среда, 25 апреля 2018 г.

HPE iLO Ransomware

HPE iLO Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные в серверных системах HPE iLO 4 с помощью RSA, а затем требует выкуп в 2 BTC, чтобы вернуть файлы. Оригинальное название: нет данных. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HPE iLO Ransomware

👉 HPE iLO 4 (HPE Integrated Lights-Out) — интерфейс управления, встроенный в серверы HP, позволяющий администраторам удаленно управлять устройствами, подключаться к iLO с помощью web-браузера или мобильного приложения. После входа в систему администратор получает доступ к журналам, может перезагружать серверы, просматривать информацию и активировать удаленную консоль, обеспечивающую полный доступ к оболочке операционной системы.

Получив доступ к iLO злоумышленники активируют баннер безопасности входа, а затем монтируют удалённый ISO-образ. Когда этот образ будет установлен, он станет доступен как привод в операционной системе. Используя этот удалённый диск, злоумышленники запускают программу, которая будет шифровать диски компьютера. Когда это будет завершено, сервер будет рутован. 

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки "Security Notice", представляющий собой модифицированный злоумышленниками баннер системы безопасности:

Содержание текста о выкупе:
Security Notice
Hey. Your hard disk is encrypted using RSA 2048 asymmetric encryption. To decrypt files you need to obtain the private key.
It means We are the only ones in the world to recover files back to you. Not even god can help you. Its all math and cryptography .
If you want your files back, Please send an email to 15fd9ngtetwjtdc@yopmail.com.
We don't know who are you, All what we need is some money and we are doing it for good cause.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.
You can use of that bitcoin exchangers for transfering bitcoin.
https://localbitcoins.com
https://www.kraken.com
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.
Process:
1) Pay some BTC to our wallet address.(negotations almost impossible unless you are a russian citizen)
2) We will send you private key and instructions to decrypt your hard drive
3) Boom! You got your files back.
---
Demands 2 BTC
Send to 19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm

Перевод текста на русский язык:
Уведомление безопасности
Привет. Ваш жесткий диск зашифрован с асимметричным шифрованием RSA 2048. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Это значит, что мы единственные в мире, кто вернут вам файлы. Даже Бог не может вам помочь. Это всё математика и криптография.
Если вы хотите вернуть свои файлы, отправьте email на 15fd9ngtetwjtdc@yopmail.com.
Мы не знаем, кто вы, Все, что нам нужно, это деньги, и мы делаем это по уважительной причине.
Не паникуйте, если мы не ответим вам через 24 часа. Это означает, что мы не получили ваше письмо и ещё раз напишите.
Вы можете использовать этот биткоин-обменник для переноса биткоина.
https://localbitcoins.com
https://www.kraken.com
Пожалуйста, используйте английский язык в своих письмах. Если вы не говорите по-английски, воспользуйтесь https://translate.google.com, чтобы перевести свое письмо на английский язык.
Процесс:
1) Оплатите несколько BTC на наш кошелек. (Переговоры почти невозможны, если вы не являетесь российским гражданином)
2) Мы отправим вам секретный ключ и инструкции по расшифровке вашего жесткого диска
3) Бум! Вы вернули свои файлы.
---
Требуется 2 BTC
Отправить на 19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Никогда не нужно подключать устройство HPE iLO напрямую к Интернету. Вместо этого необходимо настроить доступ только через защищённую виртуальную частную сеть (VPN).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 15fd9ngtetwjtdc@yopmail.com
BTC: 19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm
BTC-кошельки могут быть уникальными для каждой жертвы. 
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as HPE iLO Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 M. Shahpasandi
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 24 апреля 2018 г.

Scarab-Oblivion

Scarab-Oblivion Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Scarab > Scarab семейство > Scarab-Oblivion
© Genealogy: Scarab > Scarab Family > Scarab-Oblivion

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension:
.OBLIVION

Примеры зашифрованных файлов Examples of encrypted files:
04tAldMu09wwbmX6edxQBDWgzY4.OBLIVION
APvs+Ui==EuUDruppb9kjgk=w5HlgzXo.OBLIVION
ue5SCHObWJVBkiMJ1 =+YovyDpidRH6yV.OBLIVION

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note: 
OBLIVION DECRYPTION INFORMATION.TXT

Содержание записки о выкупе / Contents of ransom note:
=======================================
OBLIVION 
=======================================
YOUR FILES ARE ENCRYPTED! 
Your personal ID
[324 hex chars]
Your documents, photos, databases, save games and other important data was encrypted. 
Data recovery the necessary decryption tool. To get the decryption tool, should send an email to:
obliviondecrypt@cock.li or obliviondecrypt@protonmail.com
Or telegram us:
https://t.me/oblivionhelp
Letter must include Your personal ID (see the beginning of this document).
In the proof we have decryption tool, you can send us 1 file for test decryption.
Next, you need to pay for the decryption tool. 
In response letter You will receive the address of Bitcoin wallet which you need to perform the transfer of funds.
If you have no bitcoins
* Create Bitcoin purse: https://blockchain.info
* Buy Bitcoin in the convenient way
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- It doesn't make sense to complain of us and to arrange a hysterics. 
- Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.
 Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.
- Just contact with us, we will stipulate conditions of interpretation of files and available payment, 
in a friendly situation
- When money transfer is confirmed, You will receive the decrypter file for Your computer. 
Attention! 
* Do not attempt to remove a program or run the anti-virus tools 
* Attempts to decrypt the files will lead to loss of Your data 
* Decoders other users is incompatible with Your data, as each user unique encryption key
=======================================

Перевод записки на русский язык:
=======================================
OBLIVION 
=======================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ID
Ваши документы, фотографии, базы данных, сохранение игр и другие важные данные были зашифрованы.
Восстановление данных - необходимый инструмент дешифрования. Чтобы получить инструмент дешифрования, необходимо отправить электронное письмо по адресу:
obliviondecrypt@cock.li или obliviondecrypt@protonmail.com
Или telegram нам:
https://t.me/oblivionhelp
Письмо должно содержать ваш персональный ID (см. Начало этого документа).
В доказательстве у нас есть инструмент дешифрования, вы можете отправить нам 1 файл для тестового дешифрования.
Затем вам нужно заплатить за инструмент дешифрования.
В ответном письме вы получите адрес биткоин-кошелька, который вам нужен для перевода средств.
Если у вас нет биткоинов
* Создать биткоин кошелек: https://blockchain.info
* Купить биткоин удобным способом
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- Не имеет смысла жаловаться на нас и устраивать истерику.
- Жалобы, блокировки email, лишают возможности других расшифровать компьютеры.
  Других людей, у которых компьютеры тоже зашифрованы, вы лишаете ЕДИНСТВЕННОЙ надежды расшифровать. НАВСЕГДА.
- Просто свяжитесь с нами, мы предусмотрим условия дешифрования файлов и доступных платежей, в дружественной ситуации
- Когда денежный перевод подтвержден, вы получите декриптер для вашего компьютера.
Внимание!
* Не пытайтесь удалить программу или запустить антивирусные инструменты
* Попытки расшифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, поскольку каждый пользовательский ключ шифрования уникален 



Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
OBLIVION DECRYPTION INFORMATION.TXT
<random>.exe - случайное название

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: obliviondecrypt@cock.li
obliviondecrypt@protonmail.com
Telegram: xxxxs://t.me/oblivionhelp
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivionапрель 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware  (ID under Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Sequre

Sequre Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.14 BTC, чтобы вернуть файлы. Оригинальное название: не указано. Написан на языке C#. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется составная приставка по шаблону sequre@tuta.io_[hex]
Имя файла переименовывается в hex и ставится позади почты вымогателей.

Пример зашифрованного файла: 
sequre@tuta.io_7654321757A6540747574612E696F5K123123L5679037303637

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW DECRIPT FILES.hta

Содержание записки о выкупе:
Your files are encrypted!
Your personal ID
NQFWTAPP72VXJI2TKUFGN2107016WN0KDU9UYCUI
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
How to get the automatic decryptor:
1) 0.14 BTC
Buy BTC on one of these sites:
1. https://localbitcoins.corn
2. https://www.coinbase.com
3. https://xchangetcc

bitcoin adress for pay:
14vo2jGKGemxwWKySqPKJ2kTh4MoboqAbG
Send 0.14 BTC

2) Send screenshot of payment to sequre@tuta.io . In the letter include your personal ID(look at the beginning of this document).
3) You will receive automatic decryptor and all files will be restored
* To be sure in getting the decryption, you can send one fie(iess than 10MB) to sequre@tuta.io In the letter ndude your personal ID(look at the beginning of this document). But ths action wi ncrease the cost of the automatic decryptor on 0.01 btc...

Attention!
• No Payment = No decryption
• You realy get the decryptor after payment
• Do not attempt to remove the program or run the anti-vrus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible wth your data, because each user's unique encryption key
• If you can't send a message, try to write with the other e-mail address, for example register mail.india.com

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный идентификатор
NQFWTAPP72VXJI2TKUFGN2107016WN0KDU9UYCUI
Обнаружена серьезная уязвимость в вашей сетевой безопасности.
Данные не украдены и никто не сможет это сделать, пока они зашифрованы.
Для вас у нас есть автоматический декриптор и инструкции по исправлению.
Как получить автоматический декриптор:
1) 0,14 BTC
Купите BTC на одном из этих сайтов:
1. https://localbitcoins.corn
2. https://www.coinbase.com
3. https://xchangetcc

биткоин-адрес для оплаты:
14vo2jGKGemxwWKySqPKJ2kTh4MoboqAbG
Пришли 0.14 BTC

2) Отправьте скриншот платежа на sequre@tuta.io. В письме укажите свой личный ID (смотрите начало этого документа).
3) Вы получите автоматический декриптор и все файлы будут восстановлены
* Чтобы убедиться в расшифровке, вы можете отправить один файл (до 10 МБ) на sequre@tuta.io. В письме укажите свой личный ID (смотрите начало этого документа). Бездействие будет увеличивать стоимость автоматического декриптора на 0,01 btc ...

Внимание!
• Нет оплаты = Нет расшифровки
• Вы действительно получите декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самодешифрования файлов приведут к потере ваших данных
• Декодеры других пользователей несовместимы с вашими данными, поскольку каждый пользовательский ключ шифрования уникален
• Если вы не можете отправить сообщение, попробуйте написать с другого email-адреса, для примера, регистрируйтесь на mail.india.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Примечательно, что этот образец расшифровывает зашифрованный исходный код Ransomware, компилирует его в память и вызывает ENTRYPOINT скомпилированной сборки. Это делается для предотвращения обнаружения дроппера антивирусными программами. 
Подробнее в статье Лоуренса Абрамса

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW DECRIPT FILES.hta
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sequre@tuta.io
BTC: 14vo2jGKGemxwWKySqPKJ2kTh4MoboqAbG
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 23 апреля 2018 г.

JabaCrypter

JabaCrypter Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: хитрожопый криптер (в записке). На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cryptfile

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !  ПРОЧТИ МЕНЯ.html
В заголовке файла написано: :: help ::
Yes

Содержание записки о выкупе:
Отчёт: Все ваши файлы успешно зашифрованны.
Без паники, Дамы и Господа!
-----------------------------------
Все ваши файлы и базы успешно зашифрованны нашим хитрожопым криптером.
Расшифровка всего вашего добра не имея уникального "расшифровщика" практически НЕВОЗМОЖНА!, Вы просто уничтожите все ваши данные.
Если вы не жадный, а очень щедрый человек, то мы готовы обменять всю вашу драгоценную информацию на жалкие бумажки именуемые бабками.
Поверьте бабло, побеждает зло, отдайте его нам.
-----------------------------------
По вопросу приобретения "расшифровщика" писать на почту: jabanenok@gmail.com
В письме - не забудьте указать ваш "id" указанный в конце каждого зашифрованного файла.
Мы бесплатно расшифруем несколько ваших файлов, что бы вы убедились что дешифратор у нас есть, возможно будет и у вас.
-----------------------------------
© 2018 Всё будет хорошо!  


Перевод записки на русский язык:
Уже сделан. Разберём "грамотность" вымогателей. 
Несмотря на русский текст, имеется ряд ошибок:
- Слово "зашифрованны" дважды написано с ошибочным удвоением - нн.
- Деепричастный оборот "не имея уникального "расшифровщика"" не отмечен запятыми с двух сторон. 
- После восклицательного знака "!," стоит запятая, хотя дальше по смыслу новое предложение. 
- Во фразе "бумажки именуемые бабками" не поставлена запятая. 
- Во фразе "Поверьте бабло, побеждает зло" запятая поставлена неправильно. 
- Во фразе "В письме - не забудьте указать ваш "id"" поставлено ненужное тире и после "id" не поставлена запятая. 
- Слова "что бы" в данном предложении играют роль подчинительного союза "чтобы", потому их надо писать вместе. 
В общем довольно много ошибок в орфографии и пунктуации. 


Перевод записки на английский язык / in English (orthography of the original):
Report: All your files are successfully encrypted.
Without panic, Ladies and Gentlemen!
-----------------------------------
All your files and databases are successfully encrypted by our sly-ass cryptor.
Deciphering all your goods without having a unique "decryptor" is virtually impossible !, you simply destroy all your data.
If you are not greedy, but a very generous person, then we are ready to exchange all your precious information for pathetic paper called bucks.
Believe me, the loot wins the evil, give it to us.
-----------------------------------
On the acquisition of "decryptor" write to the mail: jabanenok@gmail.com
In the letter - do not forget to indicate your "id" specified at the end of each encrypted file.
We will decrypt  for free several of your files, so that you can make sure that we have the decoder, maybe he will be by you.
-----------------------------------
© 2018 Everything will be fine!



Технические детали

Наиболее вероятно распространяется путём взлома через незащищенную конфигурацию RDP, может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!  ПРОЧТИ МЕНЯ.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jabanenok@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Alex Svirid, Andrew Ivanov
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 22 апреля 2018 г.

AutoTRON

AutoTRON Ransomware
TRON-AutoIt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Написан на AutoIt.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: другие AutoIt Ransomware >> AutoTRON (TRON-AutoIt)

К зашифрованным файлам добавляется расширение .TRON

Не путайте с предыдущим Tron Ransomware

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recovery your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can i Recover my Files ?
Sure, We guarantee that you can recover ll your files safely and easily. But you have not so enough time.
You have only have 10 days to submit the payment. Also, if you don't pay in 10 days, you won't be able to recover your files forever.
How Do I pay?
Payment is accepted in bitcoin only. For more inforrmation. Please check the current price of bitcoin and buy some bitcoins.
And send the correct amount to the address specifiled in the window.
After your payment you need to write to us on mail ( bitcoin.change.manager@gmail.com ) 
We will decrypt your files.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, untill you pay and the payment gets processed. If your anti-virus gets updated and removes this software autmatically, it will not be able to recover your files even if you pay!
To unlock the computer, you must transfer the bitcoins to this address: 1GFDAKpVsGskvn4RmnjjUxmcrX54xC41nY
to contact us, write here: bitcoin.change.manager@gmail.com
For buy bitcoins, i can advise
Website: xxxxs://localbitcoins.com
Website: xxxxs://www.bestchange.com
The essence of the work through the exchangers is very simple: Choose what currency to change.
Then what currency you want to ( in our case - want to receive bitcoins )
Indicate the requisites of your wallet pay and a few minutes receive bitcoins to your wallet.
if you do not understand, you can watch the video how to exchange your money for bitcoin xxxxs://www.youtube.com/watch?v=Jck4GeBB3-c

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов не доступны, и.к. они зашифрованы. Возможно, вы ищете способы восстановления ваших файлов, но не тратьте свое время.
Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Конечно, мы гарантируем, что вы сможете безопасно и легко восстановить 11 файлов. Но у вас мало времени.
У вас есть только 10 дней, чтобы заплатить. Кроме того, если вы не платите за 10 дней, вы не сможете восстановить свои файлы никогда.
Как мне заплатить?
Оплата принимается только в биткоинах. Для получения информации. Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов.
И отправьте правильную сумму по адресу, указанному в окне.
После вашего платежа вам нужно написать нам на почту (bitcoin.change.manager@gmail.com)
Мы расшифруем ваши файлы.
Мы настоятельно рекомендуем вам не удалять эту программу и отключить антивирус на некоторое время, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, он не сможет восстановить ваш файлы, даже если вы заплатите!
Чтобы разблокировать компьютер, вы должны перевести биткоины по этому адресу: 1GFDAKpVsGskvn4RmnjjUxmcrX54xC41nY
для связи с нами напишите на : bitcoin.change.manager@gmail.com
Для покупки биткоинов я могу посоветовать
сайт: xxxxs://localbitcoins.com
сайт: xxxxs://www.bestchange.com
Суть работы через обменники очень проста: Выберите, какую валюту обменять.
Потом, какую валюту вы хотите (в нашем случае - хотите получать биткоины)
Укажите реквизиты своего кошелька и через несколько минут получите биткоины на свой кошелек, если вы не понимаете, вы можете посмотреть видео, как обменять деньги на биткоины.
xxxxs://www.youtube.com/watch?v=Jck4GeBB3-c



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.dat, .db, .doc, .exe, .jpg, .mp3, .pdf и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://www.youtube.com/watch?v=Jck4GeBB3-c
Email: bitcoin.change.manager@gmail.com
BTC: 1GFDAKpVsGskvn4RmnjjUxmcrX54xC41nY
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton