понедельник, 14 октября 2019 г.

Dishwasher

Dishwasher Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем показывает окно с сообщением и кнопкой "Decrypt all files", чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: dishwasher.exe.

Обнаружения:
DrWeb -> Trojan.Encoder.29765
BitDefender -> Trojan.GenericKD.32582157
ESET-NOD32 -> A Variant Of MSIL/Filecoder.VK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Symantec -> ML.Attribute.HighConfidence

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи (Dishwasher - посудомоечная машина)

К зашифрованным файлам добавляется расширение: .clean


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовая записка с требованием выкупа отсутствует. 

Запиской с требованием выкупа выступает экран блокировки на фоне изображения bg.jpg, заменяющего или пытающегося изменить обои Рабочего стола: 


Содержание текста на экране:
YOUR FILES HAVE BEEN LOCKED.
BLABLABLABLABLAH... ;)
---
Decrypt all files

Перевод текста на русский язык:
ВАШИ ФАЙЛЫ БЛОКИРОВАНЫ.
БАЛАБЛАБЛАБЛАБЛА...
---
Расшифровать все файлы



После нажатия на кнопку выводится диалоговое окно с текстом:
Not yet implemented ;)
[OK]

Перевод на русский:
Еще не реализовано ;)
[OK]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название вредоносного файла
dishwasher.exe
bg.jpg
dump.keys

➤ Содержание файла dump.keys :

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Temp\dishwasher.exe
\Temp\dump.keys
\Temp\bg.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Dishwasher)
 Write-up, Topic of Support
 * 
 Thanks: 
 Frost, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 13 октября 2019 г.

Kazkavkovkiz

Kazkavkovkiz Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .<random_numbers>

Например: 
.1401
.1503


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных**

Kazkavkovkiz Ransomware

Содержание записки о выкупе:
Hi!
Your files are encrypted.
All encrypted files for this computer has extension: .1401
--
If for some reason you read this text before the encryption ended,
this can be understood by the fact that the computer slows down, 
and your heart rate has increased due to the ability to turn it off,
then we recommend that you move away from the computer and accept that you have been compromised,
rebooting/shutdown will cause you to lose files without the possibility of recovery and even god will not be able to help you,
it could be files on the network belonging to other users, sure you want to take that responsibility?
--
Our encryption algorithms are very strong and your files are very well protected, you can't hope to recover them without our help.
The only way to get your files back is to cooperate with us and get the decrypter program.
Do not try to recover your files without a decrypt program, you may damage them and then they will be impossible to recover.
We advise you to contact us as soon as possible, otherwise there is a possibility that your files will never be returned.
For us this is just business and to prove to you our seriousness, we will decrypt you some files for free, 
but we will not wait for your letter for a long time, mail can be abused, we are moving on, hurry up with the decision.
Сontact us:
1.kazkavkovkiz@cock.li
2.Hariliuios@tutanota.com
Don't forget to include your code in the email:
{code_1401:smjErehmmb8LN/ANr+7IThQKwUq3HbWCnh6hI5U0QmCXxlLi+E
vx5Fcfp3p4q8GUCIEw9pQzIHugCWZqozxmIES39ohGqXRDXKkv
Ri/rJHtNC3J8BRvrrbqFYkJrDrwLLBBK7127c3qEyJf8EyOXhn
WNQ7dH6oAO6qAejWIE0XH73AqHeQ1hiAeiB3U7vviDKLzYTG9z
V/DoxL9iM4CUbz8ZtVpqeIO7mw0OWcsx5oHkXVqGXg1SziRPKT
d58WyzVj5niEeKrAlRhd9eJb00pEtFcw==}

Перевод записки на русский язык:
Привет!
Ваши файлы зашифрованы.
Все зашифрованные файлы для этого компьютера имеют расширение: .1401
-
Если по какой-то причине вы прочитали этот текст до того, как шифрование закончилось, это можно понять по тому, что компьютер замедляется, а частота сердечных сокращений увеличилась из-за возможности его выключения, поэтому мы рекомендуем вам отойти от компьютер и принять, что вы были скомпрометированы, перезагрузка / выключение приведет к потере файлов без возможности восстановления, и даже бог не сможет вам помочь, это могут быть файлы в сети, принадлежащие другим пользователям, обязательно взять на себя эту ответственность?
-
Наши алгоритмы шифрования очень сильны, и ваши файлы очень хорошо защищены, вы не можете надеяться восстановить их без нашей помощи.
Единственный способ вернуть ваши файлы - это сотрудничать с нами и получить программу расшифровки.
Не пытайтесь восстановить ваши файлы без расшифровки программы, вы можете повредить их, и тогда их будет невозможно восстановить.
Мы рекомендуем вам связаться с нами как можно скорее, в противном случае есть вероятность, что ваши файлы никогда не будут возвращены.
Для нас это просто бизнес, и чтобы доказать вам нашу серьезность, мы расшифруем некоторые файлы бесплатно, но мы не будем долго ждать вашего письма, почта может быть заблокирована, мы идем дальше, поторопитесь с решение.
Свяжитесь с нами:
1.kazkavkovkiz@cock.li
2.Hariliuios@tutanota.com
Не забудьте указать свой код в письме:
{code_1401:smjErehmmb8LN/ANr+7IThQKwUq3HbWCnh6hI5U0QmCXxlLi+E
vx5Fcfp3p4q8GUCIEw9pQzIHugCWZqozxmIES39ohGqXRDXKkv
Ri/rJHtNC3J8BRvrrbqFYkJrDrwLLBBK7127c3qEyJf8EyOXhn
WNQ7dH6oAO6qAejWIE0XH73AqHeQ1hiAeiB3U7vviDKLzYTG9z
V/DoxL9iM4CUbz8ZtVpqeIO7mw0OWcsx5oHkXVqGXg1SziRPKT
d58WyzVj5niEeKrAlRhd9eJb00pEtFcw==}



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kazkavkovkiz@cock.li, Hariliuios@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Kazkavkovkiz)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 6 октября 2019 г.

OnyxLocker

OnyxLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: OnyxLocker. На файле написано: OnyxLocker.exe. Разработчик: David.

Обнаружения:
DrWeb -> Exploit.Rtf.CVE2012-0158 + Trojan.Encoder.29682
BitDefender -> Trojan.GenericKD.32536925
Symantec -> ML.Attribute.HighConfidence
© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .onx


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа (10 штук) называются: 
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt


Содержание записки о выкупе:
Моя почта для связи: crypt@ctemplar.com
|||
Меня зовут David. Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, текстовые файлы и многое другое!  Короче говоря, вы облажались ... но вам повезло. Почему это?? 
|||
Я вымогатель, который оставляет вам только 12 часов, чтобы собрать деньги и заплатить мне, затем ваши файлы будет невозможно расшифровать!) 
|||
Любые вопросы относительно разблокировки файлов, вы можете задавать написав на почту: crypt@ctemplar.com
|||
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
|||
1. Могу ли я вернуть свои драгоценные файлы?
|||
Ответ: Конечно, вы можете. Есть только незначительная деталь. Вы должны заплатить, чтобы вернуть их.
|||
2. Нет другого способа вернуть мои файлы?
|||
Ответ: Нет
|||
3. Хорошо, что мне тогда делать?
Ответ: Просто вам придется заплатить 100 $ на этот биткойн-адрес: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq 
|||
4. Что за хрень биткойн?
|||
Ответ: Биткойн - это криптовалюта и цифровая платежная система. Вы можете увидеть больше информации здесь: https://en.wikipedia.org/wiki/Bitcoin.
|||
5. Здесь вы можете оплатить, выбрав самый выгодный курс.
|||
Вставьте эту ссылку в адресную строку вашего браузера: https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html

Перевод записки на русский язык:
уже сделан

Английского варианта нет. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .7zip, .acc, .accdb, .ai, .arw, .asp, .aspx, .avi, .backup, .bay, .c, .cdr, .cer, .cpp, .cr2, .crt, .crt, .crw, .cs, .csproj, .css, .css, .csv, .db, .db3, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .flv, .gif, .h, .html, .img, .indd, .ink, .jpe, .jpeg, .jpg, .js, .js, .json, .kdc, .litesql, .lnk, .log, .lua, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpeg, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .ptx, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rtf, .rtf, .rw2, .rwl, .sg, .sh, .sln, .sql, .sqlite, .sqlite3, .sr2, .srf, .srw, .tif, .tiff, .tmp, .txt, .vbs, .vlf, .wav, .wb2, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (137 расширений) и файлы без расширений

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt
goload_1008_1569853988.doc
Orinal.exe (OnyxLocker.exe)
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crypt@ctemplar.com
BTC: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis (dropper) >>
Hybrid analysis (encoder) >>
𝚺  VirusTotal analysis (dropper) >>
𝚺  VirusTotal analysis (encoder) >>
🐞 Intezer analysis (encoder) >>
ᕒ  ANY.RUN analysis (encoder) >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as OnyxLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Alex Svirid, CyberSecurity GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 4 октября 2019 г.

Mike, Not STOP!

"Mike NotSTOP!" Ransomware

HildaCrypt-Stahp Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные с помощью AES +RSA, а затем требует выкуп в $980, чтобы получить программу расшифровки и расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: что попало. На основе платформы .Net. На городском слэнге "Stahp" - Stop that ("Останови это", "Прекрати" - отсюда название последнего варианта HildaCrypt-Stahp). 

Обнаружения:
DrWeb -> Trojan.MulDrop11.18818
BitDefender -> Trojan.GenericKD.41866021
Malwarebytes -> Ransom.HildaCrypt

© Генеалогия: ✂️ STOP-Djvu + ✂️ HildaCrypt >> Mike NotSTOP! (HildaCrypt-Stahp)
Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .mike

1) Почему это не STOP_Djvu Ransomware? (ссылка на твит)
Формат зашифрованного файла отличается от STOP-Djvu. 
Нет файлового маркера или идентификатора в конце файла. 
Вместо него в заголовке записан "0200" и оригинальный размер файла.  
ID в записке, кажется, неизменен для каждого запуска.
Нет соединений с командно-контрольным сервером.

2) Почему это не STOP_Djvu Ransomware? (ссылка на статью)
Кто-то от имени разработчика или сам разработчик позже сообщил, что он делает шифровальщики для своего удовольствия и не пытается зашифровать файлы для получения выкупа. Странное удовольствие, видимо, как и сам разработчик. Мы не собираемся верить кому-то на слово, потому ранее написанная статья остается на своем месте с необходимыми пояснениями и ссылками. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в начале октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Вымогатель скопировал записку из STOP Ransomware последних версий. Мы не знаем что думать. Кто-то потешается или поторопился и не написал свою записку о выкупе со своими контактами для связи. Изменен только ID, но он кажется общим на всех исследованных образцах. 

Записка с требованием выкупа называется: _readme.txt

Содержание записки о выкупе:
ATTENTION!
Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-UV4s8jgncB
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
gorentos@bitmessage.ch
Reserve e-mail address to contact us:
gerentoshelp@firemail.cc
Your personal ID:
PtvJag4t9UH4xQK3hJ6uNwm2pRiSeFwPEyjpisZ2BExzgUpmmuJrVXNQ

Перевод записки на русский язык:
ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фото, базы данных, документы и другие важные, зашифрованы с самым надежным шифрованием и уникальным ключом.
Единственный способ вернуть файлы - купить инструмент дешифрования и уникальный ключ для вас.
Эта программа расшифрует все ваши зашифрованные файлы.
Какие у вас гарантии?
Вы можете отправить один из ваших зашифрованных файлов с вашего компьютера, и мы расшифруем его бесплатно.
Но мы можем расшифровать только 1 файл бесплатно. Файл не должен содержать ценную информацию.
Вы можете получить и просмотреть видеообзор инструмента расшифровки:
https://we.tl/t-UV4s8jgncB
Цена на закрытый ключ и программу расшифровки составляет $980.
Скидка 50% доступна, если вы связываетесь с нами в первые 72 часа, цена для вас составит $490.
Заметьте, что вы никогда не вернете свои данные без оплаты.
Проверьте в вашем email папки "Spam" и "Junk", если вы не получили ответ более 6 часов.
Чтобы получить эту программу, вам надо написать на наш email:
gorentos@bitmessage.ch
Резервный email-адрес, чтобы связаться с нами:
gerentoshelp@firemail.cc
Ваш личный ID:
PtvJag4t9UH4xQK3hJ6uNwm2pRiSeFwPEyjpisZ2BExzgUpmmuJrVXNQ



Технические детали

На момент написания статьи нет точных данных о распространении. Возможно, как и сообщал сам разработчик, он не распространялся для вымогания выкупа. Но, как и любая программа-шифровальщик, мог зашифровать чьи-то файлы и нанести вред. 

Если кто-то захочет перекомпилировать программу, то может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск. 


➤ Удаляет теневые копии файлов на перечисленных ниже дисках, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet

➤ Перед шифрованием останавливает системные службы Windows командами:

net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /y
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y

Список файловых расширений, подвергающихся шифрованию:
 .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asmx, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .config, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csproj, .csv, .dac, .db, .db3, .dbf, .db-journal, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lnk, .lua, .m, .m4v, .manifest, .max, .md, .mdb, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vb, .vbproj, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (339 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
34gfwhqjjgtuiudu.exe
_readme.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
BTC: ---
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Список шифровальщиков от одного разработчика: 
Viagra Ransomware
BWall Ransomware
HildaCrypt (v.1, 1.1, 1.2) Ransomware
HildaCrypt-Stahp Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно расшифровать!
Скачайте дешифровщик Emsisoft Decryptor for HildaCrypt >>
*
*
 Read to links: 
 Tweet on Twitter + Tw + Tw + Tw + myTweet
 ID Ransomware (ID as HildaCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 HildaCrypt dev
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton