понедельник, 28 марта 2016 г.

0kilobypt

0kilobypt Ransomware

(фейк-шифровальщик, вымогатель-стиратель, деструктор)

Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записках не указано. На файле написано: нет данных.

© Генеалогия: ранние версии вымогателей-стирателей >> 0kilobypt и другие модификации. 

Этимология названия:
0 kilobytes + crypt = 0kilobypt

К незашифрованным файлам никакое расширение не добавляется. Информация в файлах стирается. Размер файлов становится равным: 0 килобайт или 0 байт. Впрочем, с течением времени всё может поменяться. 

Оригинальные файлы могут быть предварительно переправлены злоумышленникам или безвозвратно затёрты нулями. 
Уплата выкупа бесполезна! 

Для данной операции используются легитимные или хакерские утилиты. После проведенной атаки производится зачистка от использованных файлов. 

Внимание! Новые версии, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность была замечена с марта 2016 г. Ориентирован на русскоязычных пользователей (страны Восточной Европы и Россия) или совсем не использует записок о выкупе, что не мешает распространять его по всему миру.

Записка с требованием выкупа может называться по-разному, примеры ниже и в блоке обновлений:

Для получения доступа пишите на 
<email_ransom>

ПРОЧИТАТЬ!!!.txt

ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__
<email_ransom>

ЕСЛИ ЧТО-ТО СЛУЧИЛОСЬ С ВАШИМИ ФАЙЛАМИ ПИШИТЕ СЮДА____
<email_ransom>

ЕСЛИ_ВАМ_НУЖНЫ_ФАЙЛЫ_ПИШИТЕ_НА_(<email_ransom>)


Список известных <email_ransom> см. в конце статьи.

Содержание записки о выкупе обычно на русском языке, при этом дублируется название записки или совсем отсутствует. 


Вот несколько примеров текста с форумов. 

1) ссылка >>
ваши файлы зашифрованы. 
Для получения доступа пишите на 
tikitakbum@rambler.ru

2) ссылка >>
Для получения доступа к файлам пишите нa thorntitini1979@danwin1210.me

3) ссылка >>
ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__
postal.surgut@danwin1210.me

4) ссылка >>
ЕСЛИ ЧТО-ТО СЛУЧИЛОСЬ С ВАШИМИ ФАЙЛАМИ ПИШИТЕ СЮДА____
dizelmon@danwin1210.me

5) ссылка >>
Текст отсутствует

6) ссылка >>
ЕСЛИ_ВАМ_НУЖНЫ_ФАЙЛЫ_ПИШИТЕ_НА_(eed8Aeta@danwin1210.me) 

7) ссылка >>
ЕСЛИ_ВАМ_НУЖНЫ_ФАЙЛЫ_ПИШИТЕ_НА_(chaiRo7u@danwin1210.me)



Технические детали

В большинстве случает распространяется путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Текстовые файлы с разными названиями (см. выше). 
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tikitakbum@rambler.ru
thorntitini1979@danwin1210.me
postal.surgut@danwin1210.me
dizelmon@danwin1210.me
eR8iech5@danwin1210.me
eed8Aeta@danwin1210.me
chaiRo7u@danwin1210.me
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя, но продолжается несколько лет.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Активность замечена с марта 2016 г. Возможно, была и раньше. 
Принцип действия повторяется с годами — оригинальные файлы забиты нулями. 
Модификации могут принадлежать как тем же, так и другим группам вымогателей. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 декабря 2018
Пост в Твиттере >>
Расширение: .CRYPT
Составное расширение: .[Ux3oe7ae@secmail.pro].CRYPT
Записка (оригинал): !!!ТЕХ_ПОДДЕРЖКА_(Ux3oe7ae@secmail.pro).txt
Записка с расширением: !!!ТЕХ_ПОДДЕРЖКА_(Ux3oe7ae@secmail.pro).txt.[Ux3oe7ae@secmail.pro].CRYPT
Email: Ux3oe7ae@secmail.pro
Записка с расширением пустая.
Оригинальные файлы затерты нулями.

Обновление от 11 марта 2019
Тема на форуме >>
Расширение: .cr
Составное расширение: .[Xieth8ie@secmail.pro].cr
Записка (оригинал): !!!ТЕХ_ПОДДЕРЖКА_(Xieth8ie@secmail.pro).txt
Записка с расширением: !!!ТЕХ_ПОДДЕРЖКА_(Xieth8ie@secmail.pro).txt.[Xieth8ie@secmail.pro].cr
Email: Xieth8ie@secmail.pro
Записка с расширением пустая. Что было в оригинальной, пока неизвестно. 
Оригинальные файлы затерты нулями. Скриншоты прилагаются. 
 


Обновление от 12 марта 2019, если его можно так назвать. 
Скорее это некое изменение предыдущего вымогательства. 
Возможно, что это даже не совсем "родня". 
Пост в Твиттере >>
Записка: WHERE ARE YOUR FILES READ ME (ГДЕ ТВОИ ФАЙЛЫ, ПРОЧИТАЙ МЕНЯ).txt
Файлу сопутствует некий бинарный файл ELF с названием _AW7IV~D (VT)
Email: ghjujy@tuta.io
BTC: 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
➤ Содержание записки (английский, немецкий, русский текст):
ID [redacted IP]
Congratulations!
Your files have been successfully transferred to the online store, where they will be stored for 14 days.
After the expiration of 14 days, your files will be deleted from the online store.
To access the files
1) Send your ID to email ghjujy@tuta.io
2) Pay 0,07 bitcoin ==== >> 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
3) After payment, you will receive instructions on how to retrieve your files back
your ID [redacted IP]
---
Herzlichen Gluckwunsch!
Ihre Dateien wurden erfolgreich in den Online-Shop ubertragen, wo sie fur 14 Tage gespeichert werden.
Nach Ablauf von 14 Tagen werden Ihre Dateien aus dem Online-Shop geloscht.
Um auf die Dateien zuzugreifen
1) Senden Sie Ihre ID an ghjujy@tuta.io
2) Bezahle 0,07 Bitcoin ==== >> 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
3) Nach der Bezahlung erhalten Sie Anweisungen, wie Sie Ihre Dateien zuruckholen konnen
deine ID [redacted IP]
---
Поздравляем!
Ваши файлы успешно перенесены в онлайн хранилище, где они будут хранится в течении 14 дней.
После истечении 14 дневного срока ваши файлы будут удалены с онлайн хранилеща.
Для получения доступа к файлам
1) Отправить свой ID на email ghjujy@tuta.io
2) Оплатить 0,07  bitcoin ====>> 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
3) После оплаты вы получите инструкцию как получить свои файлы обратно
ваш ID  [redacted IP]



Обновление от 4 апреля 2019:
Топик на форуме >>
Расширение: .cr
Составное расширение: .[Aeghie6u@secmail.pro].cr
Записка с требованием выкупа не найдена. 
Оригинальные файлы затерты нулями.

Обновление от 7 мая 2019:
Расширение: .[rekoh4th@secmail.pro].CRYPT
Email: rekoh4th@secmail.pro
Записка: !!!ПОМОЖЕМ_С_ФАЙЛАМИ_(rekoh4th@secmail.pro).txt
Текст отсутствует. Видимо, его там и не было. 

Оригинальные файлы затерты нулями.

Обновление от 31 мая 2019:
Топик на форуме>> 
Расширение: .[uroo7ohM@secmail.pro].val
Записка: отсутствует
Email: uroo7ohM@secmail.pro
Оригинальные файлы затерты нулями.

Обновление от 10 августа 2019:
Топик на форуме >> 
Расширение: .[ivanmalahov@protonmail.com].Eivoh1na
Записка: отсутствует
Email: ivanmalahov@protonmail.com
Оригинальные файлы затерты нулями.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as 0kilobypt, added on March 14, 2019)
 Write-up, Topic of Support
 * 
 Thanks: 
 to the victims who sent the samples
 Andrew Ivanov, Alex Svirid
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton