суббота, 30 января 2016 г.

Hi Buddy!

Hi Buddy! Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 0.77756467 биткоинов за расшифровку. Зашифрованные файлы получают расширение .cry

 © Генеалогия: Hidden Tear >> Hi Buddy!

  После запуска в системе вымогатель сканирует все пользовательские директории (MyMusic, Desktop, MyPictures и Personal) в поисках целевых расширений файлов. Записка с требованием выкупа READ_ME.txt создается во всех папках. Другая имеет расширение HTML.



Содержание записки о выкупе:
Hi Buddy!
Hello Buddy! if you see this message all your important files are been crypted :)
What can you do? You can pay with bit coin and wait 10 min for decryption!
It's very easy! Dont you know how to purchase bitcoin"? www.localbitcoins.com it's your place!
If Antivirus block the crypter, youII be unable to decrypt ...
If is this your case, go to : http://www.***.onion.to
1) click on "Download for specific btc adress"
2) Insert the btc addressm, download, pay and wait:)
Thank you
Your btc address is : ***

Перевод на русский язык:
Привет дружище!
Привет дружище! если ты видишь это сообщение все твои файлы зашифрованы :)
Что делать? Ты можешь заплатить биткоин и ждать 10 минут для дешифрования!
Это очень легко! Не знаешь, как купить Bitcoin? www.localbitcoins.com это тут!
Если антивирус заблокирует Crypter, ты не сможет дешифровать ...
Если это твой случай, перейди на: http://www.***.onion.to
1) нажми кнопку "Download for specific btc adress"
2) Вставь BTC-адрес, скачай, оплати и жди :)
спасибо
Твой BTC-адрес: ***

Список расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .js, .mdb,.mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (23 расширения). 

Файлы, связанные с этим Ransomware:
READ_ME.txt 
ransom.exe
t11.exe
sec_check.scr.exe

Hi Buddy! атакует следующие разделы реестра, чтобы закрепиться в системе:
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion
» SOFTWARE\Microsoft\Cryptography\\MachineGuid
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProductName
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CSDVersion

Hi Buddy! создает следующие ключи реестра, чтобы запускаться при каждом старте системы:
» SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Microsoft 

Сетевые соединения и связи:
24fkxhnr3cdtvwmy.onion.to/help.php

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Hi Buddi!)
 Write-up, Topic
 Threat Landscape Dashboard
 Thanks: 
 Mosh
 Michael Gillespie
 McAfee
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 28 января 2016 г.

NanoLocker

NanoLocker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA), а затем требует выкуп в 0,1 Bitcoin (~$43), чтобы вернуть файлы обратно. Активность вымогателя пришлась на конец января - начало февраля 2016 г. 

  Информация о выкупе содержится в файле ATTENTION.RTF и в экране блокировке, который работает как центр управления платежами и дешифровкой. 
Экран блокировки и управления

  Способ распространения: email-спам и фишинговые письма с вредоносным вложением, маскирующимся под PDF-документ. При его открытии выходит сообщение об ошибке, но на самом деле в фоновом режиме начинается процесс сканирования и шифрования файлов. После шифрования никакого специального расширения к файлам не добавляется. Имена зашифрованных файлом и их местонахождение записываются в специальном файле %LocalAppData%\lansrv.ini

  По окончании шифрования и после перезагрузки ПК NanoLocker продолжает работать и демонстрирует экран блокировки, в котором сообщается, что случилось с файлами, какова сумма выкупа, как получить биткоины, как и их вывести и оплатить выкуп, и как использовать экран блокировки для ввода ключа и расшифровки файлов.

Список файловых расширений, подвергающихся шифрованию:
.aaf, .accdb, .aep, .aepx, .aet, .aif, .arw, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .crt, .crw, .csv, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .game, .grle, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg,.jpg, .kdc, .max, .mdb, .mdf, .mef, .mid, .mlx, .mov, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .psd, .pst, .ptx, .raf, .rar, .raw, .rtf, .rwl, .sav, .sdf, .sldm, .sldx, .slot, .spv, .sql, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (138 расширений).

  NanoLocker использует уникальный способ оплаты и передачи ключей извлеченных при оплате выкупа. Для этого в экране блокировке пострадавший должен вставить строку в кодировке Base64 в поле Public Note, когда посылает оплату. Код Public Note привязывается к сделке в Bitcoin и может быть прочитан с помощью программа разработчика-вымогателя. Когда оплата будет получена, он отправит через микро-транзакцию другой код с ключом дешифрования.  

  Жертва должна вставить полученный ключ в самое нижнее поле в программе, чтобы расшифровать свои файлы, нажав кнопку "Decrypt files". 

 Из-за особенностей процесса шифрования, имеется возможность дешифровки файлов без уплаты выкупа. Здесь мы опускаем эти подробности, а желающие могут ознакомиться с ними самостоятельно. 

Файлы, связанные с NanoLocker:
C:\Users\User\AppData\Local\lansrv.exe
C:\Users\User\AppData\Local\lansrv.ini
C:\Users\User\Desktop\ATTENTION.RTF

Записи реестра, связанные с NanoLocker:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LanmanServer    C:\Users\User\AppData\Local\lansrv.exe

Степень распространённости: очень низкая. 
Подробные сведения собираются.

вторник, 26 января 2016 г.

7ev3n

7ev3n Ransomware 

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 13 биткоинов, чтобы вернуть файлы обратно. Название происходит от видоизмененного английского слова "seven" (семь). 

© Генеалогия: 7ev3n > 7ev3n-HONE$T

К зашифрованным файлам добавляется расширение .R5A или, в единичных случаях, .R4A. Активность этого крипто-вымогателя пришлась на январь 2016 г. 

 Записка с требованием выкупа называется: FILES_BACK.txt

К ней добавляется экран блокировки. 

 Содержание записки о выкупе: 
YOUR PERSONAL INFORMATION ARE ENCRYPTED by 7ev3n
All your documents, photos, databases, office projects and other important files have been encrypted with strongest encryption algorithm and unique key, original files have been overwritten, recovery tools and software will not help. Private key is stored on a server and nobody can decrypt your files until you pay and obtain the private key.
You have only 96 hours to make a payment. If you do not send money within provided time, private key will be destroyed, and all your files will be lost. Follow the instructions:
1. Pay amount of 13 bitcoin (approximately 4980 USD) to address: bitcoin address, this unique address generated only for you.
2. Transaction will take about 50 minutes to accept and confirm the payment, decryption and uninstalling of this software will start automatically. For correct key and decryption, DO NOT: power off computer, disable Internet connection, run antivirus program. Usually decryption will take about 1-3 hours, average decrypt speed 21gb per hour.
Bitcoin is a digital currently that you can buy on ‘eBay.com’, ‘localbitcoins.com’, ‘anxpro.com’, ‘cued.com’ and many other online and physical exchangers through credit card, bank account, using PayPal and many other payment methods.
Warning, do not try to get rid of this program, any action taken will result in decryption key being destroyed, you will lose your files forever, one way to get you files os to follow that instructions. In case of non-payment reserve the right to publicly publish all encrypted files.

 Перевод записки на русский язык: 
Ваша личная информация зашифрована 7ev3n
Все ваши документы, фото, базы данных, офисные проекты и другие важные файлы были зашифрованы с сильным алгоритмом шифрования и уникальным ключом, оригинальные файлы перезаписаны, инструменты восстановления и программы не помогут. Секретный ключ хранится на сервере, и никто не расшифрует файлы, пока не платите и получите секретный ключ.
У вас есть только 96 часов для оплаты. Если не отправите деньги за это время, закрытый ключ будет уничтожен, и все ваши файлы будут потеряны. Следуй инструкциям:
1. Выплати сумму 13 Bitcoin (около $4980 США) по адресу: Bitcoin-адрес, уникальный адрес генерируется только для вас.
2. Сделка займет около 50 минут, чтобы принять и подтвердить платеж, дешифровка и удаление этой программы начнется автоматически. Для правильного ключа и дешифрования, НЕ отключайте питание компьютера, не отключайте подключение к Интернету, не запускайте антивирусную программу. Обычно дешифровка идет 1-3 часа, средняя скорость декрипта 21 Гб в час.
Bitcoin представляет собой современную цифровую валюту, вы можете купить на eBay.com, localbitcoins.com, anxpro.com, cued.com и на мн. др. онлайн и физических обменниках через кредитную карту, банковский счет, используя PayPal и мн. др. способов оплаты.
Внимание, не пытайтесь избавиться от этой программы, любые действия приведут к уничтожению ключа дешифрования, а вы потеряете ваши файлы навсегда, один из способов, чтобы заставить вас вернуть файлы системы, это следовать этой инструкции. В случае неуплаты оставляем за собой право публично выложить все зашифрованные файлы.

 Распространяется с помощью email-спама и вредоносных вложений. 

Запустившись в первый раз в системе шифровальщик сканирует побуквенно все диски в поисках определенных файловых расширений и, зашифровав файлы, переименовывает их согласно цифровому порядку, добавляя расширение .R5A. Например, если папка содержит 10 разных файлов, то они будут переименованы в 1.R5A, 2.R5A, 3.R5A ... 10.R5A.

Закончив шифрование, 7ev3n отображает окно с требованием выкупа и указанием Bitcoin-адреса, на который нужно его отправить. После того, как 7ev3n эффективно заблокирует все возможные варианты восстановления, обойдя экран UAC, он вносит изменения в реестр, отключающие комбинации клавиш, которые обычно используются для устранения проблем Windows, например, такие как Alt + Tab, переключающие между активными процессами. А также меняет специальное значение в реестре, отключающее клавиши: F1, F10, F3, F4, Enter, Escape, левый Alt, Ctrl, Левый Windows, Num Lock, правый Alt, правый Ctrl, правый Shift, правый Windows и Tab. 

Это значение реестра показано ниже.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"

Кроме того, вредонос создает задачу Windows, которая выполняет эти команды каждый раз, когда пользователь входит в систему.

Список файловых расширений, подвергающихся шифрованию: 
 .accdb, .arw, .dbf, .doc, .docm, .docx, .jpe, .jpeg, .jpg, .mdb, .mdf, .odb, .odm, .odp, .ods, .pdf, .rar, .sql, .txt, .xlsb, .xlsm, .xlsx, .zip (23 расширения). 

Файлы, связанные с 7ev3n Ransomware: 
%LocalAppData%\bcd.bat - пакетный файл с разными BCDedit-командами, отключающих варианты восстановления загрузки системы.
%LocalAppData%\del.bat - пакетный файл-чистильщик, зачищающий файлы вымогателя;
%LocalAppData%\system.exe - основной исполняемый файл вымогателя, шифрующий данные и отображающий требование выкупа;
%LocalAppData%\time.e - файл, содержащий временную отметку с началом инфекции;
%LocalAppData%\uac.exe - исполняемый файл, позволяющий компонентам вымогателя работать с повышенными правами без отображения контроля учетных записей;
C:\Windows\System32\Tasks\uac
C:\Windows\System32\elsext.dll

Записи реестра, связанные с 7ev3n Ransomware: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62EC9C46-634C-4957-8A5C-4566462D0CE6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "C:\Users\[login_name]\AppData\Local\system.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" /v "crypted"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 
00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"
HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys "Flags"  = 506
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "System"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" "rgd_bcd_condition"  = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" "EnableLUA"  = 0

Степень распространённости: низкая. 
Подробные сведения собираются.

суббота, 23 января 2016 г.

Magic

Magic Ransomware

Memekap Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Обладателям серверов нужно заплатить 2 биткоина. 

Название получил от добавляемого расширения или исполняемого файла вымогателя. Magic представляет собой копию крипто-вымогателя EDA2 с открытым исходным кодом. В Microsoft (19 декабря 2015 г.) и TrendMicro (26 января 2016) используется название Memekap. 

© Генеалогия: EDA2 >> Memekap ⟺ Magic  > HugeMe

Внимание!!! Microsoft не опубликовали технических деталей. Они есть только у TrendMicro. TM упоминают в своей статье про Memekap о Magic как о другом (обновлённом) образце вымогателя на основе EDA2. 
Таким образом, собрав воедино все сведения, я внёс корректировки в эту статью. 
1) Есть ряд различий в версиях Memekap и Magic: расширение, добавляемое к зашифрованным файлам, другой exe-файл, разное количество типов файлов, подвергающихся шифрованию (у Memekap - 416, у Magic - 473). 
2) Но совпадает текст записок о выкупе, их имена, а самое главное — те же email-адреса и тот же Bitcoin-адрес. Значит за ними стоит одна и та же группа вымогателей. 

К зашифрованным файлам добавляется расширение .magic.

Активность этого криптовымогателя пришлась на декабрь 2015 - январь 2016 (Memekap) и январь-февраль 2016 (Magic). 
На протяжении 2016 года образцы ещё попадаются и, судя по образцам новой версии, найденным в октябре 2016, эта вредоносная разработка продолжается. Ориентирован на англоязычных пользователей.
В феврале 2017 г. появилось ещё одно "продолжение" под названием HugeMe Ransomware. 

Записки с требованием выкупа называются:
DECRYPT.TXT
DECRYPT_ReadMe.TXT.ReadMe
DECRYPT_ReadMe1.TXT.ReadMe

Содержание записки о выкупе:
All your files encrypted with strong encryption.
To unlock your files you must pay 1 bitcoin to address :
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
You can search google for how to buy and send bitcoin in your country.
After you send the bitcoin email to : 
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
use all email to communicate with the information of username and pcname and the time you send bitcoins.
When we will confirme the transaction you will receive decryption key and decryption program.
Price depend on the system. If you have a sql server or server based system send 2 bitcoin.
If your network share or system encrypted with axx extensions email to discuss price to decrypt your system.

Перевод записки на русский язык:
Все твои файлы зашифрованы с сильным шифрованием.
Для разблока файлов ты должен заплатить 1 Bitcoin на адрес:
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
Ты можешь поискать в Google как купить и отправить Bitcoin в твоей стране.
После отправки Bitcoin напиши на email:
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
используй все email для контакта c информацией о пользователе и ПК-имя и времени отправки биткоинов.
Когда мы подтвердим транзакцию ты получишь ключ дешифрования и дешифратор.
Цена зависит от системы. Если у тебя есть SQL сервер или система на базе сервера, отправь 2 биткоина.
Если твои сетевые ресурсы или система зашифрованы с axx-расширениями, то пиши на email, чтобы обсудить цену для расшифровки твоей системы.

Примечательно, что расширения .axx использует AxCrypt Ransomware, значит эти крипто-вымогатели взаимосвязаны. 

Устанавливается через взлом терминальных служб или с использование протокола удаленного рабочего стола. Но вполне может начать распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, если уже не начал. 

После шифрования, чтобы лишить жертву возможности восстановления данных, удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию (в версии Memekap):

.aac, .abk, .abw, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .ccd, .cch, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cpp, .crd, .crt, .crw, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .exif, .faq, .fcd, .fdr, .fds, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gzig, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .plc, .pli, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .shar, .shr, .shw, .slt, .snp, .spr, .sql, .sqx, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .zap, .zip, .zipx, .zoo (416 расширений). 

Список файловых расширений, подвергающихся шифрованию (в версии Magic):
 .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (473 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Во время шифрования пропускаются директории:
C:\Windows
C:\Program

По окончании шифрования дисков выполняется bat-файл, проводящий зачистку исполняемых файлов крипто-вымогателя. 

После чего жертве показываются уведомления — это текстовые файлы DECRYPT.TXT и DECRYPT_ReadMe.TXT.ReadMe, записки с требованием выкупа, которые сохраняются на рабочем столе.

Файлы, связанные с Magic Ransomware:

magic.exe -  исполняемый файл вымогателя;
ransomware.exe - исполняемый файл вымогателя (вариант);
<random_name>.exe - исполняемый файл вымогателя (вариант);
DECRYPT.TXT - записка с требованием выкупа
DECRYPT_ReadMe.TXT.ReadMe - записка с требованием выкупа
DECRYPT_ReadMe1.TXT.ReadMe - добавляется лог
deleteMyProgram.bat - bat-файл, используется для удаления теневых копий и зачистки файлов вымогателя

Расположение: 
%Desktop%\DECRYPT.TXT
%Desktop%\DECRYPT_ReadMe.TXT.ReadMe
%Desktop%\DECRYPT_ReadMe1.TXT.ReadMe
%Desktop%\\deleteMyProgram.bat

Записи реестра, связанные с Magic Ransomware:
***не указаны***

Сетевые подключения:
xxxx://reloaded.orgfree.com/new/my.php
xxxx://reloaded.orgfree.com/new/your.php
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Malwr анализ >>

Обновление: 5 октября:
Использование продолжается.
Версия: 5.4.3.2

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC + Write-up on TM
 Topic on BC
 Моя статья на SZ
 Thanks: 
 TrendMicro
 Lawrence Abrams, Michael Gillespie, 
 Мне самому как SNS-amigo
 *
 

среда, 20 января 2016 г.

KEYHolder

KEYHolder Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью алгоритма XOR (режим CFB, Cipher Feedback), хотя жертву нарочно пугают алгоритмом RSA-2048, затем требует выкуп в 1,5 биткоина или ~$500 (позже цена была снижена), чтобы вернуть файлы обратно. Новое творение создателей CryptorBit. Время распространения, судя по форумам оказания помощи, довольно продолжительно — с конца 2014 до начала 2016 гг. Вполне ещё может вернуться в новом обличье.

  Отдельный метод распространения неизвестен. Видимо устанавливается путём заражения вручную, методом взлома удаленного рабочего стола или служб терминалов. Название KEYHolder переводится как "брелок с ключами", который и изображен на картинке ниже. 

  После запуска KEYHolder будет сканировать все буквы дисков и шифровать любые файлы данных, которые на нем находятся. По окончании шифрования удаляются все теневые копий файлов, чтобы из нельзя было восстановить файлы с помощью функции восстановления системы или с помощью специальных программ типа Shadow Explorer. 

  В каждой папке с зашифрованными файлами сохраняются файлы HOW_DECRYPT.gif и HOW_DECRYPT.html, которые содержат информацию о том, как получить доступ к сайту для уплаты выкупа.
Текст с картинки с ключами:
KEYHolder
YOUR PERSONAL FILES ARE ENCRYPTED
All files including videos, photos and documents on your computer are encrypted.
File Decryption costs ~$500
In order to decrypt the files, you need to perform the following steps:
1. Your should download and install this browser http://www.torproject.org/torbrowser.html.en
2. After installation, run the browser and enter the address: mwyigd4n52mkbyhe.onion
3. Follow the instructions on the web-site.
We remind that you that the sooner you do, the more chances are left to recover the files.
Guaranteed recovery is provided within 10 days.

Перевод на русский язык:
KEYHolder
Ваши личные файлы зашифрованы
Все файлы, включая видео, фото и документы на вашем ПК зашифрованы.
Файл дешифровки стоит ~$500
Для дешифровки файлов, вам надо сделать следующие шаги:
1. Загрузите и установите этот браузер http://www.torproject.org/torbrowser.html.en 
2. После установки запустите браузер и введите адрес: mwyigd4n52mkbyhe.onion
3. Следуйте инструкциям на веб-сайте.
Напоминаем, что чем раньше вы это сделаете, тем больше шансов вернуть файлы.
Гарантирован возврат файлов в течение 10 дней.

Степень распространённости: высокая
Подробные сведения собираются.

понедельник, 18 января 2016 г.

RackCrypt, MVP Locker

RackCrypt Ransomware

MVP Locker Ransomware 

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.3 BTC, чтобы вернуть файлы. Оригинальное название: MVP Locker. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .rack

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: rackinfo.txt


Содержание записки rackinfo.txt:
Your PC was infected with MVP Locker which encrypts all your personal files: music, video, images and so on. Now to get everything back you have to pay. You can clean your PC from this program, however in case you want to get all your data back we do not recommend do that since we will verify the existence of files, and if you tried to eliminate this program you have no chances to get encrypted data back even in case you did a payment.
The payment proceed in bitcoin currency, We won't provide you with the informatation how you can create your own wallet and put money on it, everything you can find using internet. There is enough info about it.
// ==========================
There is information that you might need:
bitcoin wallet number (you should make your paymenton on this address): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
e-mail support address (use this in case you have problems you can't solve): mvplocksvc@yahoo.com

Перевод записки на русский язык:
Ваш ПК был заражен MVP Locker, который шифрует все ваши личные файлы: музыку, видео, изображения и т.д. Теперь, чтобы получить все обратно, вы должны заплатить. Вы можете очистить свой компьютер от этой программы, однако, если вы хотите вернуть все свои данные, мы не рекомендуем это делать, так как мы проверим наличие файлов, и если вы попытаетесь устранить эту программу, у вас не будет шансов вернуть зашифрованные данные даже в случае, если вы заплатили.
Оплата производится в биткоин-валюте. Мы не предоставим вам информацию о том, как вы можете создать свой собственный кошелек и положить на него деньги, все, что вы можете найти с помощью Интернета. Об этом достаточно информации.
// ==============================
Есть информация, которая вам понадобится:
биткойн-кошелек (вы должны заплатить на этот адрес): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
email-адрес поддержки (используйте это, если у вас проблемы, которые не можете решить): mvplocksvc@yahoo.com


Запиской с требованием выкупа выступает экран блокировки с кнопками.

При нажатии на кнопку "files" открывается файл rackfiles.txt со списком зашифрованных файлов. 

При нажатии на кнопку "info" открывается записка о выкупе rackinfo.txt.

При нажатии на кнопку "copy" адрес биткоин-кошелька, указанный в сообщении, помещается в буфер обмена.

При нажатии на кнопку "decrypt" открывается следующее сообщение.

По данным Microsoft ещё должно быть изображение rack.jpg, встающее обоями Рабочего стола. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .ank, .apk, .arch00, .arw, .asset, .avi , .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db0, .dba, .dbf , .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .et, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hpp, .hvpl, .ib, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pas, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wall, .wb2  .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (197 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rackinfo.txt - запсик ао выкупе
rackfiles.txt - содержит список зашифрованных файлов
rack.jpg - изображение, заменяющее обои
firefox.exe
loader.exe
smss.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\<exe_ransom>.exe
%TEMP%\rackfiles.txt
%TEMP%\rackinfo.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mvplocksvc@yahoo.com
BTC: 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as RackCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 17 января 2016 г.

Lortok

Lortok Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 5 долларов, чтобы вернуть файлы обратно. Ориентирован на русскоязычных пользователей. Активность этого крипто-вымогателя пришлась на январь-март 2016 г. В 2017 году были обнаружены новые случаи заражения. 

  К зашифрованным файлам добавляются расширения .crime или .<ID жертвы> или .<victim_ID>, в их числе расширения по шаблону с 8-ю случайными буквами и цифрами, т.е. .<random8>, например:
.f84cbfea
.ku2bcg3h
.3betfr5u
Примеры файлов с расширением .<random8>

  Записка с требованием выкупа называется ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt 

  Примечательно, что в 2014-2015 гг. было множество криптовымогателей с тем же названием записки и тем же текстом внутри. Различие было лишь в начале "Для этого откройте ярлык 'Онлайн консультант' (другой вариант 'Ваш консультант'), который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл", да и расширение добавлялось .AES256 или другое. Компании ЛК удалось создать декриптор для вредоносов этого типа.

Оригинальный текст записки о выкупе:
Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
СТОИМОСТЬ РАСШИФРОВКИ ФАЙЛОВ 5$
Для этого выполните следующие действия:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'xxxx://3qo5aqjlesrudfm3.onion/?id=...' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте
--------------------------------------------------------------
Для авторизации на сайте используйте:
ID: ffc75... 
HashID: 4f85fadb2...
--------------------------------------------------------------
1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.
--------------------------------------------------------------
Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.
--------------------------------------------------------------
Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard


Технические детали

  После попадания на ПК жертвы Lortok создаёт свою копию в директориях:
C:\Users\Администратор\AppData\Roaming\installdir\help.exe
C:\Users\Администратор\AppData\Roaming\update_<случайный букво-цифрокод>.exe

Файлы, связанные с этим Ransomware:
ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt
help.exe
update_{Ransom_name}.exe


Расположения:
%USERPROFILE%\AppData\Roaming\installdir\help.exe
%USERPROFILE%\AppData\Roaming\update_<random_name>.exe

Сетевые подключения и связи:
xxxx://3qo5aqjlesrudfm3.onion***
xxxx://2hscl4fwxetqdiml.onion***


Степень распространённости: средняя. 
Подробные сведения собираются регулярно.



Внимание! 
Для зашифрованных файлов есть декриптор
Скачать RakhniDecryptor для Lortok >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Lortok)
 Write-up (n/a), Topic of Support, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 Thyrex
 victim in the topics of support
 

© Amigo-A (Andrew Ivanov): All blog articles.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton