понедельник, 30 декабря 2013 г.

Torchwood

Torchwood Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные серверов, а затем требует выкуп в 15000 рублей, чтобы вернуть файлы. Оригинальное название: Torchwood
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Torchwood >> (2013, 2014, 2015 -> 2018)



К зашифрованным файлам добавляются расширения: 
.torchwood
.TORCHWOOD


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на конец декабря 2013 - январь-февраль 2014 г. и продолжилась позже. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. 

По всей видимости для проникновения использовалась незащищенная конфигурация RDP и хакерские инструменты, позволяющие просканировать Интернет на предмет поиска, отследить незащищённую конфигурацию Windows Server, выявить простые пароли, проникнуть на сервер и в сеть и запустить шифрование вручную. 

Записка с требованием выкупа называется: 
ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt

Содержание записки о выкупе:
Внимание!
Если Вы читаете это сообщение, значит Вы уже догадались, что с компьютером что-то не так.
Вынуждены сообщить Вам не самую приятную новость:
вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .TORCHWOOD
Этот шифратор полностью криптоустойчив, поэтому восстановить файлы можно только имея уникальный для вашего пк дешифратор.
Смена ОС, установка антивирусов и обращение к специалистам по дешифровке лишь отнимут Ваше время.
Без дешифратора эту проблему не решит ни один системный администратор в мире.
На всякий случай предупреждаем:
не изменяйте файлы и не используйте чужие дешифраторы, иначе Вы можете потерять Ваши данные навсегда.
Если Вы всё же хотите попытаться решить проблему сами, то делайте это на копии, чтобы потом не было претензий к нам.

чтобы узнать как получить дешифратор, напишите нам письмо на адрес torchwood0000@yandex.com
Пожалуйста дублируйте все Ваши письма на адрес - torchwood@66.ru
Если мы Вам не ответили в течении 6 часов - повторите пересылку письма.

В письмо укажите номер - 456789 или вставьте текст из файла ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt
В ответном письме Вы получите все инструкции.

Перевод записки на русский язык:
Уже сделан вымогателями.



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP на устаревших Windows Server с использованием хакерских инструментов. 

Также может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ При шифровании создаёт уникальный ключ сессии, что не позволит дешифровать тем же ключом файлы на другом компьютере. 

➤ Вымогатели позволяют дешифровать один файл бесплатно, чтобы подтвердить возможность дешифровки. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt - вариант записки 2014 года
ИНСТРУКЦИЯ.txt - вариант записки 2015 года
cmdo.vbs
1C3AEF59DD6C5DEF00001C3AD3246348\1C3AEF59DD6C 5DEF00001C3AD3246348.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
<random>\<random>.exe
C:\WINDOWS\system32\cmdo.vbs 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
torchwood0000@yandex.com
torchwood@66.ru
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Torchwood в 2013 г. с расширением .torchwood или .TORCHWOOD
Torchwood в 2014 г. с расширением .torchwood или .TORCHWOOD
Torchwood в 2015 г. с расширением .torchwood или .TORCHWOOD
...
Torchwood в 2018 г. с расширением .trchwd или .TRCHWD



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 февраля 2014 года:
Рашсирение: .TORCHWOOD
Email: torchwood0000@yandex.com, torchwood@66.ru
Записка: ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt
➤ Содержание записки: 
Внимание!
Если Вы читаете это сообщение, значит Вы уже догадались, что с компьютером что-то не так.
Вынуждены сообщить Вам не самую приятную новость:
вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .TORCHWOOD
Этот шифратор полностью криптоустойчив, поэтому восстановить файлы можно только имея уникальный для вашего пк дешифратор.
Смена ОС, установка антивирусов и обращение к специалистам по дешифровке лишь отнимут Ваше время.
Без дешифратора эту проблему не решит ни один системный администратор в мире.
На всякий случай предупреждаем:
не изменяйте файлы и не используйте чужие дешифраторы, иначе Вы можете потерять Ваши данные навсегда.
Если Вы всё же хотите попытаться решить проблему сами, то делайте это на копии, чтобы потом не было претензий к нам.
чтобы узнать как получить дешифратор, напишите нам письмо на адрес torchwood0000@yandex.com
Пожалуйста дублируйте все Ваши письма на адрес - torchwood@66.ru
Если мы Вам не ответили в течении 6 часов - повторите пересылку письма.
В письмо укажите номер - 191641 или вставьте текст из файла ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt
В ответном письме Вы получите все инструкции.
Топик на форуме >>

Обновление от 15 августа 2014:
Расширение: .TORCHWOOD
Всё аналогично.
Топик на форуме >>


Обновление от 22 июня 2015 года:
Расширение: .TORCHWOOD
Email: torchwood0000@yandex.com, torchwood@riseup.net
Записка: ИНСТРУКЦИЯ.txt
➤ Содержание записки: 
Внимание!
Если Вы читаете это сообщение, значит Вы уже догадались, что с компьютером что-то не так.
Вынуждены сообщить Вам не самую приятную новость:
вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .TORCHWOOD
Этот шифратор полностью криптоустойчив, поэтому восстановить файлы можно только имея уникальный для вашего пк дешифратор.
Смена ОС, установка антивирусов и обращение к специалистам по дешифровке лишь отнимут Ваше время.
Без дешифратора эту проблему не решит ни один системный администратор в мире.
На всякий случай предупреждаем !!!ВАЖНО!!!:
не изменяйте файлы и не используйте чужие дешифраторы, иначе Вы можете потерять Ваши данные навсегда.
Если Вы всё же хотите попытаться решить проблему сами, то делайте это на копии, чтобы потом не было претензий к нам.
чтобы узнать как получить дешифратор, напишите нам письмо на адрес torchwood0000@yandex.com
Пожалуйста дублируйте все Ваши письма на адрес - torchwood@riseup.net
Если мы Вам не ответили в течении 6 часов - проверьте не попало ли наше письмо в СПАМ и повторите пересылку письма.
В письмо укажите номер - 553391 или вставьте текст из файла ИНСТРУКЦИЯ.txt
В ответном письме Вы получите все инструкции.
Топик на форуме >>


Обновление от 20 августа 2018:
Расширение: .TRCHWD
Email: torchwood0000@yandex.com, torchwood@riseup.net
Записка: ИНСТРУКЦИЯ.txt
➤ Содержание записки:
Чтобы узнать как получить дешифратор, напишите нам письмо на адрес torchwood0000@yandex.com или torchwood@riseup.net
Если мы Вам не ответили в течении 24 часов - проверьте не попало ли наше письмо в СПАМ и повторите пересылку письма.
В теме письма укажите номер - 62078986 или вставьте текст из файла ИНСТРУКЦИЯ.txt
Если желаете убедится в возможности восстановления, можете прикрепить к письму пару файлов, чей общий размер не превышает 10 мегабайт.
В ответном письме Вы получите все инструкции. 
Топик на форуме >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Torchwood)
 ***
Topic of Support: 
30.12.2013 - https://virusinfo.info/showthread.php?t=152438
07.01.2014 - https://virusinfo.info/showthread.php?t=152747
14.01.2014 - https://virusinfo.info/showthread.php?t=153206
22.01.2014 - https://virusinfo.info/showthread.php?t=153757
19.05.2014 - https://virusinfo.info/showthread.php?t=159884
15.08.2014 - https://virusinfo.info/showthread.php?t=164941
22.06.2015 - https://virusinfo.info/showthread.php?t=185747
*
20.08.2018 - https://virusinfo.info/showthread.php?t=219985
 Thanks: 
 thyrex, mike 1
 Andrew Ivanov
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 26 августа 2013 г.

HELP@AUSI

HELP@AUSI Ransomware
SOS@AUSI Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA или XOR+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: не указано. Написан на языке Delphi. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: более ранний >> HELP@AUSI
© Генеалогия по версии Dr.Web: Trojan.Encoder.102 > Trojan.Encoder.293

К зашифрованным файлам добавляются различные расширения:
.HELP@AUSI.COM_DE
.HELP@AUSI.COM_XE
.HELP@AUSI.COM_XQxxx
.HELP@AUSI.COM_XOxxx
.SOS@AUSI.COM_FGxxx
.SOS@AUSI.COM_IDxxx
.sos@ausi.com_ZQxxx
и многие другие, см. "Блок обновлений" внизу статьи. 

Под xxx скрыт 1х-3х-цифровой код. 

Примеры:
HELP@AUSI.COM_XO105
HELP@AUSI.COM_XQ100
SOS@AUSI.COM_ID85

Имели также версии без дополнительного расширения. 

Активность этого крипто-вымогателя пришлась на вторую половину февраля 2013 г. Ориентирован на англоязычных и русскоязычных пользователей, что не помешало распространять его по всему миру. Вымогательская деятельность безнаказанно продолжалась на протяжении трёх лет (2013-2016), а с учетом ранних версий — даже пяти (с апреля 2011 до конца 2016 год). 

Записки с требованием выкупа в большинстве случаев отсутствовали. 
В некоторых версиях всё же были записки или экраны блокировки с текстом. См. например, Kolobo Ransomware

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Шифрование файлов выполнялось в два этапа: 
- сначала файл шифровался использованием алгоритма XOR блоками по примерно 0x200 байт (длина блока различная в рахных версиях);
- затем файл шифровался с использованием алгоритма RSA. 
Подробнее о шифровании в описании у Dr.Web >>

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, DBF-файлы и базы данных, файлы программы 1C.Бухгалтерия, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
HELP@AUSI.COM и help@ausi.com
SOS@AUSI.COM и sos@ausi.com
COMODO@EXECS.COM
NUMBAZA@SEZNAM.CZ
REDBULL@PRIEST.COM
SAD@FIREMAN.NET
и многие другие
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другие известные расширения:
.anna_stepanova@aol.com_
.backspace@riseup.net_xxx
.byaki_buki@aol.com_
.COMODO@EXECS.COM_hexxxx
.contact@casinomtgox.com
.evromaidan2014@aol.com_
.Heinz@oaht.com_hxxx
.iizomer@aol.com_
.kolobocheg@aol.com_ - см. статью Kolobo Ransomware
.moshiax@aol.com_
.NUMBAZA@SEZNAM.CZ_Qxxx
.numlock@2riseup.net_
.numlock@riseup.net_
.oduvansh@aol.com_
.ONE@AUSI.COM
.REDBULL@PRIEST.COM_RBxxx
.REDBULL@PRIEST.COM_RExxx
.SAD@FIREMAN.NET_AMxxx
.starpex@riseup.net_
.Support@casinomtgox.com
.Support@casinomtgox.com_lot
.two@AUSI.COM
.ZANZIBAR@umpire.com_ZAxxx

Другие известные email:
anna_stepanova@aol.com
backspace@riseup.net
byaki_buki@aol.com
contact@casinomtgox.com
evromaidan2014@aol.com
Heinz@oath.com
iizomer@aol.com
kolobocheg@aol.com - см. статью Kolobo Ransomware
moshiax@aol.com
numlock@2riseup.net
numlock@riseup.net
oduvansh@aol.com
ONE@AUSI.COM
starpex@riseup.net
Support@casinomtgox.com_lot
two@AUSI.COM
ZANZIBAR@umpire.com




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Универсального дешифровщика для всех версий нет.
Но отдельные версии расшифровывались специалистами Dr.Web. 
Ссылка на форум поддержки со списком версий >>
*
 Read to links: 
 Write-up
 ID Ransomware (n/a)
 Topic of Support
 * 
 Thanks: 
 Владимир Мартьянов
 Dr.Web
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 16 августа 2013 г.

Revoyem

Revoyem Ransomware

DirtyDecrypt Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA+RC4, а затем требует выкуп, чтобы вернуть файлы.

Этот крипто-вымогатель шифрует файлы пользователей, главным образом doc, .xls, .pdf, jpg, png и другие файлы, которые недавно были созданы или изменены пользователем. 

Revoyem впервые обнаружен в марте 2013 года на территории Германии и Великобритании. К осени того же года ареал обитания Revoyem уже охватывал 15 стран, в их числе США, Испания, Францию, Италия, Турция и Канада. Источник информации. Позже в новых вредоносных кампаниях были затронуты и другие страны, в том числе и Россия (см. внизу блок обновлений). 

Вредонос внедряет PNG-записку с требованием выкупа в файлы, сохраняя первоначальное расширение файла. 


После того, как пользователь попытается открыть поврежденный файл, он увидит следующее сообщение:

Содержание записки о выкупе:

File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened сheck the paths:
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[USERNAME]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Application Data\Dirty\DirtyDecrypt.exe

Перевод записки на русский язык:

Файл зашифрован 
Этот файл можно дешифровать с помощью DirtyDecrypt.exe 
Нажмите CTRL + ALT + D для запуска DirtyDecrypt.exe 
Если DirtyDecrypt.exe не открылся, проверь пути: 
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[USERNAME]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Application Data\Dirty\DirtyDecrypt.exe



Технические детали

Распространяется при помощи email-спама, вредоносных JS-вложений, через редиректы на порносайтах.  См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Кликнув по вредоносному баннеру, установленному в рамках партнерской программы TrafficHolder, посетитель попадает на страницу с детским порно, которая к тому же служит плацдармом для набора эксплойтов Styx. При успешной отработке эксплойта на машину жертвы загружается Revoyem, который блокирует доступ к системе и выводит во весь экран сообщение, обвиняющее пользователя в просмотре противозаконного контента. Эффект от атаки сильнее тем, что пользователь, открывший данный сайт, действительно просмотрел запрещенный контент, хотя и мельком, и не по своей воле. Испугавшись, жертва может форсировать уплату "штрафа", чтобы восстановить работоспособность ПК, пока кто-то из близких не увидел "содеянного". 

Блокирующий доступ к системе блокировщик экрана имитирует уведомление от блюстителей правопорядка и требуют уплатить "штраф" за разблокировку. В сообщениях "от ФБР" приводятся IP-адрес и местонахождение пользователя, а также запрещенные фото, логи визитов с данного IP-адреса и список статей, которые нарушила жертва.


«В случае уплаты штрафа все собранные против вас улики будут удалены из доказательной базы», — говорится на последней странице, отображаемой Revoyem. Платеж предлагается произвести с помощью MoneyPak, Paysafeсard или Ukash.


Кроме того, Revoyem в фоновом режиме ворует информацию из браузера, отключив диспетчер задач, и при инсталляции обеспечивает себе автозапуск при каждом запуске Windows. 


По своим действиям Revoyem мало отличается от семейства вымогателей Police Ransomware, но тот факт, что Revoyem перенаправляет свои жертвы на веб-сайты, содержащие порнографическое содержание, делает его более опасным, чем его предшественники.


Если напуганная жертва решит заплатить выкуп, то рискует просто потерять деньги, т.к. нет никакой гарантии, что данные, хранящиеся на компьютере будут дешифрованы. В шоковом состоянии жертва также может бессознательно раскрыть данные кредитной карты и онлайн-банкинга. 


Список файловых расширений, подвергающихся шифрованию:
.doc, .xls, .pdf, jpg, .png и другие важные файлы.
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
DirtyDecrypt.exe
<random>.exe - случайное название файла
<image>.png - картинка, внедряемая в файлы

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: была высокая, но на данный момент низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4 июня 2015:
Email: vorjdsa@mail.ru и Opensupport@india.com
Записка о выкупе: ХОЧЕШЬ ВЕРНУТЬ ФАИЛЫ!.txt
Содержание записки:
Здравствуйте! все ваши данные на дисках зашифрованы если хотите расшифровать ваши фаилы то пишите нам на емайл vorjdsa@mail.ru и на Opensupport@india.com мы ответим в течении 1-4 часов 
ПРИ ОБРАЩЕНИИ УКАЖИТЕ ВАШ ПЕРСОНАЛЬНЫЙ КОД
Ваш код 27xxxxxx
мы предоставляем гарантии расшифровки! 
Топик на форуме Dr.Web >>





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DirtyDecrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 ThreatPost и другие
 Michael Gillespie
 v.martyanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles. 


Remove Revoyem DirtyDecrypt Decode Restore files Recovery data Удалить Revoyem DirtyDecrypt Дешифровать Расшифровать Восстановить файлы

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton