четверг, 24 декабря 2015 г.

Bitmessage

Bitmessage Ransomware

Ungluk Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2,5 BTC, чтобы вернуть файлы обратно. Зашифрованные файлы получают расширения: .bleep, .1999, .0x0, .H3LL, .fuck, .him0m и другие.

Активность этого крипто-вымогателя пришлась на декабрь 2015 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Содержание записки FILESAREGONE.TXT: 
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get 
your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with 
us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your 
personal address, you need to do this just once). Then click Send tab. 
TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.
Click Send button.
You are done.
To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки FILESAREGONE.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. Если вы хотите вернуть файлы, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем. Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.
Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет генерирован ваш личный адрес, это делается только один раз). Затем клик на Send.
TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.
Нажмите кнопку Send .
Вы это сделали.
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Содержание записки READTHISNOW !!!.TXT:
Hello. 
All your files have been encrypted using our private key. There is no way to recover them without our assistance. 
If you want to get your files back you must be ready to pay for them. If you are ready to pay then follow the instructions: 
1) Create an archive (rar or zip) with 3 files inside: Secret.key + Secret.key2 (should be on your desktop) + Any encrypted file of a small size. It can be a .doc or .pdf or .xls or whatever you have. 5 mb max. Note that this file should have this extention: .0x0; please don’t put more than one file in the archive, one file is enough. If you can’t find Secret.key2, that’s OK. It will take just a little bit more time to restore your files, so you shouldn’t worry. 
2) Upload this archive to any file sharing site. Dropbox, Google Drive, sendspace.com etc. 
3) Go to http://bitmessage.org/ and download Bitmessage. 
4) Run Bitmessage. Select ‘Your Identities’ tab. Then click New. Then click OK. Then select ‘Send’ tab. 
TO: BM-%redacted% (this is our address)
SUBJECT: your PC name (Start -> Control Panel -> System) 
MESSAGE: Link to the archive with three files in it. Then click ‘Send’. 
You are done! 
To get the fastest reply from us with all further instructions, please keep Bitmessage running on your computer all the time, if possible. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки READTHISNOW !!!.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. 
Если хотите вернуть файлы, то должны заплатить за них.  Если вы готовы платить, следуйте инструкциям:
1) Создайте архив (RAR или ZIP) с 3-мя файлами внутри: Secret.key + Secret.key2 (должны быть на вашем рабочем столе) + любой зашифрованный файл небольшого размера. Это может быть .doc, .pdf, .xls или что у вас есть. 5 Мб макс. 
Обратите внимание, что этот файл должен иметь расширение .0x0; пожалуйста, не помещайте более одного файла в архиве... 
Если не можете найти Secret.key2, это ОК. Понадобится больше времени, чтобы восстановить ваши файлы, так что вы не должны беспокоиться.
2) Вы можете отправить этот архив на любой сайт для обмена файлами. Dropbox, Google Drive, sendspace.com и т.д.
3) Перейти к http://bitmessage.org/ и скачать Bitmessage.
4) Установить Bitmessage. Выбрать Your Identities > New  кнопку OK > Send.
TO: BM-адрес
SUBJECT: имя вашего ПК (Пуск > Панель управления > Система)
MESSAGE: Ссылка на архив с тремя файлами в нем. Затем нажмите кнопку "Отправить". 
Вы это сделали! 
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.



Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По завершении шифрования крипто-вымогатель удаляет теневые копии файлов. 

Цели шифрования: базы данных, документы, PDF, музыка, видео, общие сетевые папки и пр. 

Список файловых расширений, подвергающихся шифрованию:
.113, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .73b, .7z, .a3d, .ab4, .abf, .abk, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .aep, .agd1, .ach, .ai, .ait, .al, .apj, .apk, .ark, .arw, .as4, .asf, .asm, .asp, .asset, .asvx, .asx, .ate, .ati, .avi, .awg, .azw, .azw4, .b1, .bac, .back, .backup, .backupdb, .bak, .bakx, .bar, .bay, .bb, .bc6, .bc7, .bck, .bcm, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bpw, .bsa, .c, .cab, .cas, .cb7, .cbr, .cbt, .ccd, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cf, .cfp, .cfr, .cgm, .cib, .cls, .cmt, .con, .cpi, .cpp, .cpt, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .ctb, .d3dbsp, .dac, .das, .dat, .data, .db, .db0, .db3, .dba, .dbf, .dc2, .dc3, .dcr, .dcs, .ddrw, .dds, .der, .des, .desc, .design, .dgb, .dgc, .dicom, .divx, .djvu, .dmg, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dt, .dta, .dtaus, .dtd, .dwfx, .dwg, .dxb, .dxf, .dxg, .edi, .eml, .emlx, .epk, .eps, .epub, .erbsql, .erf, .esm, .exf, .fb2, .fbf, .fbk, .fbw, .fbx, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gbk, .gdb, .gho, .gif, .gpx, .gray, .grey, .gros, .gry, .h, .hbk, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .hxi, .hxq, .hxr, .hxs, .hxw, .chi, .chm, .chq, .chw, .ibank, .ibd, .ibz, .icxs, .idx, .iff, .img, .inc, .incpas, .iso, .itdb, .itl, .itm, .iv2i, .iwd, .iwi, .jar, .java, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .keystore, .keystore, .kf, .kpdx, .layout, .lbf, .ldf, .lic, .lit, .litemod, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2v, .m3d, .m3u, .m4a, .m4v, .map, .max, .mcmeta, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mds, .mef, .menu, .mfw, .mkv, .mlx, .mmw, .mobi, .model, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg-1, .mpeg-2, .mpeg-4, .mpg, .mpg, .mpq, .mpqge, .mrw, .mrwref, .msg, .myd, .nbd, .ncf, .nd, .ndd, .nef, .netcdf, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nwb, .nx1, .nx2, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pub, .pwm, .py, .pz3, .qba, .qbb, .qbm, .qbo, .qbr, .qbw, .qbx, .qby, .qdf, .qfx, .qic, .qif, .qt, .qvw, .s3db, .sav, .sb, .sbs, .sd0, .sd1, .sda, .sdf, .sdxf, .shtm, .shtml, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldm, .sldprt, .sldx, .slm, .sln, .sn1, .sna, .snx, .spf, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sub, .sum, .suo, .svg, .swf, .swm, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .t12, .t13, .tar, .tax, .tbl, .tex, .tga, .tib, .tis, .tlg, .trn, .txt, .upk, .vcf, .vdf, .vfs0, .vob, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wallet, .wav, .wbb, .wbcat, .wdb, .wif, .wim, .win, .wma, .wmo, .wmv, .wpd, .wps, .x3f, .xar, .xf, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsk, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmi, .xml, .ycbcra, .yuv, .z, .zip, .ztmp (501 расширение). 

Файлы, связанные с этим Ransomware:
FILESAREGONE.TXT - записка с требованием выкупа "Файлы исчезли";
READTHISNOW !!!. TXT  - записка с требованием выкупа "Прочти сейчас";
IHAVEYOURSECRET.KEY  - специальный файл с ключом;
Secret.key, Secret.key2 - специальные файлы;
<random>.exe - случайное название

Степень распространенности: средняя.
Подробные сведения собираются. 


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bitmessage (Ungluk) Ransomware - декабрь 2015
WonderCrypter (YouGotHacked) Ransomware - июнь 2016
Moth Ransomware - июнь 2016



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Более ранний образец от 15 декабря 2015 года:
Сообщение >>
Расширение: .him0m или без расширения
Файл: SECRETKEYISHIDINGHERE.KEY
Записка: READTHISSHITNOWORELSE.TXT 
Bitmessage: BM-NByDti9xJ9NcFShLaBfE1fkAW8uk51WQ
 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Ungluk)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

среда, 16 декабря 2015 г.

XRTN

XRTN Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот криптовымогатель шифрует данные с помощью RSA-1024 с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). К зашифрованным файлам добавляется расширение .xrtn

Вымогатель XRTN относится к семейству VaultCrypt. Распространялся с декабря 2015 г. Затем ему на смену пришли Trun и Xort с теми же записками, но с другими ящиками на Яндексе. 

© Генеалогия: VaultCrypt > XRTN 

  После шифрования жертве показывается HTA-документ с названием <random_name>.hta, в котором предписывается связаться по адресу xrtnhelp@yandex.ru с "экспертами". 

Содержание текста о выкупе:
ATTENTION!
All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm
Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
contact an expert on email: xrtnhelp@yandex.ru

Перевод на русский:
ВНИМАНИЕ!
Все важные файлы и информацию на этом comuter (документы, базы данных и т.д.) можно расшифровать используя криптографический алгоритм RSA
Без спец. программы декодирование одного файла с помощью самых мощных компьютеров займет около 20 лет.
контакт с экспертом по email: xrtnhelp@yandex.ru

Ошибки в тексте:
comuter - правильно: computer (компьютер)

Email-адрес вымогателей: xrtnhelp@yandex.ru

После шифрования удаляются теневые копии файлов, если UAC отключена, или выводится при активной UAC запрос на внесение изменений. Разумеется, нужно отказаться, чтобы копии файлов сохранились и можно было восстановить хотя бы часть утраченной информации после удаления вредоносных файлов. 

  Распространяется с помощью email-спама с вредоносным вложением в виде некоего Word-файла. Состоит из множества инструментов и пакетных файлов, которые выполняют шифрование файлов. Устанавливается с помощью файла JavaScript, который загружает на компьютер жертвы файлы из gusang.vpscoke.com. Эти загруженные файлы файлы включают GnuPG.exe, документ Word, и пакетный файл, который выполняет процедуру шифрования. После запуска установщик JavaScript сначала загрузит файлы, запустит документ Word, а затем командный файл. Когда пакетный файл выполняется, он генерирует ключ RSA-1024 и сканирует по-буквенно все диски для поиска файлов которые нужно зашифровать согласно заложенной в него конфигурации, и добавлять к ним расширение .XRTN. Затем удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpg, .mdb, .pdf, .psd, .rtf, .sqlite, .xls, .xlsx, .zip и многие другие. 

См. более полный список в описании вымогателей Xort и Trun

  В процессе шифрования пакетный файл экспортирует закрытый ключ, который был использован для шифрования данных, в файл с именем XRTN.key. В нем также содержатся: имя пользователя, имя компьютера, дата, количество зашифрованных файлов, подсчет всех типов зашифрованных расширений и другие параметры. XRTN.key файл необходим для дешифровки файлов жертвы.

Файлы, связанные с XRTN Ransomware:
%Temp%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
%AppData%\3cnq8256w5rxxavz.hta, шаблон <random_name>.hta
C:\Users\User_name\AppData\Roaming\<random_name>.hta - полный путь
%Temp%\4077430c_xrtn.KEY
%Temp%\CONFIRMATION.KEY
%Temp%\Do_88u.docx
%Temp%\gPG.EXE
%Temp%\<random>.js
%Temp%\dsfsdghd.bat, шаблон <random>.bat
%Temp%\ez3x7je8.cmd, шаблон <random>.cmd
%Temp%\xrtn.KEY
%Temp%\xrtn.txt
%AppData%\xrtn.KEY

Записи реестра, связанные с XRTN Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\onuntsss
mshta %AppData%\3cnq8256w5rxxavz.hta

Степень распространенности: средняя.
Подробные сведения собираются. 



Read to links: 
Write-up on BC + other
ID Ransomware

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 al1963

 

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton