воскресенье, 17 марта 2019 г.

Golden Axe

Golden Axe Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Golden Axe, указано в записке. На файле написано: Flash_Player.exe

© Генеалогия: результаты сервиса IntezerAnalyze >>

К зашифрованным файлам добавляется расширение: .<ID{5}>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
# instructions-<ID{5}> #.txt
# instructions-<ID{5}> #.jpg
# instructions-<ID{5}> #.vbs

В данном примере это были файлы: 
# instructions-7EGFW #.txt
# instructions-7EGFW #.jpg
# instructions-7EGFW #.vbs

Пример записки: # instructions-7EGFW #.txt
Содержание текстовой записки о выкупе:
   _____       _     _                                 
  / ____|     | |   | |                /\              
 | |  __  ___ | | __| | ___ _ __      /  \   __  _____ 
 | | |_ |/ _ \| |/ _` |/ _ \ '_ \    / /\ \  \ \/ / _ \
 | |__| | (_) | | (_| |  __/ | | |  / ____ \  >  <  __/
  \_____|\___/|_|\__,_|\___|_| |_| /_/    \_\/_/\_\___|

 *** UNDER ANY CIRCUMSTANCES UNTIL DECRYPT YOUR FILES DO NOT DELETE THIS INSTRUCTIONS FILE ***
 # What Happened? 
   All your files, documents, photos, databases, and other important files are encrypted by 'Golden Axe' ransomware!
   It means you will not be able to access them anymore until they are decrypted.
   Recovery process impossible without purchasing your special decryption package from us!
 # Free Decryption Guarantee!
   We will decrypt one of your files before you making payment to show our honesty.
   Pick up and attach one of your random encrypted files less than ~1 megabytes in the first contact with us.
   * Make sure you will send the file as clear. Not archived, compressed or etc...
 # How to contact with you?
   Send your message with your 'DATA' block on the blow of this file to our email address - xxback@keemail.me
   and wait for our response.
   Write in email message what you think necessary.
   Do not forget, write to us in English or get help for a professional translator.
   Also do not forget!
   When we does not reply your email after 24 hour, send your message to our backup email - darkusmbackup@protonmail.com
 # How to Purchase Decryption Package?
   We will send you next step instructions about payment and decryption in the email.
   The decryption price base on how fast you contact with us!
   We accept only cryptocurrency named Bitcoin (BTC) as a payment method.
 # How to Purchase Bitcoin?
   Use the global and trusted Bitcoin exchange website - https://localbitcoins.com for fast and easy Bitcoin purchase.
   For more information search about 'How to buy Bitcoin' on the internet.
 # Attention!
   * DO NOT MODIFY, MOVE OR RENAME ENCRYPTED FILES. THIS CAUSES A CORRUPT YOUR FILES!
-----BEGIN DATA-----
wcBMA8CJegnNGw2kA*****rezh6p0A=l9dZ
-----END DATA-----

Перевод текстовой записки на русский язык:
*** НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ ДО РАСШИФРОВКИ ВАШИХ ФАЙЛОВ НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ ИНСТРУКЦИЙ ***
 # Что случилось?
   Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы  'Golden Axe' Ransomware!
   Это означает, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.
   Процесс восстановления невозможен без покупки у нас вашего специального пакета расшифровки!
 # Бесплатная гарантия расшифровки!
   Мы расшифруем один из ваших файлов, прежде чем вы сделаете платеж, чтобы показать нашу честность.
   Возьмите и прикрепите один из ваших случайных зашифрованных файлов размером менее ~1 мегабайта при первом обращении к нам.
   * Убедитесь, что вы отправите файл как ясно. Не в архиве, сжатый или т.д.
 # Как с вами связаться?
   Отправьте свое сообщение со своим блоком 'DATA' на удар этого файла на наш email - xxback@keemail.me
   и ждать нашего ответа.
   Напишите в email-сообщении, что вы считаете необходимым.
   Не забудьте написать нам на английском или получите помощь профессионального переводчика.
   И не забудь!
   Если мы не ответим на ваше письмо по истечении 24 часов, отправьте ваше сообщение на наш резервный email - darkusmbackup@protonmail.com
 # Как купить пакет расшифровки?
   Мы вышлем вам дальнейшие инструкции по оплате и расшифровке в письме.
   Цена расшифровки зависит от того, как быстро вы свяжетесь с нами!
   В качестве способа оплаты мы принимаем только криптовалюту Биткоин (BTC).
 # Как купить биткоин?
   Используйте всемирный и надежный сайт обмена биткоинов - https://localbitcoins.com для быстрой и простой покупки биткойнов.
   Для получения информации поищите 'How to buy Bitcoin' в Интернете.
 # Внимание!
   * НЕ ИЗМЕНЯЙТЕ, НЕ ПЕРЕМЕЩАЙТЕ И НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ. ЭТО ПРИВЕДЕТ К ПОВРЕЖДЕНИЮ ВАШИХ ФАЙЛОВ!
-----BEGIN DATA-----
wcBMA8CJegnNGw2kA ***** rezh6p0A = l9dZ

-----END DATA-----

Другим информатором жертвы выступает изображение # instructions-<ID{5}> #.jpg, заменяющее обои Рабочего стола. 


Содержание текста с изображения:
-=-=-=-= YOU ARE BECOME VICTIM OF THE GOLDEN AXE RANSOMWARE -=-=-=-=
Dear User
All your files, documents, photos, databases and other important files are encrypted.
Read instructions help file named "instructions-%s.txt" for more information.
Contact with us be e-mail for decryption (recovery) information.
xxback@keemail.me
darkusmbackup@protonmail.com
*** DO NOT MODIFY, MOVE OR RENAME ENCRYPTED FILES ***
*** USING THE THIRTY PARTY RECOVERY SOFTWARE DOES FATAL YOUR FILES ***

Перевод текста с изображения на русский язык:
-=-=-=-= ВЫ СТАЛИ ЖЕРТВОЙ GOLDEN AXE RANSOMWARE -=-=-=-=
Дорогой пользователь
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы.
Прочитайте файл справки с инструкциями "Инструкции-% s.txt" для получения информации.
Свяжитесь с нами по email для расшифровки (восстановления) информации.
xxback@keemail.me
darkusmbackup@protonmail.com
*** НЕ ИЗМЕНЯЙТЕ, НЕ ПЕРЕМЕЩАЙТЕ И НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ ***
*** ИСПОЛЬЗОВАНИЕ СТОРОННИХ ПРОГРАММ ДЛЯ ВОССТАНОВЛЕНИЯ БУДЕТ ДЛЯ ВАШИХ ФАЙЛОВ ФАТАЛЬНЫМ***

Также есть звуковое сообщение, прописанное в файле 
# instructions-.<ID{5}> #.vbs

Содержание vbs-файла:
Dim Message, Speak, val
Set Speak=CreateObject("sapi.spvoice")
Message= "All your files are encrypted. Read the Help file for solution."
For val = 1 to 3
 Speak.Speak Message 
Next


Также используется файл session.json
Содержание файла session.json
{"public_Key":"LS0tLS1CRUdJTiBQVUJMSUMgS0VZLS0tLS0KTUlHak1BMEdDU3FHU0liM0RRRUJBUVVBQTRHUkFEQ0JqUUtCaFFGS2FNSmR3Ukt6NTRFeWFkMzNwRitZUFgvcgovVVFGK2Y1WVp2ME1LK2NaV3VrUGVGVzR0YzZOZDBUVDR5aXFiNnRrOFNiK3VWYjQzK0ZBZWxycUFYakg2VWwvClFINWpnQ2kvUGxxNUlobWl5bDlSbWFDTTdqL3Nha1FROTB6R0RoZXRmY0VaWWZZdVdNMEhsa2FZUzllSmtkWDMKZllDTjFvZ0tpTmRCYlZMdzM4R003L01DQXdFQUFRPT0KLS0tLS1FTkQgUFVCTElDIEtFWS0tLS0tCg==","data":"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","extension":"7EGFW"}


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений (Flash Player), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, завершает некоторые системные процессы с помощью команд:
%WINDIR%\system32\cmd.exe /C taskkill.exe /f /im anti*
%WINDIR%\system32\cmd.exe /C taskkill.exe /f /im backup*
%WINDIR%\system32\cmd.exe /C taskkill.exe /f /im malware*
%WINDIR%\system32\cmd.exe /C taskkill.exe /f /im sql*
%WINDIR%\system32\cmd.exe /C vssadmin delete shadows /all /quiet 

➤ Делает запросы на сайты:
ipapi.co - проверка IP И других данных
iplogger.org - проверка IP И других данных
www.kremlin.ru 
cacerts.digicert.com
crl3.digicert.com
crl4.digicert.com
http://crl.thawte.com
ocsp.digicert.com
ocsp.thawte.com
ts-aia.ws.symantec.com
ts-crl.ws.symantec.com
ts-ocsp.ws.symantec.com
www.digicert.com/
www.digicert.com

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# instructions-<ID{5}> #.txt
# instructions-<ID{5}> #.jpg
# instructions-<ID{5}> #.vbs
Flash_Player.exe
 session.json
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xxback@keemail.me, darkusmbackup@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Golden Axe)
 Write-up, Topic of Support
 🎥 Video review >>
  - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

JNEC.a

JNEC.a Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: JNEC.a. На файле написано: JNEC.A. В окне программы написано: JNEC.a. Написан на .NET. Использует фальш-имя GoogleUpdate.exe для обмана. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .Jnec


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: JNEC.README.TXT

Содержание записки о выкупе:
Deposit amount: 0.05 BTC
BTC Address: 1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa
Your ID: 2rlcDRLVp5iR
Your Email: 2rlcDRLVp5iR@gmail.com (Create a mail to get the decryption key)

Перевод записки на русский язык:
Сумма депозита: 0.05 BTC
BTC адрес: 1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa
Ваш ID: 2rlcDRLVp5iR
Ваш Email: 2rlcDRLVp5iR@gmail.com (Создайте почту, для получения ключа расшифровки)

Другим информатором жертвы выступает экран блокировки:
Содержание текста на экране:
JNEC.a
INFO
Encrypted files: 43
Deposit amount: 0.05 BTC
Your Email: 2rlcDRLVp5iR@gmail.com
(Create this mailbox to get the decryption key, as soon as the payment arrives, we will contact you)
BTC addres for pay: 1JK1gnn4KEQRf8n7pH2NvmV8WXTFq7kVa

Перевод текста на экране:
JNEC.a
ИНФА
Зашифрованные файлы: 43
Сумма депозита: 0.05 BTC
Ваш электронный адрес: 2rlcDRLVp5iR@gmail.com
(Создайте этот почтовый ящик, чтобы получить ключ расшифровки, как только будет получен платеж, мы свяжемся с вами)
Адреса BTC для оплаты: 1JK1gnn4KEQRf8n7pH2NvmV8WXTFq7kVa



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Исходный архив при открытии использует недавнюю уязвимость (CVE-2018-20250) в библиотеке WinRAR UNACEV2.DLL, которая относится к формату ACE и затрагивает все версии WinRar, вышедшие за 19 лет существования программы до версии 5.70. Уязвимость была устранена в январе 2019 года с выходом версии 5.70 Beta 1Сообщается, что разработчики решили отказаться от поддержки формата ACE. Первые атаки на уязвимость появились в феврале этого года, а неделю мы узнали, что уже имеется более 100 разных эксплоитов.

Скриншот поддерживаемых форматов новой версии WinRar

Чтобы защититься, необходимо загрузить и установить версию 5.70.
Ссылка для загрузки WinRar 5.70 с официального сайта >>

 Внутри вредоносного архива vk_4221345.rar находится искаженное изображение девушки, которое при распаковке вызывает ошибку и показывает неполное изображение. 

Пользователь скорее всего попытается извлечь изображение из архива, чтобы просмотреть. Это выглядит как техническая ошибка, поэтому пользователь вскоре забудет об этом. Но при открытии архива вредонос в фоновом режиме запускает уязвимую версию WinRAR взамен имеющейся на данном ПК, при этом в систему копируется файл JNEC.a Ransomware, который начинает процесс шифрования файлов. 

Пример зашифрованного файла

 После шифрования файлов будет сгенерирован адрес почты Gmail, который жертва должна зарегистрировать самостоятельно, чтобы получить ключ дешифрования после уплаты выкупа. 


 Эксплойт WinRAR позволяет поместить вредонос в виде файла GoogleUpdate.exe в папку автозагрузки Windows Startup, поэтому шифровальщик запустится при следующем входе в систему.

➤ Из-за допущенной ошибки даже сами вымогатели не смогут расшифровать файлы. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
vk_4221345.rar - исходный файл, эксплуатирующий уязвимость в библиотеке WinRAR 
iku_m2VtkXA.jpg - специально поврежденный файл изображения
JNEC.A.exe
GoogleUpdate.exe
JNEC.README.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\GoogleUpdate.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 2rlcDRLVp5iR@gmail.com
BTC: 1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as JNEC.a)
 Write-up, Topic of Support
 * 
 Thanks: 
  Ionut Ilascu, Michael Gillespie, MalwareHunterTeam
 360 Threat Intelligence Center, Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 14 марта 2019 г.

Jamper

Jamper Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .jamper


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ---README---.TXT

Содержание записки о выкупе:
All your important files are encrypted 
There is only one way to get your files back: contact with us, pay, and get decryptor software. 
We accept Bitcoin 
You have Your personal identifier, write it in letter when contact with us. 
Also you can decrypt 1 file for test, its guarantee what we can decrypt your files. 
Attention! 
Do not rename encrypted files. 
Do not try to decrypt using third party software, it may cause permanent data loss. 
For decrypt your data write to email 
Contact information: 
 greenworksh@mail.com 
 greenworksh@countermail.com

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы
Есть только один способ вернуть ваши файлы: связаться с нами, заплатить и получить программу расшифровки.
Мы принимаем биткоины
У вас есть личный идентификатор, напишите его в письме, когда свяжитесь с нами.
Также вы можете расшифровать 1 файл для проверки, это гарантия того, что мы можем расшифровать ваши файлы.
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать с помощью сторонних программ, это может привести к потере данных.
Для расшифровки ваших данных пишите на email
Контакты:
  greenworksh@mail.com
  greenworksh@countermail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


В начале зашифрованного файла имеется маркер файлов: 
V.................

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
---README---.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:  greenworksh@mail.com, greenworksh@countermail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Jamper)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

MegaLocker

MegaLocker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные сайтов и серверов с помощью AES-128 (режим CBC), а затем требует выкуп в $250 в BTC, чтобы вернуть файлы. Оригинальное название: MegaLocker Virusуказано в записке. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Это изображение - только логотип статьи

К зашифрованным файлам добавляется расширение: .crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !DECRYPT_INSTRUCTION.TXT
Размещается в каждой папке с зашифрованными файлами в директориях скомпрометированных сайта. 

Содержание записки о выкупе:
What happened to your files ?
All of your files were protected by a strong encryption with AES cbc-128 using MegaLocker Virus.
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, 
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
What do I do ?
You can buy decryption for $800 for company and 250$ for private person.
But before you pay, you can make sure that we can really decrypt any of your files.
To do this, send us 1 random encrypted file to alexshkipper@firemail.cc, a maximum of 5 megabytes, we will decrypt them
and we will send you back. Do not forget to send in the letter your unique id: 23CAEC83B8FF4ED5A89A8E19B0D7E85C
You can check the decryption of more than one file, but no more than 3. 
To do this, send us two more letters with files, there should be only one file in each letter!
If you are a private person, then send your private photo (birthday, holidays, hobbies and so on), 
this will prove to us that you are a private person and you will pay 250$ for decrypting files. 
If you are not a private person - Do not try to deceive us!!!
Do not complain about these email addresses, because other people will not be able to decrypt their files!
After confirming the decryption, you must pay it in bitcoins. We will send you a bitcoin wallet along with the decrypted file.
You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
If you have any questions, write to us at alexshkipper@firemail.cc

Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы были защищены надежным шифрованием с помощью AES cbc-128 с помощью MegaLocker Virus.
Что это значит ?
Это значит, что структура и данные в ваших файлах были безвозвратно изменены,
вы не сможете работать с ними, читать их или видеть их,
это то же самое, что потерять их навсегда, но с нашей помощью вы сможете их восстановить.
Ключ шифрования и идентификатор уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Что мне делать ?
Вы можете купить расшифровку за $800 для компании и 250$ для частного лица.
Но перед оплатой вы можете убедиться, что мы правда можем расшифровать любые ваши файлы.
Для этого отправьте нам 1 случайный зашифрованный файл на alexshkipper@firemail.cc, максимум 5 мегабайт, мы расшифруем их
и мы отправим вам обратно. Не забудьте отправить в письме свой уникальный id: 23CAEC83B8FF4ED5A89A8E19B0D7E85C
Вы можете проверить расшифровку более одного файла, но не более 3.
Для этого отправьте нам еще два письма с файлами, в каждом письме должен быть только один файл!
Если вы частное лицо, отправьте свое личное фото (день рождения, праздники, хобби и т. д.),
это докажет нам, что вы являетесь частным лицом, и вы будете платить 250$ за расшифровку файлов.
Если вы не частное лицо - не пытайтесь нас обмануть !!!
Не жалуйтесь на эти адреса email, потому что другие люди не смогут расшифровать свои файлы!
После подтверждения расшифровки вы должны оплатить его в биткоинах. Мы вышлем вам биткоин-кошелек вместе с расшифрованным файлом.
Вы можете оплатить биткоины онлайн разными способами:
https://buy.blockexplorer.com/ - оплата банковской картой
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
О биткоинах:
https://en.wikipedia.org/wiki/Bitcoin
Если у вас есть какие-либо вопросы, напишите нам на адрес alexshkipper@firemail.cc



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!DECRYPT_INSTRUCTION.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL зараженного сайта: xxxx://charles-small.com/
Email: alexshkipper@firemail.cc
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as MegaLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать email / Follow by Email

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton