вторник, 27 июня 2017 г.

ViACrypt

ViACrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название написано на файле: crawl. Среда разработки: Visual Studio 2015
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .via

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Сайт вымогателей относится к доменной зоне Латвии. 

Записка с требованием выкупа называется: your system has been encrypted! please read further instruction!.txt

Содержание записки о выкупе:
Your system files has been encrypted and only way to recover them is by purchasing unlocking key.
Steps to gain access for files:
1) Please follow this page: xxxx://sigmalab.lv/other/crypt/payment_request.php
2) Upload your public encryption key
3) Download decryption key
4) Drag and drop key on crawl.exe
5) Wait for files to be unlocked in background

Перевод записки на русский язык:
Ваши системные файлы зашифрованы и способ их восстановления - только покупка ключа разблокировки.
Получить доступ к файлам:
1) Проследуйте на эту страницу: xxxx://sigmalab.lv/other/crypt/payment_request.php
2) Загрузите открытый ключ шифрования
3) Скачать ключ дешифрования
4) Перетащите ключ на crawl.exe
5) Подождать, пока файлы разблокируются в фоновом режиме

Сайт вымогателей

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
crawl.exe
your system has been encrypted! please read further instruction!.txt
your_encryption_public_key.rkf

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://sigmalab.lv/other/crypt/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ViACrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Bubble

Bubble Ransomware

Preventivo Ransomware

CryptoBubble Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью DES и 8-ю случайными байтами, а затем требует связаться по email, чтобы вернуть файлы. Оригинальное название: Preventivo. На файле написано: preventivo.pdf. Среда разработки: Visual Studio 2015. Фальш-вендор: Termoidraulica Pasotti. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .bubble
Оригинальное имя файла не меняется. 

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа выступает диалоговое окно с заголовком preventivo.pdf.

Содержание записки о выкупе:
Hello, I am Bob, do you remember the game? Unfortunately, the world has changed and I have changed too: once spit bubbles, today i encode your file! :)
Well, if you want to recover your files, please contact us at 'br5wf@notsharingmy.info' and we will find a solution and will promptly send you the unlock key to retrieve all your files... Good Lucky     

Перевод записки на русский язык:
Привет, я Боб, ты помнишь игру? Увы, мир изменился, и я тоже изменился: когда лопнут пузыри, сегодня я закодирую ваш файл! :)
Ну, если вы хотите восстановить свои файлы, свяжитесь с нами на br5wf@notsharingmy.info, и мы найдем решение и сразу отправим вам ключ разблокировки, чтобы вернуть все ваши файлы ... Удачи

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Проверяет наличие 64-разрядной системы. 

Удалив исходный файл, выполняет для освободившегося места на диске заполнение следующим содержимым: 
bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble...
bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... 
bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... 

Список файловых расширений, подвергающихся шифрованию:
.3gp, .ac3, .accdb, .accdt, .avi, .bmp, .cdr, .csv, .DivX, .doc, .docm, .docx, .dwg, .jpeg, .jpg, .mid, .mov, .mp3, .mp4, .mpeg, .mpg, .odb, .odf, .odg, .odp, .ods, .odt, .ogg,  .ogv, .otg, .otp, .ott, .pdf, .png, .rar, .tiff, .txt, .wav,  .xls, .xlsm, .xlsx, .zip (42 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
preventivo.pdf.exe

Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[preventivo.pdf] = %path%\preventivo.pdf.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: br5wf@notsharingmy.info
Пересылка данных: от bubble.lck@gmail.com к bubble_lck@hmamail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Bubble)
 Write-up, Topic of Support
 * 
 Thanks: 
 Gianfranco Tonello 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

понедельник, 26 июня 2017 г.

Karo

Karo Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Karo. На файле написано: karo.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  EDA2 >> Karo

К зашифрованным файлам добавляется расширение .ipygh

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadMe.html

Содержание записки о выкупе:
YOU HAVE BEEN INFECTED WITH RANSOMWARE
What has happened?
You have been infected with ransomware. All of your files have been encrypted. Which means, you wont be able to open them or view them properly. It does NOT mean they are damaged.
Solution
You will need to decrypt the files, and only we can decrypt your files. So you need to pay us money if you want your files back. Once payment is made, you will be given a special file to run, and once you run that file, everything will get back to normal. All of your files will be unlocked and this ransomware will get removed from your PC.
Payment procedure
Download a special browser called "TOR browser" and then open the given below link. Steps for the same are -
1. Go to https://wwv.torproject.org/download/download-easy.html.en to download the "TOR Browser".
2. Click the purple button which says "Download TOR Browser"
3. Run the downloaded file, and install it.
4. Once installation is completed, run the TOR browser by clicking the icon on Desktop.
5. Now click "Connect button", wait a few seconds, and the TOR browser will open.
6. Copy and paste the below link in the address bar of the TOR browser.
DATAYYYY
Now HIT "Enter"'
7. Wait a few seconds, and site will open
If you have problems dining installation or use of Tor Browser, please, visit Youtube and search for "Install Tor Browser Windows" and you will find a lot of videos.
Pay before its loo late

Перевод записки на русский язык:
ВЫ БЫЛИ ИНФИЦИРОВАНЫ RANSOMWARE
Что произошло?
Вы инфицированы вымогателем. Все ваши файлы зашифрованы. Это значит, что вы не сможете их открыть или просмотреть. Это НЕ означает, что они повреждены.
Решение
Вам нужно расшифровать файлы, и только мы сможем расшифровать ваши файлы. Поэтому вам нужно заплатить нам деньги, если вы хотите вернуть свои файлы. После проведения платежа вам будет предоставлен специальный файл для запуска, и после запуска этого файла всё вернется к норме. Все ваши файлы будут разблокированы, а этот вымогатель будет удален с вашего ПК.
Порядок оплаты
Загрузите специальный браузер TOR-браузер, а затем откройте приведенную ниже ссылку. Шаги для этого -
1. Перейдите на страницу https://www.torproject.org/download/download-easy.html.en, чтобы загрузить TOR-браузер.
2. Нажмите фиолетовую кнопку, в которой говорится: "Загрузите TOR-браузер",
3. Запустите загруженный файл и установите его.
4. После завершения установки запустите TOR-браузер, щелкнув значок на рабочем столе.
5. Теперь нажмите кнопку "Подключить", подождите несколько секунд и TOR-браузер откроется.
6. Скопируйте и вставьте приведённую ниже ссылку в адресную строку TOR-браузера.
DATAYYYY
Теперь HIT "Enter"
7. Подождите несколько секунд и сайт откроется
Если у вас возникли проблемы с установкой или использованием TOR-браузера, посетите Youtube и найдите "Install Tor Browser Windows", и вы найдете много видео.
Оплатить это позднее
Изображение с Tor-сайта

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 karo.exe
svchost.exe
ReadMe.html
wall.png

Расположения:
%APPDATA%\aes

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://ibvmcu4eayyxjc4j.onion/***
xxxx://ibvmcu4eayyxjc4j.onion/control.php?uid=
xxxx://ibvmcu4eayyxjc4j.onion/controller.php?uid=
xxxx://ibvmcu4eayyxjc4j.onion/total.php?uid=
xxxx://ibvmcu4eayyxjc4j.onion/wall.png
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Karo)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

DarkKomet

DarkKomet Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. На файле написано: MSRSAAPP.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> DarkKomet

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.txt
***

Другим информатором жертвы является изображение для обоев рабочего стола, загружаемое с сайта picofile.com (на персидском языке). 

Содержание записки о выкупе:
***
Перевод записки на русский язык:

***


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имеет функционал RAT (Remote Administration Tool), хотя подаётся как Remote Service Application. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MSRSAAP.EXE
READ_ME.txt

Расположения:
\Desktop\READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://s9.picofile.com/file/8298574100/virus.jpg
xxxx://myserverformoney.000webhostapp.com/myserverformoney/Ransom.php?info=
Email: alihacker8001@gmail.com
BTC: 1Q5VprvKoBmPBncC7yZLURkcQ7FG9xnMKv
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

пятница, 23 июня 2017 г.

Kryptonite

Kryptonite Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей возможно с помощью AES/RSA, а затем требует выкуп в $500 BTC, чтобы вернуть файлы. Оригинальное название: Kryptonite. На файле написано: snake-game.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.



Образец этого крипто-вымогателя был найден в конце июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Ransom Note.txt
Обнаружено три разных варианта записки, различие в некоторых деталях. 

Содержание записки о выкупе:
1)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To Do that you must have a connection to the internet and disable your firewall.
Run getMyId.exe to get your ID, then go to xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
2)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To pay us go to http://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
In order to make the transactions you will need the below ID.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
You can download the Decryptor from xxxxs://s3.amazonaws.com/adsgoogle/Decrypt/decryptor.exe
Your ID: ***
3)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To pay us go to http://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
In order to make the transactions you will need the below ID.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
Your ID:

Перевод записки на русский язык:
1)
Kryptonite RANSOMWARE
Все ваши важные файлы зашифрованы
Ваши файлы были зашифрованы с алгоритмом RSA2048 с уникальным открытым ключом, хранящимся на вашем ПК. Существует только один способ восстановить ваши файлы: Свяжитесь с нами, заплатите 500$ и верните свои файлы.
Для этого вам надо подключиться к Интернету и отключить брандмауэр.
Запустите getMyId.exe чтобы получить свой ID, затем перейдите на xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/
Это защищенный веб-сайт для денежных операций.
После успешной транзакции отключите Антивирус и брандмауэр и запустите decryptMyFiles.exe как администратор.

Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола.


Содержание текста о выкупе с обоев:
ATTENTION
All your files, images, vidoes and databases have been encrypted with an RSA-2048 private and unique key generated for this computer stored on a secret server.
Original files have been over written, recovery tools will not help. 
Don't worry!! We could help you restore your files but it will cost you 500$
Follow the instructions on 'Ransome Note.txt' file on your desktop.
After payment is confirmed, use the Decryptor program to restore yor files.
If you care about your files, DO NOT TRY TO GET RID OF THIS PROGRAM!!
Any actions to do so will result in decryption key being destroyed, and you will loose your files forever!

Перевод текста с обоев на русский язык:
ВНИМАНИЕ
Все ваши файлы, изображения, видео и базы данных зашифрованы с закрытым и уникальным ключом RSA-2048, созданного для этого компьютера, сохранённого на секретном сервере.
Исходные файлы уже перезаписаны, инструменты восстановления не помогут.
Не волнуйся! Мы можем помочь вам восстановить ваши файлы, но это будет стоить вам 500$
Следуйте инструкциям в файле 'Ransome Note.txt' на рабочем столе.
После подтверждения оплаты используйте программу Decryptor для восстановления ваших файлов.
Если вы заботитесь о своих файлах, НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ!
Любые действия для этого приведут к уничтожению ключа дешифрования, а вы потеряете свои файлы навсегда!

Пока недоработан и находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует игру Snake, чтобы проникнуть на ПК и зашифровать файлы. В эту фейк-игру можно даже играть, а ход шифрования можно видеть в окне командной строки.

Данные для оплаты выкупа предлагается ввести на специальной странице. 
Страница для оплаты выкупа

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cad.exe - файл вымогателя
snake-game.exe - файл вымогателя
getMyId.exe - файл для получения ID
decryptor.exe - декриптор
decryptMyFiles.exe - декриптор
Ransom Note.txt - записка о выкупе
1.jpeg - изображение на обои

Расположения:
\Desktop\Ransom Note.txt
%APPDATA%\1.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/*** - страница для оплаты выкупа
***xxxxs://s3.amazonaws.com/adsgoogle/Decrypt/decryptor.exe***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

EyLamo

EyLamo Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> EyLamo

К зашифрованным файлам добавляется расширение .lamo

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been ecrypted. Send me BTC or kebab to get decryption passcode.
After that, you'll be able to see your beloved files again.
With love... EyLamo : ')
Bitcoin: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Перевод записки на русский язык:
Этот компьютер взломан
Ваши личные файлы зашифрованы. Пошлите мне BTC или кебаб, чтобы получить код доступа к расшифровке.
После этого вы сможете снова увидеть свои любимые файлы.
С любовью ... EyLamo : ')
Биткоин: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Другим информатором жертвы выступает изображение, догружаемое онлайн. 


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
EyLamo.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.eylamo.ct8.pl/write.php***
xxxx://i.imgur.com/HHK0Htq.png***
xxxx://www.eylamo.ct8.pl/***
151.101.36.193:80
136.243.156.120:80
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 VistaFan12‏
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Reetner

Reetner Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выполнить инструкции, чтобы вернуть файлы. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Reetner. Начало.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных и испаноязычных пользователей, что не мешает распространять его по всему миру.

Reetner использует разные exe-файлы для разных задач: один шифрует, другой отображает записку о выкупе.

Записка с требованием выкупа называется note.html

Содержание записки о выкупе:
NO ES TU IDIOMA? UTILIZA https://translate.google.com
Why I can't open my files?
All your important files were protected with a strong military-grade encryption algorithm (AES256 + RSA4096). More info here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What can I do?
In the following computers there is a file named C:\note.html with more detailed instructions to recover your files. Contact the administrators at your institution as soon as possible.

Перевод записки на русский язык:
Не ваш язык? Используйте https://translate.google.com
Почему я не могу открыть свои файлы?
Все ваши важные файлы зашифрованы сильным военным алгоритмом шифрования (AES256 + RSA4096). Дополнительная информация здесь: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Что я могу сделать?
На следующих компьютерах есть файл с именем C:\note.html с подробными инструкциями по восстановлению ваших файлов. Свяжитесь с администраторами вашего учреждения как можно скорее.

Скринлок встает обоями рабочего стола с текстом выкупа. 

Содержание текста с изображения:
All your files have been encrypted.
See the file "Unlock_Mu_Files" located on your Desktop for detailed instructions on how to recover your files. 
Consulta el archivo "Unlock_Mu_Files" ubicado en el escritorio para obtener instrucciones detalladas sobre como recuperar tus archivos. 

Перевод текста на русский язык: 
Все ваши файлы зашифрованы.
См. в файле "Unlock_Mu_Files", расположенном на рабочем столе, подробные инструкции по восстановлению файлов.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
note.html
Noter.exe
<ransom_notifer>.exe
<crypter>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *