четверг, 24 декабря 2015 г.

Bitmessage

Bitmessage Ransomware

Ungluk Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2,5 BTC, чтобы вернуть файлы обратно. Зашифрованные файлы получают расширения: .bleep, .1999, .0x0, .H3LL, .fuck, .him0m и другие.

Активность этого крипто-вымогателя пришлась на декабрь 2015 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Содержание записки FILESAREGONE.TXT: 
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get 
your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with 
us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your 
personal address, you need to do this just once). Then click Send tab. 
TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.
Click Send button.
You are done.
To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки FILESAREGONE.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. Если вы хотите вернуть файлы, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем. Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.
Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет генерирован ваш личный адрес, это делается только один раз). Затем клик на Send.
TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.
Нажмите кнопку Send .
Вы это сделали.
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Содержание записки READTHISNOW !!!.TXT:
Hello. 
All your files have been encrypted using our private key. There is no way to recover them without our assistance. 
If you want to get your files back you must be ready to pay for them. If you are ready to pay then follow the instructions: 
1) Create an archive (rar or zip) with 3 files inside: Secret.key + Secret.key2 (should be on your desktop) + Any encrypted file of a small size. It can be a .doc or .pdf or .xls or whatever you have. 5 mb max. Note that this file should have this extention: .0x0; please don’t put more than one file in the archive, one file is enough. If you can’t find Secret.key2, that’s OK. It will take just a little bit more time to restore your files, so you shouldn’t worry. 
2) Upload this archive to any file sharing site. Dropbox, Google Drive, sendspace.com etc. 
3) Go to http://bitmessage.org/ and download Bitmessage. 
4) Run Bitmessage. Select ‘Your Identities’ tab. Then click New. Then click OK. Then select ‘Send’ tab. 
TO: BM-%redacted% (this is our address)
SUBJECT: your PC name (Start -> Control Panel -> System) 
MESSAGE: Link to the archive with three files in it. Then click ‘Send’. 
You are done! 
To get the fastest reply from us with all further instructions, please keep Bitmessage running on your computer all the time, if possible. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки READTHISNOW !!!.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. 
Если хотите вернуть файлы, то должны заплатить за них.  Если вы готовы платить, следуйте инструкциям:
1) Создайте архив (RAR или ZIP) с 3-мя файлами внутри: Secret.key + Secret.key2 (должны быть на вашем рабочем столе) + любой зашифрованный файл небольшого размера. Это может быть .doc, .pdf, .xls или что у вас есть. 5 Мб макс. 
Обратите внимание, что этот файл должен иметь расширение .0x0; пожалуйста, не помещайте более одного файла в архиве... 
Если не можете найти Secret.key2, это ОК. Понадобится больше времени, чтобы восстановить ваши файлы, так что вы не должны беспокоиться.
2) Вы можете отправить этот архив на любой сайт для обмена файлами. Dropbox, Google Drive, sendspace.com и т.д.
3) Перейти к http://bitmessage.org/ и скачать Bitmessage.
4) Установить Bitmessage. Выбрать Your Identities > New  кнопку OK > Send.
TO: BM-адрес
SUBJECT: имя вашего ПК (Пуск > Панель управления > Система)
MESSAGE: Ссылка на архив с тремя файлами в нем. Затем нажмите кнопку "Отправить". 
Вы это сделали! 
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.



Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По завершении шифрования крипто-вымогатель удаляет теневые копии файлов. 

Цели шифрования: базы данных, документы, PDF, музыка, видео, общие сетевые папки и пр. 

Список файловых расширений, подвергающихся шифрованию:
.113 .1cd .3dm .3ds .3fr .3g2 .3gp .3pr .73b .7z .a3d .ab4 .abf .abk .ac2 .accdb .accde .accdr .accdt .acr .adb .aep .agd1 .ach .ai .ait .al .apj .apk .ark .arw .as4 .asf .asm .asp .asset .asvx .asx .ate .ati .avi .awg .azw .azw4 .b1 .bac .back .backup .backupdb .bak .bakx .bar .bay .bb .bc6 .bc7 .bck .bcm .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bpw .bsa .c .cab .cas .cb7 .cbr .cbt .ccd .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cf .cfp .cfr .cgm .cib .cls .cmt .con .cpi .cpp .cpt .cr2 .craw .crt .crw .cs .csh .csl .css .csv .ctb .d3dbsp .dac .das .dat .data .db .db0 .db3 .dba .dbf .dc2 .dc3 .dcr .dcs .ddrw .dds .der .des .desc .design .dgb .dgc .dicom .divx .djvu .dmg .dmp .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dt .dta .dtaus .dtd .dwfx .dwg .dxb .dxf .dxg .edi .eml .emlx .epk .eps .epub .erbsql .erf .esm .exf .fb2 .fbf .fbk .fbw .fbx .fdb .ffd .fff .fh .fhd .fla .flac .flv .forge .fos .fpk .fpx .fsh .fxg .gbk .gdb .gho .gif .gpx .gray .grey .gros .gry .h .hbk .hkdb .hkx .hplg .hpp .htm .html .hvpl .hxi .hxq .hxr .hxs .hxw .chi .chm .chq .chw .ibank .ibd .ibz .icxs .idx .iff .img .inc .incpas .iso .itdb .itl .itm .iv2i .iwd .iwi .jar .java .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .keystore .keystore .kf .kpdx .layout .lbf .ldf .lic .lit .litemod .lrf .ltx .lua .lvl .m .m2 .m2v .m3d .m3u .m4a .m4v .map .max .mcmeta .mdb .mdbackup .mdc .mddata .mdf .mds .mef .menu .mfw .mkv .mlx .mmw .mobi .model .moneywell .mos .mov .mp3 .mp4 .mpeg-1 .mpeg-2 .mpeg-4 .mpg .mpg .mpq .mpqge .mrw .mrwref .msg .myd .nbd .ncf .nd .ndd .nef .netcdf .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nwb .nx1 .nx2 .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pak .pas .pat .pcd .pct .pdb .pdb .pdd .pdf .pef .pem .pfx .php .pkpass .pl .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pub .pwm .py .pz3 .qba .qbb .qbm .qbo .qbr .qbw .qbx .qby .qdf .qfx .qic .qif .qt .qvw .s3db .sav .sb .sbs .sd0 .sd1 .sda .sdf .sdxf .shtm .shtml .sid .sidd .sidn .sie .sis .sldasm .sldm .sldprt .sldx .slm .sln .sn1 .sna .snx .spf .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stw .stx .sub .sum .suo .svg .swf .swm .sxc .sxd .sxg .sxi .sxm .sxw .t12 .t13 .tar .tax .tbl .tex .tga .tib .tis .tlg .trn .txt .upk .vcf .vdf .vfs0 .vob .vob .vpk .vpp_pc .vtf .w3x .wab .wallet .wav .wbb .wbcat .wdb .wif .wim .win .wma .wmo .wmv .wpd .wps .x3f .xar .xf .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsk .xlsm .xlsx .xlt .xltm .xltx .xlw .xmi .xml .ycbcra .yuv .z .zip .ztmp (501 расширение). 

Файлы, связанные с этим Ransomware:
FILESAREGONE.TXT - записка с требованием выкупа "Файлы исчезли";
READTHISNOW !!!. TXT  - записка с требованием выкупа "Прочти сейчас";
IHAVEYOURSECRET.KEY  - специальный файл с ключом;
Secret.key, Secret.key2 - специальные файлы;
<random>.exe - случайное название

Степень распространенности: средняя.
Подробные сведения собираются. 


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bitmessage (Ungluk) Ransomware - декабрь 2015
WonderCrypter (YouGotHacked) Ransomware - июнь 2016
Moth Ransomware - июнь 2016



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний образец от 15 декабря 2015 года:
Сообщение >>
Расширение: .him0m или без расширения
Файл: SECRETKEYISHIDINGHERE.KEY
Записка: READTHISSHITNOWORELSE.TXT 
Bitmessage: BM-NByDti9xJ9NcFShLaBfE1fkAW8uk51WQ
 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Ungluk)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

среда, 16 декабря 2015 г.

XRTN

XRTN Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот криптовымогатель шифрует данные с помощью RSA-1024 с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). К зашифрованным файлам добавляется расширение .xrtn

Вымогатель XRTN относится к семейству VaultCrypt. Распространялся с декабря 2015 г. Затем ему на смену пришли Trun и Xort с теми же записками, но с другими ящиками на Яндексе. 

© Генеалогия: VaultCrypt > XRTN 

  После шифрования жертве показывается HTA-документ с названием <random_name>.hta, в котором предписывается связаться по адресу xrtnhelp@yandex.ru с "экспертами". 

Содержание текста о выкупе:
ATTENTION!
All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm
Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
contact an expert on email: xrtnhelp@yandex.ru

Перевод на русский:
ВНИМАНИЕ!
Все важные файлы и информацию на этом comuter (документы, базы данных и т.д.) можно расшифровать используя криптографический алгоритм RSA
Без спец. программы декодирование одного файла с помощью самых мощных компьютеров займет около 20 лет.
контакт с экспертом по email: xrtnhelp@yandex.ru

Ошибки в тексте:
comuter - правильно: computer (компьютер)

Email-адрес вымогателей: xrtnhelp@yandex.ru

После шифрования удаляются теневые копии файлов, если UAC отключена, или выводится при активной UAC запрос на внесение изменений. Разумеется, нужно отказаться, чтобы копии файлов сохранились и можно было восстановить хотя бы часть утраченной информации после удаления вредоносных файлов. 

  Распространяется с помощью email-спама с вредоносным вложением в виде некоего Word-файла. Состоит из множества инструментов и пакетных файлов, которые выполняют шифрование файлов. Устанавливается с помощью файла JavaScript, который загружает на компьютер жертвы файлы из gusang.vpscoke.com. Эти загруженные файлы файлы включают GnuPG.exe, документ Word, и пакетный файл, который выполняет процедуру шифрования. После запуска установщик JavaScript сначала загрузит файлы, запустит документ Word, а затем командный файл. Когда пакетный файл выполняется, он генерирует ключ RSA-1024 и сканирует по-буквенно все диски для поиска файлов которые нужно зашифровать согласно заложенной в него конфигурации, и добавлять к ним расширение .XRTN. Затем удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .xlsx, .zip и многие другие. 

См. более полный список в описании вымогателей Xort и Trun

  В процессе шифрования пакетный файл экспортирует закрытый ключ, который был использован для шифрования данных, в файл с именем XRTN.key. В нем также содержатся: имя пользователя, имя компьютера, дата, количество зашифрованных файлов, подсчет всех типов зашифрованных расширений и другие параметры. XRTN.key файл необходим для дешифровки файлов жертвы.

Файлы, связанные с XRTN Ransomware:
%Temp%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
%AppData%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
C:\Users\User_name\AppData\Roaming\<random_name>.hta - полный путь
%Temp%\4077430c_xrtn.KEY
%Temp%\CONFIRMATION.KEY
%Temp%\Do_88u.docx
%Temp%\gPG.EXE
%Temp%\<random>.js
%Temp%\dsfsdghd.bat, шаблон <random>.bat
%Temp%\ez3x7je8.cmd, шаблон <random>.cmd
%Temp%\xrtn.KEY
%Temp%\xrtn.txt
%AppData%\xrtn.KEY

Записи реестра, связанные с XRTN Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\onuntsss
mshta %AppData%\3cnq8256w5rxxavz.hta

Степень распространенности: средняя.
Подробные сведения собираются. 



Read to links: 
Write-up on BC + other
ID Ransomware

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 al1963

 

пятница, 20 ноября 2015 г.

CryptInfinite

CryptInfinite Ransomware 

DecryptorMax Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует уплатить выкуп $500, используя ваучер PayPal MyCash, чтобы вернуть файлы обратно. Если платеж не придет за 12 часов, то плата за ключ дешифрования возрастет до $1000.

  Название различается в зависимости от сайта, с которого загрузилась инфекция. 

 К зашифрованным файлам добавляется расширение .crinf или .CRINF
Активность этого криптовымогателя пришлась на ноябрь-декабрь 2015 г. 

  Записка с требованием выкупа ReadDecryptFilesHere.txt создается в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
Your personal files have been encrypted!
Your documents, photos, databases and other important files have been encrypted using a military grade encryption algorithm.
The only way to decrypt your files is with a unique decryption key stored remotely in our servers. All your files are now
unusable until you decrypt them. You have 24h to pay for the release of your decryption key. After 24h have passed, your
decryption key will be erased and you will never be able to restore your files.
To obtain your unique decryption key you will need to pay $500 using a PayPal MyCash voucher.
If the payment is not sent within 12h the amount to obtain your decryption key will be $1000.
PayPal MyCash vouchers can be purchased at CVS, 7-Eleven, Dollar General, fred`s Super Dollar,
Family Dollar and many other stores.
---
After obtaining your PayPal MyCash voucher code you need to send an email to
silasw9pa@yahoo.co.uk with the following information.
1. Your $500 PayPal MyCash PIN
2. Your encryption ID = <your id>
Shortly after the voucher is received and verified, all your files will be restored to their previous state.
All payments are processed and verified manually, do not try to send invalid PIN numbers.

Перевод записки на русский язык: 
Ваши личные файлы зашифрованы!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с использованием алгоритма шифрования военного класса.
Единственный способ дешифровки файлов - это уникальный ключ дешифрования, хранимый на наших серверах. Все ваши файлы теперь непригодны для использования, пока вы их не дешифруете. У вас есть 24 часа, чтобы заплатить за ключ дешифрования. После 24 часов ключ дешифрования будет стерт и вы не сможете восстановить файлы.
Чтобы получить уникальный ключ дешифрования вам нужно заплатить $500, используя ваучер PayPal MyCash.
Если платеж не придет за 12 часов, то плата за ключ дешифрования возрастет до $1000.
PayPal MyCash ваучеры можно приобрести в CVS, 7-Eleven, Dollar General, fred`s Super Dollar, Family Dollar и во мн. др. магазинах.
---
После получения вашего PayPal MyCash код ваучера нужно отправить по email
silasw9pa@yahoo.co.uk следующую информацию.
1. Ваш $ 500 PayPal MyCash PIN
2. Ваш ID шифрования = <ваш ID>
Вскоре после получения и проверки ваучера все ваши файлы будут восстановлены.
Все платежи обрабатываются и проверяются вручную, не отправляйте неверные номера PIN.

Адреса вымогателей могут быть следующими: 
silasw9pa@yahoo.co.uk
decryptor171@mail2tor.com
decryptor171@scramble.io

  Распространяется с помощью email-спама и вредоносных вложений, в качестве которых выступает документ Word с вредоносными макросами. При открытии выводится сообщение с требованием включит макросы для отображения документа. 

Список файловых расширений, подвергающихся шифрованию: 
.accdb, .bay, .dbf, .der, .dng, .docx, .dxf, .erf, .indd, .mef, .mrw, .odb, .odp, .pdd, .pef, .pptm, .psd, .ptx, .raw, .srf, .xlk, .xls, .ach, .aiff, .arw, .asf, .asx, .avi, .back, .backup, .bak, .bin, .blend, .cdr, .cer, .cpp, .crt, .crw, .dat, .dcr, .dds, .des, .dit, .doc, .docm, .dtd, .dwg, .dxg, .edb, .eml, .eps, .fla, .flac, .flvv, .gif, .groups, .hdd, .hpp, .iif, .java, .kdc, .key, .kwm, .log, .lua, .m2ts, .max, .mdb, .mdf, .mkv, .mov, .mpeg, .mpg, .msg, .ndf, .nef, .nrw, .nvram, .oab, .obj, .odc, .odm, .ods, .odt, .ogg, .orf, .ost, .pab, .pas, .pct, .pdb, .pdf, .pem, .pfx, .pif, .png, .pps, .ppt, .pptx, .prf, .pst, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rtf, .rvt, .rwl, .safe, .sav, .sql, .srt, .srw, .stm, .svg, .swf, .tex, .tga, .thm, .tlg, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xlr, .xlsb, .xlsm, .xlsx, .yuv,.jpeg,.jpe, .jpg (150 расширений)

Для каждого зашифрованного файла добавляется в реестр ключ HKCU\Software\CryptInfinite\Files\номер. Подробнее >>

Из процесса шифрования исключаются любые файлы, которые содержат следующие строки: Windows, Program Files, KEY, .crinf

При установке вредонос создает уникальный идентификатор жертвы, переименовывает и создать новый исполняемый файл, по имени идентификатора. Исполняемый сохраняется в папке %USERPROFILE%. Пример такого файла test-ADBFFA-G131.exe. 

Расположение: 
C:\Users\<user_name>\<victim-id>.exe

Затем вредонос выполняет следующие команды (удаляет тома теневых копий файлов, отключает восстановление системы и средство восстановления при загрузке, переводя его в статус игнорирования всех ошибок загрузки Windows):
cmd.exe /k vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /k bcdedit.exe /set {default} recoveryenabled No
cmd.exe /k bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

На выполнение этих команд требуются права администратора, и если UAK не отключен, то выйдет уведомление на выполнение Vssadmin.exe. В таком случае нужно отказать в выполнении каждого запрошенного процесса. 

Вредонос будет также завершать выполнение общих приложений, используемых при анализе вредоносного ПО:
TASKKILL /F /IM msconfig.exe
TASKKILL /F /IM rstrui.exe
TASKKILL /F /IM tcpview.exe
TASKKILL /F /IM procexp.exe
TASKKILL /F /IM procmon.exe
TASKKILL /F /IM regmon.exe
TASKKILL /F /IM wireshark.exe
TASKKILL /F /IM LordPE.exe
TASKKILL /F /IM regedit.exe
TASKKILL /F /IM cmd.exe
TASKKILL /F /IM filemon.exe
TASKKILL /F /IM procexp64.exe

По окончании шифрования вредонос вывод перед жертвой экран блокировки, который состоит из нескольких диалогов. Первый содержит основную информацию о том, что случилось с файлами, а второй позволяет проверять и увидеть статус проведенного платежа. 

Если жертва сделала платёж, и это подтвердилось, то появится третий диалог, в котором будет ссылка откуда скачать Decrypter.

DecryptorMax прописывает себя в Автозагрузку системы, меняет обои рабочего стола на свой графический файл z2.bmp с требованиями выкупа. 
Его местонахождение: C:\Users\z2.bmp.

Файлы, добавленные CryptInfinite:
%AppData%\XBMGERoOjZX.exe
%UserProfile%\<id>.exe
C:\Users\<login_name>\z2.bmp

Ключи реестра, добавленные CryptInfinite:
HKCU\Software\CryptInfinite
HKCU\Software\CryptInfinite\Files
HKCU\Software\CryptInfinite\Info
HKCU\Software\CryptInfinite\Info\KEY 000000
HKCU\Software\CryptInfinite\Info\1 000000
HKCU\Software\CryptInfinite\Info\c 23
HKCU\Software\CryptInfinite\Info\m 57
HKCU\Software\CryptInfinite\Info\s 21
HKCU\Software\CryptInfinite\Info\Finish True
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft corporation C:\Users\<login_name>\<id>.exe
HKCU\Control Panel\Desktop\WallpaperStyle "0"
HKCU\Control Panel\Desktop\Wallpaper "C:\Users\<login_name>\z2.bmp" 

Степень распространённости: средняя
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 17 ноября 2015 г.

Chimera

Chimera Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует все файлы, которые находит на всех подключенных дисках, а затем требует 0,939 биткоинов, чтобы вернуть файлы. 

Зашифрованные файлы получали расширение .crypt
Позже расширение стало в формате .<4_random_chars>
Примеры: .MnDf, .PzZs, .RThY.

  После того, как файлы будут зашифрованы, Chimera отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как произвести оплату и получить ссылку на декриптер, который нужно запустить для расшифровки файлов, когда платеж будет сделал и вымогатель получит подтверждение. 

 Записки о выкупе называются: 
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT

  На обои ставится изображением с именем <random>.gif
  Внизу html-сообщения можно видеть, что Chimera также набирает новых аффилиатов в партнерскую программу по распространению самой себя. 

Список файловых расширений, подвергающихся шифрованию:
.jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf (226 расширений). 

 Распространяется через email-спам, содержащий ссылки на веб-страницу Dropbox. В отличие от других вымогателей Chimera не использует Tor-сайт для управления платежами и загрузки декриптера. Вместо этого в качестве способа связи с разработчиком вымогателя используется Bitmessage, криптографический мессенджер для обмена сообщениями, использующий децентрализованную P2P-сеть. Bitmessage, как нельзя лучше подходит для обмена данными между компьютером жертвы и сервером управления вредоносного ПО разработчика. Преимущество Bitmessage в том, то его сеть работает по принципу шифрования всех входящих и исходящих сообщений каждого пользователя, используя сильные алгоритмы шифрования таким образом, что только получатель сообщения способен его расшифровать.

  Когда Chimera заражает ПК жертвы, он использует встроенное приложение PyBitmessage, чтобы отправить разработчику сообщение, содержащее следующую информацию: секретный ключ жертвы, ID "железа" машины и Bitcoin-адрес для оплаты. 

  Декриптер от вымогателей поставляется как msi-установщик. Он имеет понятный интерфейс и направляет жертву через весь процесс дешифровки файлов. 

  Когда пользователь загружает и устанавливает декриптер в папку C:\Program Files (x86)\Chimera Decrypter, вместе с ним ставится Bitmessage. После запуска Bitmessage работает в режиме ожидания поступления платежа на указанный Bitcoin-адрес. 

Подробности работы приложения и метод получения ключа от вымогателей опускаем. Желающие могут ознакомиться с ними самостоятельно в статье Лоуренса Абрамса.

Детект на VirusTotal >>>


Степень распространенности: была высокая.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Имеются сведения, что теперь расширение, добавляемое после шифрования, может иметь вид .<4_random_chars> — случайный четырехбуквенный разнорегистровый код, например, .MnDf, .PzZs, .RThY.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать RakhniDecryptor для дешифровки >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 *
 *
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


воскресенье, 15 ноября 2015 г.

Troldesh, Shade

Troldesh Ransomware

Shade Ransomware

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из России, Беларуси, Казахстана, Украины >>>

Информация о шифровальщике


  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (CBC-режим), затем требует отправить на email вымогателя код из записки о выкупе, чтобы получить дальнейшие инструкции. В ответном письме сообщается сумма выкупа в сотнях долларов. Ориентирован на русскоязычных пользователей и их адресатов из других стран (Россия, Украина, Германия, Турция и пр.). Другие названия: Shade, XTBL, Trojan.Encoder.858

  Обои рабочего стола изменяются на изображение с сообщением на русском и английском языках о том, что файлы были зашифрованы. Это bmp-изображение может размещаться в директории %APPDATA%\Roaming, например, так C:\Users\User\AppData\Roaming\0ED528EB0ED528EB.bmp

 Когда этот вредонос выполняется, он создает следующие файлы:
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp

Затем создает следующую запись в реестре, чтобы выполняться при каждом запуске Windows,:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Client Server Runtime Subsystem" = "%Windir%\csrss.exe"

Затем соединяется со следующими удаленными адресами, чтобы загрузить и выполнить другие вредоносные файлы: 
gxyvmhc55s4fss2q.onion/reg***
gxyvmhc55s4fss2q.onion/prog***
gxyvmhc55s4fss2q.onion/err***
gxyvmhc55s4fss2q.onion/cmd***
gxyvmhc55s4fss2q.onion/sys***

Для каждого зашифрованного файла генерируется два случайных 256-битных ключа AES: один для шифрования содержимого файла, второй для шифрования имени файла. Эти ключи помещаются в служебную структуру key_data, которая шифруется выбранным ключом RSA и помещается в конец кодируемого файла. Подробнее >>>

 Troldesh зашифровывает пользовательские файлы, меняет их набором из случайных символом, а расширение на .xbtl или .cbtl, изменяет записи в реестре системы для автозапуска при включении компьютера. На рабочем столе и в каждой папке с зашифрованными файлами Troldesh разбрасывает до 10 файлов с вымогательским текстом: README.txt

После шифрования удаляются все теневые копии файлов на всех дисках.

  Распространяется через email-спам и вредоносные вложения (фейк-PDF-файл), фишинг-письма со ссылками на заражённые набором эксплойтов Axpergle или Neclu (Nuclear) сайты. Поставщиками шифровальщика могут выступать ботнеты, в частности Kelihos (Waledac) осенью 2016. Нередки случаи установки другого вредоносного ПО: Pony, Teamspy RAT, банковских троянов и других. 

Зараженный сайт способствует запуску вредоносного кода на ПК, а эксплуатируемая уязвимость способствует инфицированию системы шифровальщиком Troldesh. Попав на компьютер создает в системе файлы %APPDATA%\windows\csrss.exe (копия вредоноса) и %TEMP%\state.tmp (временный файл для шифрования).

  Фишинг-письма и email-спам могут иметь следующие заголовки (темы письма): Жалоба, Уведомление, Сообщение из банка (суда, налоговой, от кредиторов), Задолженность, Уголовное производство, Счет-фактура, Доставка, Посылка, Предложение любого типа и пр... Это далеко не весь список. 


   Ни в коем случае не загружайте их, не открывайте вложение, не переходите по ссылкам в письме, каким бы особенно важным не казалось содержимое письма!!!

Список файловых расширений, подвергающихся шифрованию:  
.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx, .avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf, .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp, .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda, .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef, .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm, .pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl, .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .srw, .ssi, .st, .stm, .svg, .svgz, .swf, .tab, .tar, .tbb, .tbi, .tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wav, .wb2, .wbm, .wbmp, .wim, .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, .zip (342 расширения). 

Email, использованные вымогателями в предыдущее время:
decode00001@gmail.com
decode00002@gmail.com
...
decode77777@gmail.com
...
decode99999@gmail.com
files000001@gmail.com
...
files640@gmail.com
...
files08880@gmailcom
files08881@gmailcom


Файлы и ключи реестра, связанные в этим Ransomware:
csrss.exe
<random_name>.exe
<random_name>.bmp
\lock
\state
README.txt, README1.txt ... README10.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

\%TEMP%\ ->
%All Users%\Application Data\Windows\csrss.exe
%All Users%\Application Data\Windows\csrss.exe
%Windir%\csrss.exe
%AllUsersProfile%\Drivers\csrss.exe
%Windir%\<random_hex_chars>.exe
C:\ProgramData\Windows\csrss.exe
%Temp%\lock
%Temp%\state
%UserProfile%\Application Data\<random_name>.bmp
См. также ниже результаты анализов в обновлениях. 

Сетевые подключения и связи:
См. ниже гибридный анализ в обновлениях. 

Степень распространённости: очень высокая и перспективно высокая.
Подробные сведения собираются регулярно.






=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Troldesh-1 Ransomware 
Расширения: .xbtl и .cbtl
decode00001@gmail.com
decode00002@gmail.com ...
decode77777@gmail.com ...
decode99999@gmail.com
files000001@gmail.com ...
files640@gmail.com ...
files08880@gmailcom
files08881@gmailcom ...

Troldesh-2 Ransomware 
Расширения: .breaking_bad и .heisenberg
Email: files000001@gmail.com
Время распространения:  сентябрь - декабрь 2015, январь 2016 - далее

Troldesh-Ransomware
Расширение: .better_call_saul
Email: decode99999@gmail.com, decode77777@gmail.com, files640@gmail.com
Время распространения: январь - март 2016 - далее

Troldesh-4 Ransomware 
Расширение: .windows10
Email: Ryabinina.Lina@gmail.com
Время распространения: июнь 2016 - далее

Troldesh-Next Ransomware
Расширение: .no_more_ransom
Email: VladimirScherbinin1991@gmail.com
-
Расширения: .da_vinci_code и .magic_software_syndicate
Email: Lukyan.Sazonov26@gmail.com
-
Расширение: .dexter
Email: Ryabinina.Lina@gmail.com
-
Расширение: .crypted000007
Novikov.Vavila@gmail.com
-
Расширения: .crypted000007 и .crypted000078
selenadymond@gmail.com
-
Расширение .crypted000007
gervasiy.menyaev@gmail.com




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение №1, декабрь 2015:
Email: files000001@gmail.com
Расширения: .breaking_bad и .heisenberg
Время использования: сентябрь - декабрь 2015, январь 2016

Дополнение №2, март 2016:

Email: decode99999@gmail.com, decode77777@gmail.com, files640@gmail.com
Расширение: .better_call_saul
Время использования: январь 2016 - март 2016

Дополнение №3, июнь 2016

Email: Ryabinina.Lina@gmail.com
Расширение: .windows10
См. отдельное описание Windows10 Ransomware



Обновление от 25 мая 2016:
Записка: README.txt и с цифрами
Email: VladimirScherbinin1991@gmail.com
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
<< Скриншот записки





Обновление от 14 июля 2016:
Новые расширения: .da_vinci_code и .magic_software_syndicate
Email: Lukyan.Sazonov26@gmail.com
Записки о выкупе получили ссылки на Tor-сайт (ранее был email-адрес);
Имеется □-ошибка в тексте с требованиями выкупа на изображении обоев;
Теперь вредонос доставляется на ПК жертв с помощью трояна Mexar.
Подробнее: в блоге Technet Microsoft, в статье Threat Encyclopedia.


Обновление от 24 ноября 2016:

Новое расширение: .no_more_ransom
Файлы: csrss.exe, <random_name>.exe
Записка: README.txt и с цифрами
Email: vladimirscherbinin1991@gmail.com
Результаты анализов:  VTHA, RE
Образец от 17.02.17 на VT








=== 2017 ===


Обновление от 14 апреля 2017:
Пост в Твиттере >>
Расширение: .dexter
Файл: <random>.exe и др. 
Фальш-имя: Microsoft Office Outlook
Фальш-копирайт: Microsoft Corporation
Записки: README1.txt, README1.txt ... README10.txt
Шаблон зашифрованных файлов: <base64>.<id>.dexter
Примеры зашифрованных файлов:
vwX3Xh9UAXWRwRX8ZgUll-IjflDCC6Bs087177GtWeo=.0123456789ABCDEF0123.dexter
WxJbT7+shAWVwbQ2aYvfwhZ2rNGqMrNcDuGZ7hSFxP8=.0123456789ABCDEF0123.dexter
yE8U-ykICrqPLXu5TgP0vPbScejpC8VFDLumlldsqMg=.0123456789ABCDEF0123.dexter
Email: Ryabinina.Lina@gmail.com
URL: cryptsen7fo43rr6.onion.to , cryptsen7fo43rr6.onion.cab
Результаты анализов: VT
Скриншот записки и обоев рабочего стола:
 


Обновление от 26 апреля 2017:
Расширение:  .crypted000007
Записки: README.txt, README1.txt ... README9.txt
Email: pilotpilot088@gmail.com
URL: xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
Топик на форуме >>





Обновление от 1 и 5 мая 2017:
Пост в Твиттере >>
Расширение: .crypted000007
Записки о выкупе: README1.txt, README1.txt ... README10.txt 
Email: Novikov.Vavila@gmail.com
VladimirScherbinin1991@gmail.com
<< Пример записки
Файлы: csrss.exe, TPVCGateway.exe, <random>.exe
Версия файла:  8,6,239,2
Фальш-имя: TPVCGateway (ThinPrint Virtual Channel Gateway)
Фальш-копирайт: Cortado AG
<< Пример зашифрованных файлов


<< Пример вложения email 
Сетевые связи: 
xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
xxxx://whatsmyip.net/
xxxx://whatismyipaddress.com/
whatismyipaddress.com/ip/
whatsmyip.net
128.31.0.39:9101 - США
86.59.21.38:443 - Австрия
5.148.175.35:9001 - Швейцария
62.210.90.164:9001 - Франция
37.200.98.5:443 - Германия
163.172.133.54:443 - Великобритания
163.172.165.6:9001 - Великобритания
217.12.210.95:9001 - Украина
141.138.200.249:80 - Нидерланды

Результаты анализов: HA+VT
Скриншоты рабочего стола:

Скриншот страницы Tor-сайта вымогателей:
Содержание текста с Tor-сайта:
Вы можете отправить сообщение через форму обратной связи:
You can send the message using the following feedback form:
Ваш e-mail / Your e-mail: 
Мой код из Readme.txt (вида 0011223344556677AAFF|0):
My code from Readme.txt (it looks like 0011223344556677AAFF|0):
Я потерял все Readme.txt либо не смог найти ни одного
I lost all my Readme.txt files or did not find any of them
Текст сообщения / The text of the message:
Пожалуйста, введите текст с картинки:
Please enter the text from the image:
Отправить / Send
Информация: на данный момент используется алгоритм шифрования RSA-3072. Он является одним из самых криптостойких методов, и данные, зашифрованные им, не могут быть расшифрованы без приватного ключа. Подробнее...
Information: the current encryption algorithm is RSA-3072. It is one of the most cryptographically strong methods and the data encrypted by it can not be decrypted without the private key. More... 
***************************

Обновление от 10 мая 2017:
Пост в Твиттере >>
Файл: fan.EXE и другие
Email: selenadymond@gmail.com
Расширения: .crypted000007, .crypted000078
Результаты анализов: VT
Видео-обзор от GrujaRS CyberSecurity >>


Обновление 15 мая 2017:
Примеры вложений: (якобы обновления от Microsoft)
Update_MS17_010.zip
Security_Update_MS17_010.js

Обновление от 27 мая 2017:
Расширение: .crypted000007
Записки: README.txt, README1.txt ... README9.txt
Email: pilotpilot088@gmail.com
URL: xxxx://cryptsen7fo43rr6.onion/
xxxx://cryptsen7fo43rr6.onion.to/
xxxx://cryptsen7fo43rr6.onion.cab/
Топик на форуме >>




Обновление от 23 ноября 2017:
Вредоносная кампания продолжается!!!
Пост в Твиттере >> Спасибо GrujaRS! 
Примеры вложений: invoice_3098_2017_11.exe
Расширение .crypted000007
Email: gervasiy.menyaev@gmail.com
Записки: README1.txt - README10.txt
Скриншот записки >>
Текст на русском:
Вашu файлы былu зашuфрoваны.
Чтобы рaсшuфровamь их, Bам неoбxодимo omпpавиmь kод:
70ECF9E62CDD1085XXX|0
на элeктрoнный aдрeс gervasiy.menyaev@gmail.com .
Далee вы nолучuтe всe нeобxoдимые uнcmpукциu.
Попытkи pacшифpoваmь cамocтoятeльнo не nривeдym нu к чемy, kроме бeзвозвpamной потеpu инфоpмацuu.
Eсли вы всё жe хoтите попыmaться, mo npедвapuтельнo сдeлaйте рeзepвныe kоnuи фaйлoв, инaче в cлyчae
их uзмененuя pасшифровкa cтанeт невoзмoжнoй нu прu каких уcлoвияx.
Eсли вы нe nолучuлu oтвеmа пo вышеуказaннoмy aдpеcу в тeчeние 48 чacов (и тoльko в эmoм слyчаe!),
вocпользуйmеcь фopмой обpаmнoй cвязu. Это можно сдeлamь двyмя cnocoбaми:
1) Ckaчайme u уcтанoвumе Tor Browser no сcылkе: https://www.torproject.org/download/download-easy.html.en
В адpecной cmpoke Tor Browser-а ввeдume aдpeс:
http://cryptsenXXXXXXX.onion/
и нaжмитe Enter. 3aгpузuтся cmранuца c формой oбpатнoй связu.
2) В любом браyзeрe пеpейдumе no однoму из aдрeсoв:
http://cryptsenXXXXXXX.onion.to/
http://cryptsenXXXXXXX.onion.cab/

*| Обратите внимание, что русские буквы перемешаны с английскими, визуально похожими: u - вместо и, a вместо а, m вместо т, n вместо п, е вместо е, o вместо о, k вместо к...

Текст на английском: 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
70ECF9E62CDD108XXXX|0
to e-mail address gervasiy.menyaev@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
xxxxs://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
xxxx://cryptsenXXXXXXX.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
xxxx://cryptsenXXXXXXX.onion.to/
xxxx://cryptsenXXXXXXX.onion.cab/

Расположения:
  \AppData\Roaming\9F4BB42E9F4BB42E.bmp
  \Desktop\README1.txt - README10.txt
  \Temp\<random>.exe
---

=== 2018 ===

Вредоносная кампания продолжается!!!
Я не отслеживал все варианты, возможно, что они были и видоизменялись. 
Странно другое, что это вымогательство продолжается уже несколько лет, но ни Европол, ни Интерпол не могут (или не хотят?) отследить эту банду, чтобы передать данные на арест как самих вымогателей, так и их пособников в какую-нибудь местную полицию. При глобальном распространении этого вымогательства это более чем странно и неубедительно. 

Обновление от 29 ноября 2018:
Расширение: .crypted000007
Записки: README1.txt - README10.txt
Email: pilotpilot088@gmail.com
Расположение вредоносного файла: C:\ProgramData\Windows\csrss.exe
Фальш-имя: WUDFHost.exe
Фальш-копирайт: Microsoft
URLs: http://cryptsen7fo43rr6.onion/
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/
Результаты анализов: VTAR
➤ Содержание записки о выкупе:
Baши фaйлы былu зaшифpовaны.
Чmобы paсшuфpoвaть их, Вaм необxoдuмо omпpавumь kод:
906D0F2E2F604F839E04|0
на элekmрoнный aдреc pilotpilot088@gmail.com .
Дaлee вы получume вce нeобxодимыe uнcmрукции.
Поnытku paсшифpoвать cамoстоятeльно не nрuвeдут ни k чемy, кpоме бeзвозвратной noтерu инфoрмациu.
Eслu вы всё жe xomитe nоnыmатьcя, mo npедваpитeльнo cделайmе рeзервныe konиu файлов, uнaчe в cлyчаe
иx изменения раcшифpовкa стaнеm невозмoжнoй нu nрu какux услoвияx.
Eслu вы не пoлучили omвеma пo вышeукaзaннoму aдрeсу в mеченue 48 часов (и mолько в этом слyчae!),
вoсnoльзyйтеcь фopмoй oбрaтной связu. Этo мoжнo сдeлаmь двyмя споcoбaми:
1) Ckaчaйтe u ycmановuтe Tor Browser по ссылke: https://www.torproject.org/download/download-easy.html.en
В адpеснoй cтроke Tor Browser-a ввeдumе aдреc:
http://cryptsen7fo43rr6.onion/
и нaжмиmе Enter. 3aгpузиmcя сmpaница с фoрмой обрaтнoй связu.
2) В любoм браyзере neрейдumе no одному из адpecов:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
906D0F2E2F604F839E04|0
to e-mail address pilotpilot088@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/


Обновление от 2 июля 2019:
Файлы: 1c_1_.jpg, MSBuild.exe, csrss.exe
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для двух ранних версий есть декриптор (дешифровщик)!
Скачать декриптор для Troldesh (Shade) можно по ссылкам
Поддерживаются только расширения: 
.xtbl, .ytbl, .breaking_bad, .heisenberg
Версии: English / Russian
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Troldesh / Shade)
 Write-up, Topic of Support
 Shade: не шифрованием единым >>
 Thanks: 
 Lawrence Abrams, BleepingComputer
 Michael Gillespie, MalwareHunterTeam, Karsten Hahn
 Andrew Ivanov, Alex Svirid
 CyberSecurity GrujaRS и другие
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton