиковала данные публично, требуется оплата.
У вас есть до 72 часов для завершения оплаты, в течение этого времени ваши файлы и личные данные будут подготовлены для публичного ознакомления.
- // -
Запрашиваемая сумма: 125$ США (текущий эквивалент в биткойнах).
Оплата требуется в биткоинах, электронной форме денег.
Платежный адрес в биткоинах: -> 193kt6VwHgoedmq7Vpme2EeAmovCobkfBN <-
Срок: -> <срок> <-
- // -
Собранная информация включает в себя; все документы, изображения, видео и архивы, найденные в системе (включая съемные устройства). Данные браузера, такие как; просмотр / загрузка истории, активные логины, формы / история поиска и кукис. Снимки экрана и веб-камеры (если они были во время сбора данных). Устройства хранения также были добыты для удаленных данных с использованием инструментов восстановления.
- // -
https://virtualglobaltaskforce.com/operations/
https://www.europol.europa.eu/crime-areas-and-trends/crime-areas/child-sexual-exploitation
https://www.interpol.int/Crimes/Crimes-against-children
- // -


Технические детали

Распространяется и загружается через файл LNK, который содержит команду PowerShell.
Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .ceph, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .m3u, .mpeg, .PAQ, и другие. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cephalo.exe
WmiPrvSE.exe
_READ_ME_.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Оригинальное название проекта: 
C:\Users\Billie\Desktop\C#\Cephalo\Cephalo\obj\Release\Cephalo.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL Malware: xxxx://45.32.184.40:24163/download.php
Email: 
BTC: 193kt6VwHgoedmq7Vpme2EeAmovCobkfBN
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Daniel Gallagher, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать email / Follow by Email

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton