вторник, 18 июля 2017 г.

Naampa

Naampa Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название проекта: naampa. На файле написано: naampa.exe и mmspert.exe. Написан на языке C#. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Unlock92 >> UnlckrNaampa

К зашифрованным файлам добавляется расширение .crptd

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !----README----!.jpg

Содержание записки о выкупе (original):
Ваши файлы зашифрованы с использованием алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл key.res на e-mail:
unlckr@protonmail.com
Если вы не получили ответа в течение суток или письмо возвращается с ошибкой то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт
xxxx://n3r2kuzhw2h7x6j5.onion - там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Перевод записки на английский язык (Google translator):
Your files are encrypted using the RSA-2048 algorithm.
If you want to return them, send one of the encrypted files and key.res file to e-mail:
unlckr@protonmail.com
If you do not receive a reply within 24 hours or the letter is returned with an error, then download from the site www.torproject.com browser TOR and with his help go to the site
xxxx://n3r2kuzhw2h7x6j5.onion - there will be specified a valid mailbox.
Attempts to repair files yourself can irrevocably ruin them!


Текущий email для связи

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии командой:
Delete Shadows /All /Quiet

Не дешифруем. Генерирует ключ RSA-2048, использует открытый ключ для прямого шифрования файлов. Закрытый ключ затем шифруется статическим открытым ключом RSA-2048, встроенным во вредонос и сохраняется в файле key.res

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
naampa.exe (mmspert.exe)
!----README----!.jpg
key.res
PH02466U.BMP
PH01562U.BMP

Расположения:
%USERPROFILE%\Documents\!----README----!.jpg
%USERPROFILE%\Documents\key.res

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://schemas.openxmlformats.org/drawingml/2006/main
xxxx://n3r2kuzhw2h7x6j5.onion
Email: unlckr@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Alex Svirid
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

понедельник, 17 июля 2017 г.

Mr403Forbidden

Mr403Forbidden Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название проекта: EcryptRansombyMr403Forbidden. На файле написано: Bandung BlackHat и Inject.exe. Среда разработки: Visual Studio 2010. Разработчик: Alosia Team. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid (FTSCoder) >> Mr403Forbidden

К зашифрованным файлам добавляется расширение .alosia и/или окончание Encrypting By ./Mr403Forbidden

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных и индонезийских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
File Anda Terkunci!!!
Your Computer files is encrypted 
all files with extremely
powerfull new ./Mr403Forbidden encryption
that no one can break except you have
a private string and IVs
To decrypt all file please pay us a money contact me :
forbiddenmr403@gmail.com or 
mr403forbidden@hotmail.com 
insert your code here:
[...] 
[Decrypt!]

Перевод текста на русский язык:
Ваши файлы блокированы!!! (на индонезийском)
Ваши компьютерные файлы зашифрованы
Все файлы с чрезвычайно
мощным новым шифрованием ./Mr403Forbidden 
что никто не может сломать, кроме вас
частная строка и IVs
Чтобы дешифровать весь файл, пожалуйста, заплатите нам деньги, свяжитесь со мной:
forbiddenmr403@gmail.com или
mr403forbidden@hotmail.com
Введите свой код здесь:
[...]
[Дешифровать!]

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Inject.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: forbiddenmr403@gmail.com 
mr403forbidden@hotmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Viro

Viro Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Viro. На файле написано: Viro.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Viro

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, которому сопутствует стилизованное под икону изображение:

Содержание записки о выкупе:
Computer compromised
Your Computer has been infected by a Ransomware. Send us money and enter the password we send you if you want your files back.
[...]
[OK]

Перевод записки на русский язык:
Компьютер скомпрометирован
Ваш компьютер был заражен Ransomware. Отправьте нам деньги и введите пароль, который мы отправим вам, если хотите вернуть свои файлы.
[...]
[OK]

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имеет функции кейлоггера и червя, но в данный момент функционал червь не доработан и потому не используется, а кейлоггер собирает только историю из браузеров, а не пароли и кукисы. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Viro.exe (setup.exe)
<image for wallpaper>

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Explorer V1.58

Explorer Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы уплатить выкуп и вернуть файлы. Оригинальное название написано с ошибкой: explerer. На файле также написано: explerer.exe. Но на изображении написано Explorer V1.58. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Explorer V1.58

К зашифрованным файлам добавляется расширение .explorer

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Attention!!!
All Your Documents, Photos, Databases And Other Impotant Personal Files were Encrypted By A Strong Algorithm With Unique Key.
To Restore Your Files, Contact Us With Email Address:
decrypter.files@mail.ru
NOTE: If you Email Us in less than 24 hours , you will be paying half the regular price

Explorer V1.58

Перевод записки на русский язык:
Внимание!!!
Все ваши документы, фотографии, базы данных и другие важные личные файлы зашифрованы сильным алгоритмом с уникальным ключом.
Чтобы вернуть файлы, пишите нам на email-адрес:
decrypter.files@mail.ru
ПРИМЕЧАНИЕ. Если вы ответите нам по email меньше, чем за 24 часа, вы будете платить половину обычной цены.
Explorer V1.58

Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола. Текст тот же, только у автора явные проблемы с запятыми. 

Содержание текста о выкупе:
Attention,!!!
All Your Documents ,Photos ,Databases And Other Impotant Personal Files Were Encrypted By A Strong Algorithm With Unique Key
To Restore Your Files, Contact Us With Email Address:
decrypter.files@mail.ru
NOTE: If you Email Us in less than 24 hours, you will be paying half the regular price.
Explorer V1.58

Перевод текста на русский язык (откорректированный):
Внимание!!!
Все ваши документы, фотографии, базы данных и другие важные личные файлы зашифрованы сильным алгоритмом с уникальным ключом.
Чтобы вернуть файлы, пишите нам на email-адрес:
decrypter.files@mail.ru
ПРИМЕЧАНИЕ. Если вы ответите нам по email меньше, чем за 24 часа, вы будете платить половину обычной цены.
Explorer V1.58

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
explerer.exe
<image for wallpaper>

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decrypter.files@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

OopsLocker

OopsLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: ransom Application и ransom MFC Application. На файле написано: ransom.EXE и oops.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .oops

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Oops, all data in your computer has been encrypted.
Your encrypted key file is: C: \PrograrnData\oops\EncryptedKey
Your computer name is: *****
If you wanna decrypt all your data, please send 0.1 bitcoin to the address:
1FMvaobyrMNzVqeabC4hPumpbG1iGHo7m5
But BEFORE you pay me, you should send me an email with the ENCRYPTED KEY FILE as an attachment, YOUR COMPUTER NAME and BITCOIN ADDRESS you will pay with. So that i can know it's your payment.
My email address is: only4you@protonmail. com
After i confirm the payment, i'll send you an email with your KEY and COMPUTER NAME for decryption, you can input it below, and decrypt.
[...]
[Decrypt]
If you press Decrypt with right KEY, WAIT PATIENTLY, don't do anything until decryption succeeded I!!
If you close it, you can reopen it in C:\ProgramData\oops\oops.exe.
When you reopen it, you should open as Administrator, otherwise, not all data can be decrypted properly. Very Important!!!
Do not modify anything in the oops folder before you pay!!! Very Important!!!
You'd better pay it in a week, the prize will double every week.
If you have any questions, send me an email. I will reply as soon as possible!

Перевод записки на русский язык:
К сожалению, все данные на вашем компьютере зашифрованы.
Ваш ключ шифрования файл: C:\PrograrnData\oops\EncryptedKey
Имя вашего компьютера: *****
Если вы хотите расшифровать все свои данные, отправьте 0.1 биткойн по адресу:
1FMvaobyrMNzVqeabC4hPumpbG1iGHo7m5
Но ПЕРЕД тем, как вы платите мне, вы должны отправить мне email с файлом ENCRYPTED KEY во вложении, ИМЕНЕМ ВАШЕГО КОМПЬЮТЕРА и BITCOIN-АДРЕСОМ, с которого вы будете платить. Чтобы я знал, что это ваш платеж.
Мой email-адрес: only4you@protonmail.com
После подтверждения платежа я отправлю вам email с вашим KEY и COMPUTER NAME для дешифрования, вы можете ввести его ниже и расшифровать.
[...]
[Decrypt]
Если вы нажмете "Decrypt" с правильным КЛЮЧОМ, ПОДОЖДИТЕ, не делайте ничего, пока дешифрование не отработает!
Если вы закроете его, то его можно открыть заново в C:\ProgramData\oops\oops.exe.
Когда вы откроете его повторно, вы должны открыть как Администратор, иначе не все данные могут быть дешифрованы должным образом. Очень важно!!!
Не изменяйте ничего в папке "oops", прежде чем платить! Очень важно!!!
Вам лучше заплатить за неделю, сумма будет удваиваться каждую неделю.
Если у вас есть вопросы, пришлите мне email. Я отвечу как можно скорее!

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Завершает работу процессов: 
MSExchange
sqlserver.exe
sqlwriter.exe

mysqld.exe

Список файловых расширений, подвергающихся шифрованию:
.accdb, .backup, .class, .djvu, .docb, .docm, .docx, .dotm, .dotx, .html, .java, .jpeg, .lay6, .mpeg, .onetoc2, .OutJob, .PcbDoc, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .PrjPcb, .rsrc, .SchDoc, .sldm, .sldx, .sqlite3, .sqlitedb, .step, .text, .tiff, .vmdk, .vsdx, .xlsb, .xlsm, .xlsx, .xltm, .xltx (41 расширение).

Это документы MS Office, текстовые файлы, базы данных, фотографии, музыка, видео, бэкапы, файлы специальных программ и пр.

Файлы, связанные с этим Ransomware:
\oops\
oops.exe
EncryptedFiles.txt
EncryptedKey
KeyHash
много дроппированных файлов.

Расположения:
C:\ProgramData\oops\oops.exe - исполняемый файл
C:\ProgramData\oops\EncryptedFiles.txt - список заш-файлов. 
C:\ProgramData\oops\EncryptedKey
C:\ProgramData\oops\KeyHash

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://crl.thawte.com/
Email: only4you@protonmail.com
BTC: 1FMvaobyrMNzVqeabC4hPumpbG1iGHo7m5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as OopsLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

воскресенье, 16 июля 2017 г.

CryptoJoker 2017

CryptoJoker 2017 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100€ в BTC, чтобы вернуть файлы. Оригинальное название: CryptoJoker. На файле написано: CryptoJoker.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

В начале 2016 года был уже один CryptoJoker. По мнению специалистов, сегодняшний совсем другой. 

К зашифрованным файлам добавляются расширения:
.fully.cryptojoker - при полном шифровании;
.partially.cryptojoker - при частичном шифровании.

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: CryptoJoker Recovery Information.txt

Содержание записки о выкупе:
Hello, my name is CryptoJoker !!
My name is CryptoJoker. I have encrypted all your precious files including images, videos, songs, text files, word files and e.t.c So long story short, you are screwed ... but you are lucky in a way. Why is that ?? I am ransomware that leave you an unlimited amount of time to gather the money to pay me. I am not gonna go somewhere, neither do your encrypted files.
FAQ
1. Can i get my precious files back ??
Answer: ofcourse you can. There is just a minor detail. You have to pay to get them back.
2. Ok, how i am gonna get them back ?
Answer: You have to pay 100€ in bitcoin.
3. There isn't any other way to get back my files ?
Answer: Nahhh.
4. Ok, what i have to do then ?
Answer: Simply, you will have to pay 100€ to this bitcoin address: *** . When time comes to send me the money, make sure to include your e-mail and your personal lD(you can see it bellow) in the extra information box (it may apper also as 'Extra Note' or 'optional message') in order to get your personal decryption key. It may take up to 6-8 hours to take your personal decryption key.
5. What the heck bitcoin is ?
Answer: Bitcoin is a cryptocurrency and a digital payment system. You can see more information here: https://en.wikipedia.org/wiki/Bitcoin . I recommend to use 'Coinbase' or 'Bitcoin wallet' as a bitcoin wallet, if you are new to the bitcoin-wallet. Ofcourse you can pay me from whatever bitcoin wallet you want, it deosn't really matter.
6. Is there any chance to unclock my files for free ?
Answer: Not really. After 1-2 or max 3 years there is propably gonna be released a free decryptor. So if you want to wait ... it's fine. As i said, i am not gonna go somewhere.
7. What i have to do after getting my decryption key ?
Answer: Simple. Just press the decryption button bellow. Enter your decryption key you received, and wait until the decryption process is done.
Your personal ID: [HWID goes here]

Перевод записки на русский язык:
Привет, моё имя CryptoJoker !!
Моё имя CryptoJoker. Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, Word-файлы и пр. Короче говоря, вы ввернуты ... но вам повезло. Как это ?? Я - вымогатель, который даёт вам неограниченное количество времени на сбор денег, чтобы заплатить мне. Я не собираюсь идти куда-то, забирая ваши зашифрованные файлы.
Вопросы-Ответы
1. Могу ли я вернуть свои драгоценные файлы?
Ответ: конечно, вы можете. Есть лишь незначительная деталь. Вы должны заплатить, чтобы вернуть их.
2. Хорошо, как я их верну?
Ответ: Вы должны заплатить 100€ в биткоинах.
3. Нет другого способа вернуть мои файлы?
Ответ: Nahhh.
4. Хорошо, что я должен сделать тогда?
Ответ: Просто вам придётся заплатить 100 евро на этот биткоин-адрес: ****. Когда придёт время отправить мне деньги, не забудьте указать свой email и личный ID (вы можете увидеть его ниже) в дополнительном информационном поле (он может также отображаться как 'Extra Note' или 'optional message'), чтобы получить личный ключ дешифрования. Может пройти до 6-8 часов для получения вашего личного ключа дешифрования.
5. Что такое биткоин?
Ответ: Биткоин - это крипто-валюта и цифровая платежная система. Вы можете увидеть больше информации здесь: https://en.wikipedia.org/wiki/Bitcoin. Я рекомендую использовать "Coinbase" или "Биткоин-кошелек" как кошелек с биткоинами, если вы новичок в биткоин-кошельке. Конечно, вы можете заплатить мне с любого биткоин-кошелька, какой вы хотите, это не так важно.
6. Есть ли возможность разблокировать мои файлы бесплатно?
Ответ: Не совсем. Через 1-2 или максимум 3 года можно получить бесплатный дешифратор. Поэтому, если вы хотите подождать ... все в порядке. Как я уже сказал, я никуда не уйду.
7. Что мне нужно сделать после получения ключа дешифрования?
Ответ: Это просто. Просто нажмите кнопку дешифрования ниже. Введите полученный ключ дешифрования и дождитесь завершения процесса дешифрования.
Ваш персональный ID: [HWID здесь]

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoJoker Recovery Information.txt
CryptoJoker.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

суббота, 15 июля 2017 г.

Reyptson

Reyptson Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 200-500€, чтобы вернуть файлы. Оригинальное название: Reyptson Ransomware. На файле написано: Reyptson.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .REYPTSON

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Como_Recuperar_Tus_Ficheros.txt

Содержание записки о выкупе:
Como recuperar tus ficheros del cifrador Reyptson
---
Tienes toda la información en esta web:
xxxxs://37z2akkbd3vqphw5.onion.link/?usuario=4406091797&pass=3411
Si no puedes entrar descarga el navegador tor desde:
xxxxs://www.torproject.org/download/download
y entra a: xxxx://37z2akkbd3vqphw5.onion/?usuario=4406091797&pass=3411
Para poder descifrar tus ficheros tendras que pagar 200€
pero si te retrasas mas de 72H tendras que pagar 500€
Tus datos de acceso son:
Usuario: 4406091797
Contraseña: 3411

Перевод записки на русский язык:
Как восстановить зашифрованные Reyptson файлы
---
xxxxs://37z2akkbd3vqphw5.onion.link***
Если вы не можете ввести, скачайте Tor-браузер из:
xxxxs://www.torproject.org/download/download
и введите: xxxxs://37z2akkbd3vqphw5.onion.link***
Для расшифровки файлов вам придется заплатить 200€
но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500
Ваши регистрационные данные:
Пользователь: 4406091797
Пароль: 3411

Другим информатором жертвы выступает экран блокировки:

Содержание текста с экрана:
REYPTSON
TUS FICHEROS HAN SIDO CIFRADOS, SI QUIERES RECUPERARLOS SIGUE LAS INSTRUCCIONES
Instrucciones
Accede a este sitio web: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
En el tienes las instrucciones para recuperar tus ficheros y un soporte con el que
podrás contactarnos para recibir asistencia técnica.
Si no puedes acceder puedes entrar bajandote un navegador llamado tor de:
https://www.torproject.org/download/download
Y entrando a: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Para poder descifrar tus ficheros tendrás que pagar 200€ pero si te retrasas mas
de 72H tendrás que pagar 500€

Перевод текста на русский язык:
REYPTSON
Ваши файлы зашифрованы, если вы хотите вернуть их следуйте инструкциям
Инструкции
Перейдите на этот веб-сайт: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
У вас есть инструкции для восстановления файлов и поддержки, по которой
Вы можете связаться с нами для получения помощи.
Если вы не можете получить доступ к сайту, то можете загрузить Tor-браузер:
https://www.torproject.org/download/download
И ввести: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Для расшифровки файлов, вам придется заплатить 200 евро, но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500


Скриншоты сайта в сети Tor



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (фальшивых PDF-файлов), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Фальшивый PDF-файл, который не открывается в Adobe Reader

Когда Reyptson заражает компьютер, то собирает учетные данные SMTP и списки контактов из Thunderbird, а затем посылает каждому собранному контакту следующее сообщение:

Основное содержание:
Si tras leer la información de facturación ha localizado algún error no dude en respondernos a este mismo correo con el numero de factura y el numero de pedido.

Перевод на русский:
Если после прочтения платежной информации замечена ошибка, пожалуйста, ответьте нам эту же почту с номером счета и номером заказа.

Это может говорить также о функционале почтового червя. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Como_Recuperar_Tus_Ficheros.txt
Reyptson.exe
SpotifyWebHelper.exe
SpotifyWebHelper.pdf
Spotify.vbs
factura.pdf.exe
<random>.exe
<random>.pdf

Расположения:
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.pdf
%APPDATA%\Spotify\SpotifyWebHelper\Spotify.vbs
%APPDATA%\Spotify\SpotifyWebHelper\<random>.pdf
%APPDATA%\Spotify\SpotifyWebHelper\<random>.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Spotify Web Helper v1.0"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://x.to/***
7z2akkbd3vqphw5.onion***
37z2akkbd3vqphw5.onion***
www.torproject.org/download/download***
ject.org/download/download***
media.blizzard.com/emails/2014-account/lock.png***
www.melvinmusicals.com/facefiles/factura.pdf.rar***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 xXToffeeXx
 MalwareHunterTeam
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *