понедельник, 16 октября 2017 г.

Tyrant

Tyrant Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $15, чтобы вернуть файлы. Оригинальное название: Tyrant и Crypto Tyrant. На файле написано: DUMB.exe. На уплату выкупа даётся 24 часа. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DUMB > Tyrant

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Ориентирован на арабоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
С распознаванием арабского текста есть трудности. 
Проще было бы иметь текстовую записку о выкупе. 

Перевод записки на русский язык:
Ваши файлы зашифрованы. У вас есть 24 часа на уплату выкупа в $15 долларов. Дальнейшая сумма выкупа будет зависеть от срока, прошедшего после 24 часов... 
Дешифровщик файлов будет отправлен вам после получения оплаты. Если у вас возникнут вопросы, то свяжитесь с нами по email, мы ответим вам... 
Хвала Аллаху и в будущей жизни!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DUMB.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 15 октября 2017 г.

ViiperWare

ViiperWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 20 евро, чтобы вернуть файлы. Оригинальное название: ViiperWare. На файле написано: ViiperWare - Ransomware.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> ViiperWare

К зашифрованным файлам добавляется расширение .viiper

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
1.) What happened to my Files?
a. Your Files has been encrypted, what means you're not able to use them anymore until you decrypt them.
2.) Can I recover my Files?
b. Yes of course you can recover them. It's pretty easy to do that but of course it's not free. Just Pay the Price wich is shown below and you will recive your Decryption Key after we recieved the Payment!
3.) How I got infected with this?
c. Probably you tried to Download something Illegal from the Internet or you got scammed by someone. You should ...

Перевод записки на русский язык:
1.) Что случилось с моими файлами?
а. Ваши файлы были зашифрованы, это значит, что вы больше не сможете их использовать, пока не расшифруете их.
2.) Могу ли я восстановить свои файлы?
б. Да, конечно, вы можете их восстановить. Это довольно легко сделать, но, конечно, это не бесплатно. Просто заплатите цену, как показано ниже, и вы получите свой ключ дешифрования после того, как мы получим оплату!
3.) Как я заразился этим?
с. Вероятно, вы пытались загрузить что-то Незаконное из Интернета или кого-то обманули. Вам следует ...



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифрует только файлы в папке \Desktop\Test. Это в первую очередь файлы с расширениями .doc, .jpg, .png.

Список файловых расширений, подвергающихся шифрованию:
После релиза это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ViiperWare - Ransomware.exe

Расположения:
\Desktop\Test
\Temp\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: не определена.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 14 октября 2017 г.

My Decryptor

My Decryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.200 BTC, чтобы вернуть файлы. Оригинальное название: My Decryptor, указано на странице Tor-сайта вымогателей. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kgpvwnr или .<random>

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
_HOW_TO_DECRYPT_MY_FILES_<random>_.txt
READ_ME_FOR_DECRYPT_<random>_.txt

Например,
_HOW_TO_DECRYPT_MY_FILES_27dh6y1kyr49yjhx8i3_.txt
READ_ME_FOR_DECRYPT_3sk982xn01q099a7yee_.txt

Содержание записки о выкупе (HOW_TO_DECRYPT_MY_FILES):
ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
 ===
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third-party software will be fatal for your files!
 ===
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
 Note! This page is available via "Tor Browser" only.
 ===
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
 Note! These are temporary addresses! They will be available for a limited amount of time! 

Перевод записки на русский язык:
ВСЕ ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
  ===
  Ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
  Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
  Любые попытки восстановить файлы с помощью сторонних программ фатальны для ваших файлов!
  ===
  Чтобы получить секретный ключ и программу дешифрования, выполните следующие инструкции:
  1. Загрузите "Tor-браузер" с xxxxs://www.torproject.org/ и установите его.
  2. В "Tor-браузер" откройте свою личную страницу здесь:
 xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
  Заметка! Эта страница доступна только через браузер Tor.
  ===
  Также вы можете использовать временные адреса на своей личной странице, не используя "Tor-браузер":
 xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
  Заметка! Это временные адреса! Они будут доступны в течение ограниченного времени!

Содержание записки о выкупе (READ_ME_FOR_DECRYPT):
ALL Y0UR DOCUMENTS, PHOTOS, DATABASES AMD OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
===
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
===
To receive the private key and decryption program follow the instructions below:
1. Download "Tor-браузер" from xxxxs://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****

Перевод записки на русский язык:
ВСЕ ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
===
Ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Любые попытки восстановить файлы с помощью сторонних программ фатальны для ваших файлов!
===
Чтобы получить секретный ключ и программу дешифрования, выполните следующие инструкции:
1. Загрузите "Tor-браузер" с xxxxs://www.torproject.org/ и установите его.
2. В "Tor-браузер" откройте свою личную страницу здесь:
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****

Запиской с требованием выкупа выступают также Tor-сайты вымогателей, где расписано всё по пунктам. 
 1-я страница (3 экрана)

 2-я и 3-я страницы

Содержание текста с Tor-сайтов вымогателей:
Your documents, photos, databases and other important files have been encrypted!
WARNING! Any attempts to restore your files with the third-party software will be fatal for your files! WARNING!
To decrypt your files you need to buy the special software - "My Decryptor"
All transactions should be performed via BITCOIN network.
Within 5 days you can purchase this product at a special price: BTC 0.200 (~ $1105)
After 5 days the price of this product will increase up to: BTC 0.400 (~ $2210)
The special price is available:
03 . 22:12:16
How to get "My Decryptor"?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Here are our recommendations:
Buy Bitcoins with Cash or Cash Deposit
LocalBitcoins (https://localbitcoins.com/)
BitQuick (https://www.bitquick.co/)
Wall of Coins (https://wallofcoins.com/)
LibertyX (https://libertyx.com/)
Coin ATM Radar (https://coinatmradar.com/)
Bitit (https://bitit.io/)
Buy Bitcoins with Bank Account or Bank Transfer
Coinbase (https://www.coinbase.com/)
BitPanda (https://www.bitpanda.com/)
GDAX (https://www.gdax.com/)
CEX.io (https://cex.io/)
Gemini (https://gemini.com/)
Bittylicious (https://bittylicious.com/)
Korbit (https://www.korbit.co.kr/)
Coinfloor (https://www.coinfloor.co.uk/)
Coinfinity (https://coinfinity.co/)
CoinCafe (https://coincafe.com/)
BTCDirect (https://btcdirect.eu/)
Paymium (https://www.paymium.com/)
Bity (https://bity.com/)
Safello (https://safello.com/)
Bitstamp (https://www.bitstamp.net/)
Kraken (https://www.kraken.com/)
CoinCorner (https://www.coincorner.com/)
Cubits (https://cubits.com/)
Bitfinex (https://www.bitfinex.com/)
Xapo (https://xapo.com/)
HappyCoins (https://www.happycoins.com/)
Poloniex (https://poloniex.com/)
Buy Bitcoin with Credit/Debit Card
Coinbase (https://www.coinbase.com/)
CoinMama (https://www.coinmama.com/)
BitPanda (https://www.bitpanda.com/)
CEX.io (https://cex.io/)
Coinhouse (https://www.coinhouse.io/)
Buy Bitcoins with PayPal
VirWoX (https://www.virwox.com/)
Could not find Bitcoins in your region? Try searching here:
BittyBot (https://bittybot.co/eu/)
How To Buy Bitcoins (https://howtobuybitcoins.info/)
Buy Bitcoin Worldwide (https://www.buybitcoinworldwide.com/)
Bitcoin-net.com (http://bitcoin-net.com/)
3. Send BTC 0.200 to the following Bitcoin address:
 18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
4. Control the amount transaction at the "Payments History" panel below
5. Reload current page after the payment and get a link to download the software
 Payments:
 Total received: BTC 0.000
At the moment we have received from you: BTC 0.000 (left to pay BTC 0.200)

Перевод части текста с Tor-сайтов на русский язык:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы!
ПРЕДУПРЕЖДЕНИЕ! Любые попытки восстановить файлы с помощью стороннего программного обеспечения будут фатальными для ваших файлов! ПРЕДУПРЕЖДЕНИЕ!
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «My Decryptor»
Все транзакции должны выполняться через сеть BITCOIN.
В течение 5 дней вы можете приобрести этот продукт по специальной цене: BTC 0.200 (~ $ 1105)
Через 5 дней цена этого продукта будет увеличиваться до: BTC 0.400 (~ $ 2210)
Специальная цена доступна:
03. 22:12:16
Как получить «Мой дешифратор»?
1. Создайте Биткойн-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткойнов
Вот наши рекомендации:
*** пропуск адресов ***
3. Отправьте 0.200 BTC на следующий биткойн-адрес:
  18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
4. Управляйте транзакцией суммы из панели «История платежей» ниже
5. Загрузите текущую страницу после оплаты и получите ссылку для загрузки программы.
  Оплата:
  Всего получено: BTC 0.000
На данный момент мы получили от вас: BTC 0.000 (осталось заплатить BTC 0.200)


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HOW_TO_DECRYPT_MY_FILES_<random>_.txt
READ_ME_FOR_DECRYPT_<random>_.txt

Примечания:
Интересное наблюдение, сделанное Майклом Джиллеспи. 
Реконструкция скриншотов и описание автора этого блога. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****
BTC: 18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as My Decryptor)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это восьмисотый пост блога!!!

пятница, 13 октября 2017 г.

x1881 CryptoMix

x1881 Ransomware 

x1881 CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Ripple. Фальш-копирайт: Telling Telecommunication Holding Co. На файле написано: Ripple.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Error, Empty, Shark > x1881

Фактические дублирует все функции и повторяет деструктивные действия, которые производят его "братья" Shark, Error и Empty Ransomware семейства CryptoMix, поколения Revenge

К зашифрованным файлам добавляется расширение .x1881

Примеры зашифрованных файлов: 
0A82FFC22719B951484F6ED62B4D9D99.xl881
0F860D4838E310016043FF683F09F449.xl881
2C602DB801FF693C85C01DDC057D4D84od881

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT
x1881 CryptoMix

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com
Please send email to all email addresses! We will help You as soon as possible!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером:
x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com
Отправьте email на все email-адреса! Мы поможем Вам как можно скоро!
DECRYPT-ID-[id] number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
sc stop VVS
stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
vssadmin.exe Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Admin"="C:\ProgramData\[Random].exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com
См. ниже результаты анализов.

Связанные публичные ключи:

См. статью на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DoubleLocker

DoubleLocker Ransomware

CryEye Ransomware

(шифровальщик-вымогатель для Android)


Этот крипто-вымогатель шифрует данные пользователей на Android-устройствах с помощью AES, а затем требует выкуп в 0.0130 BTC, чтобы вернуть файлы. Выкуп должен быть уплачен в течение 24 часов. Но, если выкуп не уплачен, данные остаются зашифрованными и не удаляются. Оригинальное название: CryEye. Прототип распространялся под именем CryEye на форумах Даркнета с лета 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DoubleLocker. Начало.

Этимология  названия:
DoubleLocker получил это название за то, что он дважды блокирует Android-устройство: изменяет PIN-код и шифрует файлы на устройстве. 

К зашифрованным файлам добавляется расширение .cryeye

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает сообщение на экране устройства.
Содержание записки о выкупе:
Current state information
Your personal documents and files on this device have just been crypted. The original files have been deleted and will only be recovered by following the steps described below. The encryption was done with a unique generated encryption key (using AES-256).
Data will be lo after 23h
Number of encrypted files 3437
The cost of the key for decryption 0.0130 BTC
---
Please make payment to this Bitcoin address or you can scan QR-code to get Bitcoin-address easily. The operation is complete if there are 3 confirmations.
1HxKouDDK9WbkizMEnf23tftHSefWhlUyXR
send 0.0130 BTC to this address to get private key

Перевод записки на русский язык:
Текущая информация о состоянии
Ваши личные документы и файлы на этом устройстве только что были зашифрованы. Исходные файлы были удалены и будут восстановлены только после выполнения описанных ниже действий. Шифрование было выполнено с помощью уникального сгенерированного ключа шифрования (с использованием AES-256).
Данные будут потеряны после 23 часов
Количество зашифрованных файлов 3437
Стоимость ключа для дешифрования 0.0130 BTC
---
Пожалуйста, сделайте оплату на этот биткойн-адрес или вы можете сосканировать QR-код, чтобы легко получить биткойн-адрес. Операция завершена, если есть 3 подтверждения.
1HxKouDDK9WbkizMEnf23tftHSefWhlUyXR
отправьте 0.0130 BTC по этому адресу, чтобы получить секретный ключ


1)  2) 3)

1) Оригинальное название — CryEye, указано внизу первого скриншота.
2) Полный текст требований с ответом на вопрос "Как я могу заплатить?".
3) Телефон не может опознать SIM-карту, работа устройства невозможна.


Технические детали

DoubleLocker распространяется под видом фальшивого Adobe Flash Player через скомпрометированные сайты. Может также начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

DoubleLocker можно считать первым шифровальщиком-вымогателем, использующим службу специальных возможностей Android Accessibility Service. Он не только шифрует данные, но и блокирует устройство. Функций, связанных со сбором банковских данных пользователей и удаления аккаунтов, у него не активированы, вместо этого DoubleLocker настроен для вымогательства выкупа в биткоинах. 

После запуска вредонос предлагает активировать службу специальных возможностей "Google Play Service". После получения разрешения DoubleLocker использует их для активации прав администратора устройства и без согласия пользователя устанавливает себя как программа-лаунчер по умолчанию. После чего, любое нажатие пользователь на кнопку «Домой» заново активирует вымогателя и снова блокирует устройство. 

Аргументы, которыми вымогатель может заставить заплатить выкуп:

1) DoubleLocker изменяет PIN-код планшета или смартфона, что не даёт использовать устройство; в качестве нового PIN задается случайное значение, код не хранится на устройстве и никуда не отправляется, поэтому пользователь не сможет его восстановить, но после получения выкупа злоумышленник может удалённо сбросить PIN и разблокировать устройство. 

2) DoubleLocker шифрует все файлы в основном хранилище устройства, используя алгоритм шифрования AES и добавляет расширение .cryeye к зашифрованным файлам.

Список файловых расширений, подвергающихся шифрованию:
Это документы офисных программ, PDF, текстовые файлы, фотографии, музыка, видео и пр.
Пример зашифрованных файлов

Файлы, связанные с этим Ransomware:
***
Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DoubleLocker)
 Write-up, Write-up, Write-up, 
🎥 Video review + Video review
 Thanks: 
 Lukas Stefanko, ESET NOD32
 Michael Gillespie
 Catalin Cimpanu
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 10 октября 2017 г.

Locky-Asasin

Locky-Asasin Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.25 BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что угодно. По факту это новая итерация Locky.
Locky Ransomware
This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: Locky >> Locky-Asasin

К зашифрованным файлам добавляется расширение .asasin

С использованием расширения .asasin зашифрованные и переименованные файлы будут иметь "шестиэтажное" название и называться примерно так: 
755JU7CW-GNSP-FP00-918CB723-CF1B62832172.asasin
755JU7CW-GNSP-FP00-8646FA43-9BB033FB05E5.asasin
5DYGW691-P3PQ-SH8E-9B9400BA-2947DBA41C00.asasin
5DYGW691-P3PQ-SH8E-76198F85-4049D69A0548.asasin

Разложим на составляющие названия файл 755JU7CW-GNSP-FP00-918CB723-CF1B62832172.asasin

755JU7CW — первые восемь 16-ричных символов от ID 755JU7CWGNSPFP00
GNSP — другие четыре 16-ричных символов от ID 755JU7CWGNSPFP00
FP00 — другие четыре 16-ричных символов от ID 755JU7CWGNSPFP00
918CB723 — восемь 16-ричных символов, входящих в переименованное название файла
CF1B62832172 — двенадцать 16-ричных символов, входящих в переименованное название. 

Шаблон можно записать так:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[8_hexadecimal_chars]-[12_hexadecimal_chars].asasin
короче
[first_8_hex_chars_id]-[next_4_hex_chars_id]-[next_4_hex_chars_id]-[8_hex_chars]-[12_hex_chars].asasin
ещё короче
[8_hex_chars_id]-[4_hex_chars_id]-[4_hex_chars_id]-[8_hex_chars]-[12_hex_chars].asasin
в цифрах
8-4-4-8-12
Пример зашифрованных файлов и записка о выкупе

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Страна распространения: Испания. 

Записки с требованием выкупа называются: 
asasin.htm
asasin-<random{4}>.htm или в шаблоне asasin-<[a-z][0-9]{4}>
примеры: asasin-4364.htm, asasin-d158.htm

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
4. Follow the instructions on the site.
!!! Your personal identification ID: 755JU7CWGNSPFP00 !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Более подробную информацию о RSA и AES можно найти здесь:
хххх://en.wikipedia.org/wiki/RSA_ (криптосистема)
хххх://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Torбраузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
4. Следуйте инструкциям на сайте.
!!! Ваш персональный ID: 755JU7CWGNSPFP00 !!!

Записка с требования выкупа дублируется скринлоком, встающим обоями рабочего стола. Это файл asasin.bmp
После перехода по ссылка на Tor-сайт вымогателей пострадавший узнает о сумме, которую ему нужно выплатить, например, в данном случае это 0.25 BTC.
Скриншот сайта Locky Decryptor с требованиями

Содержание аналогично предыдущим, например, см. Locky-Ykcol Ransomware.


Технические детали

Распространяется через email-спам, письма которых имеют тему "Document invoice_95649_sign_and_return.pdf is complete" и как вложение 7z-архив invoice_95649_sign_and_return.7z. В нём находится VBS-файл, который при выполнении загружает исполняемый файл Locky с удаленного сайта и выполняет его. 
 
В VBS-файле содержатся один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Locky-Asasin в папку %Temp%, а затем запустит его, чтобы шифровать файлы. 

Название темы может быть и другим, например, просто "Invoice" с датой, буквенно-цифровой архив или записан как-то иначе. 

Примечательно, что распространители этих спам-писем в этой вредоносной кампании неправильно добавляют вложения, что приводит к тому, что получатели эти вложения не увидят, кроме части текста в base64, как показано на изображении ниже. Более того, снова для вложений используются 7z-архивы, которые большинство людей не смогут открыть. 
Спам-письмо с неправильным вложением

Возможно, что не все письма такие "неправильные" и не факт, что вся вредоносная кампания именно такая. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe или XFfiJK.exe
asasin.htm
asasin-4364.htm
invoice_86790_sign_and_return.7z {VBS} - вредоносное вложение к письму.
asasin.bmp

Расположения:
%TEMP%\XFfiJK.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://g46mbrrzpfszonuk.onion/***
g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
g46mbrrzpfszonuk.onion/5DYGW691P3PQSH8E
86.109.170.20:80 (Испания)
xxxx://shahanabiomedicals.com/iugftrs2***
xxxx://deltasec.net/iugftrs2***
xxxx://deltasec.net/images/***
xxxx://nsaflow.info/p66/iugftrs2***
xxxx://www.iesvalledelsegura.es/web2/***

BTC: 1EKiMyqWaqhfaZkGRvqjMdoXtZnUkGmSHd
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 15 октября 2017:
Пост в Твиттере >>
На файле написано: DriverMaker
Файл: Driver.exe
Tor: g46mbrrzpfszonuk.onion/***
Результаты анализов: HA+VT 
Связанные хосты: Украина, Германия
<< Скриншот записки
Результаты анализов ещё: HA+VT
Связанные хосты: Германия, Испания, Китай, США, Россия и другие




 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Locky)
 Write-up, Topic of Support
🎥  Video review
 Thanks: 
 GrujaRS, Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *