вторник, 19 июня 2018 г.

JungleSec

JungleSec Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: JungleSec (указано в заголовке записки о выкупе). Вероятно, что предназначен только для Linux-систем. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .jungle@anonymousspechcom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ENCRYPTED.md 

Содержание записки о выкупе:
───────────────────────────────────────────────────
JUNGLESEC
───────────────────────────────────────────────────
What happen to my data ?
-----------------------
Your data are encrypted. If you try to bruteforce, change the path, the name or do anything that can alterate a single byte of a file(s) will result
to a fail of the recovery process, meaning your file(s) will be loss for good. 
How can I retrieve them ?
-------------------------
- To known the process, you must first send 0.3 bitcoin to the following address : 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- Once the payment made, send your email address to junglesec@anonymousspeech.com, do not forget to mention the IP of server/computer
Will you send the process recovery once payment is made ?
--------------------------------------------------------
- We have no interest to not send you the recovery process if payment was made.
- Once the payment is made, you should receive the recovery process to decrypt your data in less 24 hours
By Jungle_Sec

Перевод записки на русский язык:
Что случилось с моими данными?
-----------------------
Ваши данные зашифрованы. Если вы попытаетесь выполнить команду brutforce, измените путь, имя или сделайте всё, что может изменить один байт файла (ов), это приведёт к сбою процесса восстановления, что означает, что ваш файл (ы) будет потерян для хорошего.
Как я могу их получить?
-------------------------
- Чтобы узнать о процессе, вы должны сначала отправить 0.3 биткойна на следующий адрес: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- После внесения платежа отправьте свой email-адрес на junglesec@anonymousspeech.com, не забудьте указать IP-адрес сервера / компьютера
Вы отправите процесс восстановления после того, как будет произведен платеж?
-------------------------------------------------- ------
- У нас нет интереса не отправлять вам процесс восстановления, если оплата была произведена.
- После того, как платеж будет произведён, вы должны получить процесс восстановления для дешифрования своих данных менее чем за 24 часа
Jungle_Sec



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ENCRYPTED.md 
key.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: junglesec@anonymousspeech.com
BTC: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as JungleSec)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 18 июня 2018 г.

Scarab-Bomber

Scarab-Bomber Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы.  Оригинальное название: не указано. Написан на Delphi. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия / Genealogy: Scarab >> Scarab Family > Scarab-OskScarab-Bomber


Это изображение не принадлежит шифровальщику. Это логотип статьи. 

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extensions:  .bomber

Файлы переименовываются до неузнаваемости с помощью Base64. Files are renamed beyond recognition with Base64.
Пример зашифрованного файла / Sample of encrypted file:
3gMHTQY3zqxKPOqLwdIr4rktCv4hMcGKYn5G0Bhyk=wJA.bomber


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note:  
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

Содержание записки о выкупе Contents of ransom note:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000***242FB01
Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.
Для восстановления данных необходим дешифровщик.
Чтобы получить дешифровщик, следует отправить письмо на электронный адрес soft2018@tutanota.com (soft2018@mail.ee, newsoft2018@yandex.by)
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB с указанием Вашей почты и
личного идентификатора
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Если у Вас нет биткойнов
 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
 * Приобретите криптовалюту Bitcoin:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 * Отправьте требуемое количество BTC на указанный в письме адрес
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Гарантия расшифровки файлов.
Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки. 
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования

Перевод записки на русский язык:
уже сделан. 



Технические детали Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для удаленного проникновения злоумышленниками используются приложения Windows, а также скомпрометированные (пропатченные злоумышленниками) приложения LiteManager, Ammy Admin, RAdmin, TeamViewer и портативные версии других легитимных или свободно распространяемых программ (7-ZipPortable, Chrome Portable, Opera Portable, Skype Portable). Не доверяйте сайтам, которые предлагают скачать портативные версии программ, особенно тех, которые в обычной версии небесплатны!!! Изучите мою статью Бесплатные программы и майнинг криптовалюты. Там есть подробное объяснение и предлагает надежное решение для тех, кто не может или не хочет покупать программы за их полную стоимость. 

Чтобы надёжно определять вектор проникновения в компьютерную сеть предприятий и организаций, а также впредь исключить возможность такого проникновения, необходимо использовать документированный список программного обеспечения. По большому счёту необходимо изучить и применить в дело Комплекс мероприятий для защиты от Ransomware

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Это версия активно прикрывается легитимными файлами и использует их названия для создания ярлыков на запуск вредоноса. 
Вредонос прописывается в Автозагрузку Windows, отставляя на Рабочем столе ярлыки на якобы легитимные файлы, вроде HQ-Realtek АС 3.9.4.738.lnk или Windows Update Manager.lnk

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Большинство файлов. Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
osk.exe
update_w32.exe
<random>.exe - случайное название
<legitimate_program>.lnk - ярлык на вредонос
<random>.dll

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User_name\AppData\Roaming\SysplanNT\update_w32.exe
C:\Windows\System32\<random>.dll
\%AppData%\Roaming\<random>.dll
\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk
\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk
C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe
C:\Windows\System32\<random>.exe

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'URaog'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'regsvr'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vkaivgnecj'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Mfyegadub'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe'
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: soft2018@tutanota.com
soft2018@mail.ee
newsoft2018@yandex.by
Bitmessage: BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Bomber - июнь 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


См. выше Историю семейства. 

Предыстория от 18 июня 2018:
Сначала (в седьмом часу) был обнаружен тестовый вариант, который уже шифровал файлы. Образцы на сервис ID Ransomware пришли из Испании.
Расширение: .bomber_test_build
Email: test_bomber_test@test.test (видимо фиктивный)
Примеры зашифрованных файлов: 
HM8oT6r5bxcnL+BGnGEBbxb08DEkfw3M+S.bomber_test_build
LsKeUV2o=H7q00KmQ3=BebISqUrUAXMtsSZcFx5cZ07Lr.bomber_test_build

Записка: !!! HOW TO RECOVER ENCRYPTED FILES !!!.TXT
Содержание записки:
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
Your files are now encrypted!
Your personal identifier:
6A02000000000000CB58B19F2592871184300C045B52D6A9FFC67ECD330C38E08B78F4744770DFEEB68D77B98F5BE6B0E251711A0BAFB4A8BE9D0A4DBB5A91612ED95EDDF82867753777B55E521EA03E3B667155593EBDC5134CD3CD96AD4F4A7371AD4B**********************************************************************************************************************************************************************************************************************************************************
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.

Contact us using this email address: test_bomber_test@test.test

Обновление от 18 по 19 июня 2018:
В это время или немногим позже компьютеры русскоязычных пользователей, предприятий и организаций были массово атакованы Scarab-Bomber Ransomware. Писк интенсивности был с вечера 18-го, ночью по 19 июня 2018. Количество пострадавших 19-го июня утром было уже массовым. 
Прилагаю скриншот с сайта forum.kasperskyclub.ru 
Здесь видно, что форум сегодня завален просьбами о помощи. 

👉 К сожалению силами хелперов и консультантов по лечению ПК в данном случае не расшифровать файлы. Можно только зачистить систему от оставшихся вредоносных файлов и попутного мусора. Часто на ПК при чистке могут быть найдены еще другие вредоносы и даже другие шифровальщики, которые прошлись по файлам, зашифрованным другим шифровальщиком. 
Потому, в любом случае, нужно избавиться от такого хлама. Также необходимо собрать зашифрованные файлы и записки о выкупе. В них обычно имеется вся необходимая для дешифрования информация. 
Не удаляйте записки о выкупе, чтобы вам не советовали!!! 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victims in the topics of support)
 Alex Svirid, Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 15 июня 2018 г.

Scarab-Danger

Scarab-Danger Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Написан на Delphi. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия / Genealogy: Scarab >> Scarab Family: Scarab-Decrypts > Scarab-Danger
Это изображение не принадлежит шифровальщику. Это логотип статьи. 

К зашифрованным файлам добавляются расширения / Appends to encrypted files the extensions:  
.fastsupport@xmpp.jp
.fastrecovery@xmpp.jp

Шаблон расширения / Pattern of extension
.<jabber_address>

Вымогатели в записке утверждают, что jabber-адрес меняется каждые три дня. 

Файлы переименовываются до неузнаваемости. Files are renamed beyond recognition.
Шаблон имени зашифрованного файла / Pattern of  name of the encrypted file:
<random_name>.<jabber_ransom>

Примеры таких файлов / Examples of encrypted files:
yhcX0uqVajUII2qsZKU.fastsupport@xmpp.jp
sOxqNX+4pXv5bHQvHmay58jYdwM.fastsupport@xmpp.jp
spUZ7DMdnEsV9GBUcKZHpSvfavm4+Yfn8Zo2kwcCBKA.fastsupport@xmpp.jp

Во втором варианте / In the second variant:
0kqLB7Xj881V9ybDfpNBp1zXX3fBLuH3a1.fastrecovery@xmpp.jp
2fx3VWpTDlgGpr1Rq04dihRfm6+ADSSOc2e.fastrecovery@xmpp.jp
pfCrcTNZ6nOFHW3Gowj7cohc+Qan3kCZhsVzZ.fastrecovery@xmpp.jp


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется Name of ransom note
HOW TO RECOVER ENCRYPTED FILES-fastsupport@xmpp.jp.TXT
HOW TO RECOVER ENCRYPTED FILES-fastrecovery@xmpp.jp.TXT
 

Шаблон записки / Pattern of ransom note
HOW TO RECOVER ENCRYPTED FILES-<jabber_ransom>.TXT

Содержание записки о выкупе Contents of ransom note:
Danger: our contacts change every 3 days, do not hesitate, contact us immediately. Then we will not be available.
Attention: if you do not have money then you do not need to write to us!
The file is encrypted with the RSA-2048 algorithm, only we can decrypt the file.
=================================================
                    Jabber: fastsupport@xmpp.jp
        If you do not have a jabber. To write to us to register: https://www.xmpp.jp
=================================================
Your files are encrypted!
Your personal identifier:
6A02000000000000***0FFF0F
=================================================
To decrypt files, please contact us by jabber:
fastsupport@xmpp.jp
=================================================
The file is encrypted with the RSA-2048 algorithm, only we can decrypt the file.
Attention: if you do not have money then you do not need to write to us!
Danger: our contacts change every 3 days, do not hesitate, contact us immediately. Then we will not be available.

В этом варианте ID содержит 640 знаков. 

Перевод записки на русский язык:
Опасность: наши контакты меняются каждые 3 дня, не стесняйтесь, свяжитесь с нами немедленно. Потом мы будем недоступны.
Внимание: если у вас нет денег, вам не нужно писать нам!
Файл зашифрован с алгоритмом RSA-2048, только мы можем расшифровать файл.
=================================================
                    Jabber: fastsupport@xmpp.jp
        Если у вас нет jabber. Чтобы написать нам, зарегистрируйтесь: https://www.xmpp.jp
=================================================
Ваши файлы зашифрованы!
Ваш личный идентификатор:
6A02000000000000 *** 0FFF0F
=================================================
Чтобы расшифровать файлы, свяжитесь с нами по jabber:
fastsupport@xmpp.jp
=================================================
Файл зашифрован с алгоритмом RSA-2048, только мы можем расшифровать файл.
Внимание: если у вас нет денег, вам не нужно писать нам!
Опасность: наши контакты меняются каждые 3 дня, не стесняйтесь, свяжитесь с нами немедленно. Потом мы будем недоступны.

Тоже самое в втором варианте с jabber-адресом fastrecovery@xmpp.jp
Во втором варианте ID содержит 648 знаков. 



Технические детали Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
HOW TO RECOVER ENCRYPTED FILES-fastsupport@xmpp.jp.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Jabber: fastsupport@xmpp.jp
Jabber: fastrecovery@xmpp.jp
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Bomber - июнь 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov, Emmanuel_ADC-Soft
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 14 июня 2018 г.

QNBQW

QNBQW Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .qnbqw

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Notice.txt

Содержание записки о выкупе:
Your files was encrypted using AES-256 algorithm. Write me to e-mail: qnbqwqe@protonmail.com to get your decryption key.
Your USERKEY: op1g5NxVd+qxxymqrw30CEr6oVfBxVuNwBvI7OeDG8iO7DQNfedvXhT06AUU0Tixxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx7wvTTUmNGhtvpj27hoJUageXDQYTvTHSU=

ID содержит 684 знака. 

Перевод записки на русский язык:
Ваши файлы были зашифрованы с алгоритмом AES-256. Пишите мне на e-mail: qnbqwqe@protonmail.com, чтобы получить ключ дешифрования.
Ваш USERKEY: ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Notice.txt
<random>.exe - случайное название

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as QNBQW)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie 
 Alex Svirid, Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton