Если вы не видите здесь изображений, то используйте VPN.

понедельник, 30 мая 2016 г.

LeChiffre

LeChiffre Ransomware

Variants: LeChiffre 2016-2020

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные с помощью алгоритма Blowfish, а затем требует выкуп, чтобы вернуть файлы обратно. Название происходит от французского слова "шифр". Известен с июня 2015 года. Главным образом ориентирован на сервера и компании. 

К зашифрованным данным добавляется расширение .lechiffre

  Устанавливается вручную на взломанных с помощью удаленного рабочего стола или служб терминалов серверах. После взлома сервера хакеры вручную запускают исполняемый файл LeChiffre.exe для шифрования данных, а затем, после выхода, удаляют все следы своей программы. 

  Записка с требованием выкупа называется _How to decrypt LeChiffre files.html и размещается в папках с зашифрованными файлами. 

LeChiffre Ransomware шифровальщик, шифратор

  В записке о выкупе указан email-адрес decrypt.my.files@gmail.com, который нужен для связи с вымогателями, чтобы получить инструкции по оплате. Примечательно, что если жертва не нуждается в своих файлах сейчас или нет денег на выкуп, то можно подождать 6 месяцев и получить файлы обратно бесплатно. 

  Инсталлятором является файл LeChiffre.exe с известной для Рунета иконкой программы 1С.

После его запуска открывается следующее окно с русскоязычными надписями. 

LeChiffre Ransomware шифровальщик, шифратор

Работа по шифрованию начинается с нажатия кнопки Пуск — шифровальщик запускается, сканирует все доступные диски и шифрует файлы с заданными расширениями. 

Технические детали

Может распространяться путем взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

✋ LeChiffre Ransomware ориентирован на сервера и компании, поэтому необходимо использовать именно серверную и комплексную защиту. Бесплатный антивирус или средство защиты для домашних компьютеров НЕ ЗАЩИТЯТ ВАШ СЕРВЕР И КОМПАНИЮ. 


Список файловых расширений, подвергающихся шифрованию: 
.001, .900, ... .db, .doc, .docx, ... .jpeg, .jpg, .pdf, .png, ... .rar, ... .xls, .xls, .zip

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, серверные элементы управления HTML и пр.

Файлы, связанные с этим Ransomware: 
_How to decrypt LeChiffre files.html
LeChiffre.exe
LeChiffreDecrypt.exe

Степень распространенности: средняя.
Подробные сведения собираются. 




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 июня 2016: 
Пост в Твиттере >>
Email: lechiffre@india.com и lechiffre@mailchuck.com
Записка: _how to decode[PC-NAME].txt



Обновление от 18 сентября 2016:
Расширение: .LeChiffre

Обновление от 30 октября 2016:
Топик на форуме >>
Расширение: .LeChiffre
Записка: _how to decodeMX.txt
E-mail: lechiffre@india.com, lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

LeChiffre Ransomware шифровальщик, шифратор

➤ Содержание записки:

qxKKjMa5gceDlbtVY3fFsp0q*** [всего 172 знака]
==================
end of secret_key
Hello. 
Your some files were encrypted with the strongest cipher RSA 1024 and AES.
No one will help you to restore files without our decoder. Any programs for
recovering files or disk repair are useless and can destroy your files
irreversibly. Irreversibly. So don't try to decrypt it yourself. We warned you.
There is only one way to restore your files - send e-mail to lechiffre@india.com
with attached file "_how to decode[MX].txt" (you read this file right now).
To test our honesty you can send an one encrypted file less than 4 MB (not zipped)
as *.doc *.xls *.jpg *.pdf, but not database file or backup file 
(*.900 *.001 *.db *.zip *.rar *.bkp etc).
We will decode your sample for free.
You will receive deciphered sample and our conditions how you will get the
decoder. Follow the instructions to send the payment. Be attentive! The decoder
for each server is paid separately.
P.S. Remember, we are not scammers. We don`t need your files. If you want, you
can get the password for free after 6 month wait.
Just send a request immediately after infection and download the decoder.
All data will be restored absolutely. 
Our guarantee of honesty - your deciphered sample. 
E-mail: lechiffre@india.com
E-mail: lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

Обновление от 6 января 2017:
Расширение: .LeChiffre
Записка: _how to decode[VIVASBSSERVER].txt
Email: lechiffre@india.com, lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

LeChiffre Ransomware шифровальщик, шифратор




Обновление от 9 июня 2020: 
Расширение: .QLZWVR_LeChiffre
Записка: QLZWVR_LeChiffre_ReadMe.txt
Telegram: @isres
https://t.me/isres
Email: lechiffre@firemail.cc, lechiffre@mailchuck.com
Bitmessage: BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65

LeChiffre Ransomware шифровальщик, шифратор

➤ Содержание записки:
hello.
to recover your files, send any message to:
telegram  messenger: 
https://t.me/isres
@isres
or
email: 
lechiffre@firemail.cc
reserve method of communication:
email:
lechiffre@mailchuck.com
usually the answer is 1-10min. If there is no answer,
check the spam folder or write from another email where there is no spam filtering.
super reserve method of communication:
bitmessage messenger: 
BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65
download the messenger: https://bitmessage.org/wiki/Main_Page
in the response, you will receive instructions.
Have a nice day!




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as LeChiffre)
 Write-up, Topic of Support
 ***
Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать Emsisoft Decryptor for LeChiffre можно по этой ссылке >>
Он работает только с файлами, зашифрованными до его выпуска. 
По новым случаям шифрования, пишите на форум Emsisoft >>

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 29 мая 2016 г.

Gomasom

Gomasom Ransonware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы обратно. 

© Генеалогия: Gomasom > RotorCrypt

Этимология названия: 
Название "Gomasom" получено путем сложения начальных букв словосочетания GOogle MAil ranSOM, потому что для выкупа использовались email-адреса почтовой службы Gmail. 

Зашифрованные файлы в добавление к оригинальному имени получают расширение, созданное по схеме "original_filename.extension" + !___*email*@gmail.com__.crypt, где под *email* скрывается логин вымогателя в почте Gmail. Например, crydhellsek, т.е. в результате к файлам прибавится расширение !___crydhellsek@gmail.com__.crypt 

Email-адреса из такого расширения служат для связи между жертвой и злоумышленниками.
Пример зашифрованного файла: Tulips.jpg!___prosschiff@gmail.com_.crypt

Адреса email вымогателей:
crydhellsek@gmail.com
cryphelp963@gmail.com
helpsend369@gmail.com
panerai794@gmail.com
prosschiff@gmail.com

 Записки о выкупе (текстовые и изображения) называются: 
de_crypt_readme.txt 
de_crypt_readme.html
de_crypt_readme .bmp
de_crypt_readme.png

  После установки Gomasom создаёт вредоносный исполняемый файла со случайным именем в C:\Users\User\AppData\Local\Microsoft Help\ и прописывается в Автозагрузку Windows. Далее он шифрует не только пользовательские, но и исполняемые файлы, из-за чего многие приложения становятся недоступными. 

Файлы, созданные Gomasom:
%LocalAppData%\Microsoft Help\<random>.exe

Записи реестра, созданные Gomasom:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "C:\Users\User\AppData\Local\Microsoft Help\<random>.exe"
HKCU\Software\<random>

  Одним из признаков того, что есть заражение ПК этим видом вымогателя, может являться неожиданное уведомление Windows о том, что имеются файлы для записи на диск. 

Это произойдет из-за того, что Windows обнаружит, что содержимое папки, используемой для записи файлов изменилось. Даже если там нет ничего, кроме скрытого системного файла desktop.ini, который был зашифрован, то появится уведомление о том, что файлы должны быть записаны, как на картинке ниже. 

Такое поведение замечено исследователем безопасности Лоуренсом Адамсом при проведении тестов с Gomasom, TeslaCrypt, Chimera и Fulba Ransomware. 

Степень распространенности: средняя.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

четверг, 26 мая 2016 г.

DMA Locker 4.0

DMA Locker 4.0 Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (режим ECB, RSA-2048 ключ; ключ генерируется случайным образом для каждого файла, шифруется RSA и сохраняется в файле), а затем требует выкуп в 1-2 (~$ 440 за 1 BTC на 24 мая 2016 г.), чтобы вернуть файлы обратно. C 25 мая уже 3 BTC, с 26 мая - 4 BTC. Аппетиты вымогателей ужасающе растут. 

© Генеалогия: DMALocker 1.0, 2.0, 3.0DMALocker 4.0 > DMALocker NextGen (XTP Locker 5.0)

  К зашифрованным файлам никакое специальное расширение не добавляется, но вместо этого добавляется префикс !DMALOCK4.0 в заголовок зашифрованного файла. В остальном имя файла остается прежним. Можно проверить файл в шестнадцатеричном редакторе и первые 9 байт будут содержать строку !DMALOCK4. По этому признаку можно опознать "работу" криптовымогателя. Шифруются почти все системные и пользовательские файлы на всех локальных, внешних и сетевых дисках. 

  Текстовый вариант записки о выкупе называется cryptinfo.txt, он сохраняется в папке Program Data и отображается при загрузке Windows. Экран блокировки (файл cryptinfo.png) см. ниже. Он ставится в качестве обоев Рабочего стола. 
 

  Email вымогателя, указанный на экране блокировки и в записках, dma4004@zerobit.en 


Технические детали

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player. А также при помощи набора эксплойтов Neutrino, который эксплуатирует уязвимости в компонентах Java Runtime Environment Oracle. 

  При целевых атаках на организации сумма выкупа может быть гораздо выше и уже в долларах. Такое многообразное распространение и поддержка уже 4-й версии может говорить только о развертывании широкомасштабных и целенаправленных атак. Потому степень распространенности с учетом этих показателей — высокая.  

  Запустившись в первый раз на ПК, DMA Locker 4.0 проверяет какие процессы и приложения используются для резервного копирования данных и восстановление системы, и завершает их работу. Теневые копии файлов удаляются. 

  DMA Locker 4.0 получил веб-сайт, где объясняется, как заплатить выкуп. Примечательно, что сумма выкупа на этом сайте может отличаться от затребованной.  

 В программном плане исследователями замечены некоторые недостатки в работе этого вымогательского ПО и его декриптера, что может говорить о том, что создатели вредоноса работают на скорую руку. В связи с этим, в скором времени следует ожидать появления 5-й версии вымогателя, где недостатки 4-й версии будут, наверняка, исправлены. Мы намеренно их не озвучиваем, чтобы не помогать вымогателям делать своё черное дело. 

Степень распространенности: перспективно высокая.
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 25 мая 2016 г.

ECLR

ECLR Ransomware

(шифровальщик-вымогатель)


 Этот криптовымогатель шифрует данные пользователей, а затем требует выкуп в 100 биткоинов. Это может быть показателем ориентированности криптовымогателя на организации и коммерческий сектор. Зашифрованные файлы получают расширение .eclr.

После того, как файлы будут зашифрованы, ECLR Ransomware удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, и требует перевести деньги в Bitcoin. На уплату выкупа даётся всего 48 часов. Торг неуместен. В каждой папке с зашифрованными файлами размещается записка о выкупе README_IMPORTANT.txt и специальный файл secret.key

Содержание записки о выкупе:
YOUR FILES ARE FULLY ENCRYPTED
MAKE THE PAYMENT OF 100 BITCOINS TO THE BTC ADDRESS BELOW
3KHkWFDX9PDsaFRtrDKBGYd41HZWTu2L21
AFTER WE RECEIVE THE PAYMENT THE DECRYPTION PROGRAM AND KEY WILL BE SENT TO YOUR EMAIL
THE DECRYPTION PROGRAM WILL RESTORE YOUR FILES BACK TO NORMAL.
7399@sigaint.org
TO ASSURE YOU WE CAN RESTORE YOUR FILES, WE WILL DECRYPT A SINGLE FILE YOU SEND US.
## YOU HAVE 48 HOURS TO SAVE YOUR FILES ##
CONTACT US ONLY AFTER MAKING THE PAYMENT,
ALL PRICE NEGOTIATIONS WILL BE IGNORED
THE ABOVE EMAIL ADDRESS WILL EXPIRE AFTERWARDS AND NO COMMUNICATIONS WILL BE AVAILABLE

Перевод на русский язык:
Ваши файлы зашифрованы
Сделайте оплату 100 Bitcoins на Bitcoin-адрес
3khkwfdx9pdsafrtrdkbgyd41hzwtu2l21
По получения компенсации дешифровщик и ключ придут на ваш email
Дешифровщик восстановит ваши файлы обратно в норму.
7399@sigaint.org
Для гарантии, что файлы можно вернуть, мы дешифруем 1 ваш файл.
## У вас 48 часов для возврата файлов ##
Контакт с нами только после оплаты,
Все попытки торга проигнорируются
Вышеуказанный email-адрес после этого будет недоступен

Этот вымогатель шифрует множество типов файлов, среди них, разумеется, изображения, фотографии, аудио, видео и документы. 

Степень распространенности: неизвестна.
Подробные сведения собираются. 

вторник, 24 мая 2016 г.

RemindMe

RemindMe Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина. Файлы могут быть расшифрованы только при помощи секретного ключа, который хранится на C&C-серверах RemindMe. На оплату выкупа даётся 5 дней, а если он не уплачен в срок, секретный ключ будет удален. Название придумано его создателями: "RemindMe" переводится с английского как "Напомни мне". 

Зашифрованные файлы получают расширение .remind или .xcrypt

Записки с требованием выкупа и инструкциями называются: 
DECRYPT_YOUR_FILES.HTML
decypt_your_files.html
decypt_your_files.txt 

Содержание записки о выкупе:
All your files have been encrypted with the RemindMe Ransomware
Your unique GUID for decrypt: -
Send me some 2 bitcoin on address: -
After confirming the payment, all your files can be decrypted. If you do not make payment within 5 days, you will lose the ability to decrypt them AND ALL YOUR FILES HAVE BEEN DELETED. 
Make your Bitcoin Wallet in hxxps://www.coinbase.com/ or hxxp://blockchain.info
How to buy/sell and send Bitcoin:
1) xxxps://support.coinbase.com/customer/en/portal/topics/796521-payment-method-vertification/articles
2) xxxps://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) xxxps://support.coinbase.com/customer/en/portal/topics/60112-sending-receiving-bitcoin/articles
After the payment, snd the wallet from which paid and you uniq ID to mail: [email protected]
After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

Перевод на русский язык:
Все ваши файлы были зашифрованы RemindMe Ransomware
Ваш уникальный GUID для дешифровки: ----- 
Отправьте мне 2 биткоина по адресу: ----- 
После подтверждения оплаты, все файлы могут быть расшифрованы. Если вы не платите 5 дней, то лишаетесь возможности расшифровывать их И ВСЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ. 
Сделайте Bitcoin-кошелек в hxxps: //www.coinbase.com/ или hxxp: //blockchain.info
Как купить/продать и отправить Bitcoin:
1) xxxps://support.coinbase.com...
2) xxxps://support.coinbase.com...
3) xxxps://support.coinbase.com...
После оплаты, пришлите номер кошелька, из которого вы платили и ID на почту: -----
Получив оплату, мы свяжемся с вами, дадим декриптер и FAQ, как дешифровать файлы.


Технические детали

Распространяется RemindMe с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах. 


➤ После того, как файлы будут зашифрованы, RemindMe удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как перевести деньги в Bitcoin, как потом произвести оплату на Bitcoin-кошелёк вымогателей и получить декриптер для дешифровки файлов.   

 Удаляет теневые копии файлов с помощью команды:
vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .csv, .doc, .docx, .dwf, .jpg, .html, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbb, .rpt, .sldprt, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_YOUR_FILES.HTML
decypt_your_files.html
decypt_your_files.txt 
RemindMe.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов: 
Hybrid анализ >>
VirusTotal анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Mosh
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ZCrypt

ZCrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные с помощью алгоритма RSA-2048, а затем требует выкуп в 1.2 биткоина. Если выкуп не уплачивается в течение 4-х дней, то сумма возрастает до 5 биткоинов. 

© Генеалогия: ZCrypt. Начало.

Зашифрованные файлы получают расширение .zcrypt 

Записка с требованием выкупа называется How to decrypt files.html (Как расшифровать файлы). 

Содержание записки: 
ALL YOUR PERSONAL FILES ARE ENCRYPTED
All your data (photos, documents, database, ...) have been encrypted with a private and unique key generated for this computer. It means that you will not be able to access your files anymore until they're decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments. If you don't know how to get Bitcoins, you can google "How to Buy Bitcoins" and follow the instructions.
YOU ONLY HAVE 4 DAYS TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to 5 Bitcoins. Also, if you don't pay in 7 days, your unique key will be destroyed and you won't be able to recover your files anymore.
To recover your files and unlock your computer, you must send 1.2 Bitcoin (500$), to the next Bitcoin address:
Click Here to Show Bitcoin Address
WARNING!
DO NOT TRY TO GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS.
If above bitcoin address didn't work use default address to decrypt data(***)


Перевод записки на русский язык:
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши данные (фотографии, документы, базы данных...) были зашифрованы с уникальным ключом, сгенерированным для этого ПК. Это означает, что вы не сможете получить доступ к файлам, пока они зашифрованы. Секретный ключ хранится на наших серверах, и единственный способ получить ключ дешифрования, это сделать оплату.
Платеж должен быть сделан в Bitcoin на уникальный адрес, который мы сгенерировали для вас, Bitcoin является виртуальной валютой для онлайн-платежей. Если вы не знаете, как получить биткоины, ищите в Google "Как купить Bitcoins" и следуйте инструкциям.
У ВАС ЕСТЬ ТОЛЬКО 4 ДНЯ, ЧТО ЗАПЛАТИТЬ! Когда это время закончится, сумма выкупа увеличится до 5 Bitcoin. Если вы не платите 7 дней, ваш уникальный ключ будет уничтожен, и вы уже не сможете восстановить файлы.
Чтобы вернуть файлы и разблокировать ПК, вы должны прислать 1.2 Биткоина ($500) на следующий Bitcoin-адрес:
Нажмите здесь, чтобы показать Bitcoin-адрес
ПРЕДУПРЕЖДЕНИЕ!
НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ САМОСТОЯТЕЛЬНО. ЛЮБОЕ ДЕЙСТВИЕ ПРИВЕДЕТ К УНИЧТОЖЕНИЮ КЛЮЧА ДЕШИФРОВАНИЯ. ВЫ ПОТЕРЯЕТЕ ВАШИ ФАЙЛЫ НАВСЕГДА. ЕСТЬ ТОЛЬКО ОДИН СПОСОБ СОХРАНИТЬ ФАЙЛЫ — СЛЕДОВАТЬ ИНСТРУКЦИЯМ.
...

Cписок файловых расширений, подвергающихся шифрованию:
.3dm, 3ds, .3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .cas, .cbr, .cdr, .cer, .cfr, .cgi, .class, .conf, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dazip, .db, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eml, .emlx, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gz, .h, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mbx, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mkv, .mlx, .mov, .mp4, .mpeg, .mpqge, .mrw, .mrwref, .msg, .ncf, .nef, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkg, .pkpass, .pl, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pub, .py, .qdf, .qic, .r3d, .raf, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sh, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .swf, .syncdb, .t12, .t13, .tar, .tax, .tor, .trc, .txt, .upk, .vb, .vcf, .vcxproj, .vdf, .vfs0, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (234 расширения).

Сначала сообщалось о 88 файловых расширений, которые атакует этот шифровальщик, потом их уже насчитывалось 125, а в нашем списке их сначала было уже 195, а в июне уже 234. Это не предел, т.к. создатели ZCrypt продолжают расширять количество расширений.

Сбор информации по форумам показал, что ранее, в марте этого года, ZCrypt использовался для атак на русскоязычных пользователей, при этом был другой вариант записки с требованием выкупа на русском и английском языках. В папках с зашифрованными файлами была более краткая записка на русском языке под названием !ИНСТРУКЦИЯ!.html

Записка с требованием выкупа:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! 
Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. 
Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! 
В письме укажите также ваш ID - 30325B37732E383xxxxx|01|V1"



Технические детали

  Распространяется ZCrypt с помощью email-спама, макросов-загрузчиков в документах MS Office, фишинг-рассылок, эксплойтов на зараженных сайтах, выдаёт себя за загрузчики популярных программ и фальшивые обновления для Flash Player. Вполне возможно его распространение и с помощью сетей общего доступа, кейгенов, активаторов и краков. Пик пострадавших от ранней версии в Рунете пришелся на март 2016 года, добавляемые к зашифрованным файлам расширения могли различаться. Новая майская версия ориентирована на гораздо больший захват ПК во всем мире. 

  Наиболее комфортная работа ZCrypt установлена в Windows 7, тогда как в Windows XP что-то может вообще не работать. Это объясняется тем, что в более старых операционных системах не существует нужная шифровальщику системная функция. 

   Примечательно, что у нынешнего ZCrypt замечено поведение, схожее с сетевыми червями. Т.е. он может распространяться самостоятельно, заражая все доступные цели и копировать себя на портативные устройства. Аналитики Trend Micro тоже классифицировали ZCrypt как червя

  Таким образом, ZCrypt является одним из первых крипточервей и саморазмножающихся шифровальщиков, и потому крайне опасен. Ранее, год назад, как саморазмножающийся вирус-шифровальщик проявил себя VirLock


Файлы, связанные с этим Ransomware:
How to decrypt files.html 
!ИНСТРУКЦИЯ!.html или ИНСТРУКЦИЯ!.txt
zcrypt.exe (или system.exe) 
zcrypt.lnk
btc.addr - биткоин-адрес
cid.txt - ID компьютера
public.key - открытый ключ
autorun.inf
<random>.exe
<random>.tmp

Расположения:
C:\Users\User\AppData\Roaming\zcrypt.exe 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: очень высокая
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Фактически дополнение от Check Point от 6 июня 2016:
Zcrypt может заразить ПК через USB, создав autorun.inf и автоматически запустив файл invoice.exe, когда USB-ключ подключен. Zcrypt не удаляет теневые копии, не удаляет собственный исполняемый файл и не выполняет обход всех каталогов для поиска файлов для шифрования. Для этого сначала используется описание папки оболочки реестра для поиска интересующих папок без запроса самой файловой системы, а затем он отслеживает изменения в файловой системе, шифруя любой новый файл, добавляемый или изменяемый в системе.

Для распаковки своего DLL-файла Zcrypt использует NSIS (Nullsoft Scriptable Install System), известный способ, широко используемый легитимными и вредоносными программами. Для распаковки DLL-ки вредонос запускает свою копию и динамически загружает DLL из начального вызывающего процесса, создавая очень широкое дерево выполнения, за которым трудно следить. DLL удаляется сразу после использования и создается снова столько раз, сколько требуется. Этот процесс может повторяться более тысячи раз.
Ссылка >>


Обновление от 14 июня 2016: 
Статья от Malwarebytes Labs >>



Старый вариант, найденный от 13 апреля 2020:
На самом деле это русскоязычный вариант из апреля 2016:
Пост в Твиттере >>
Расширение: .zcrypt
Записка (на русском): !ИНСТРУКЦИЯ!.txt
Email: flsunlocker@yahoo.com
Результаты анализов: VT + IA
Штамп даты создания: 14 апреля 2016. 


➤ Содержание записки:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов, попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! в письме укажите также ваш ID - 
***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ZCrypt)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 TrendMicro, MalwarebytesLabs
 BleepingComputer, Michael Gillespie
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 23 мая 2016 г.

ODCODC

ODCODC Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные якобы с помощью алгоритма RSA-2048. На самом деле используется алгоритм XOR. Сумма выкупа называется индивидуально в ответном письме — 1 BTC или 25000 рублей. Зашифрованные файлы получают расширение .odcodc, которое дополняется почтовым адресом вымогателей.

Пример зашифрованного файла:
C-email-<email_address>-<original_filename>.odcodc
C-email-abennaki@india.com-Chrysanthemum.jpg.odcodc

Записка с требованием выкупа и с инструкциями для уплаты выкупа readthis.txt добавляется в каждую папку с зашифрованными файлами. 

Вот её буквальное содержание: 

Your personal files are encrypted!
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you cant restore them.
What to do?
We can recover your files. You can trust us, for proof of this we can decrypt some your files for free.
How to contact you?
Write us to email: abennaki@india.com

Ваши персональные файлы зашифрованы!
Что случилось с файлами?
Все ваши файлы зашищены криптостойким алгоритмом RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Что это значит?
Это значит, что структура и содержимое ваших файлов потерпили необратиме изменения, вы не можете с ними работать, читать или видеть, это тоже самое, что потерять их бесповоротно, но, с нашей помощью, вы можете их все восстановить.
Что мне делать?
Мы можем полностью восстановить доступ к вашим файлам. Вы можете нам доверять, доказать честность и серьезность наших намерений мы можем бесплатной расшифровкой нескольких файлов.
Как с вами связаться?
Напишите нам на почту: abennaki@india.com

Your PCID:: WIN-F9KR5MHB5C0706219416

Примечательно, что записка написана сразу на английском и русском, но в тексте есть фразы, корявость которых среди остального теста выглядит довольно подозрительно. Например, слово "зашищены" и фраза "потерпили необратиме изменения". Другой email, встречающийся в других записках - transcript@india.com. При этом потерпевшие сообщали, что у них записка о выкупе была только на английском языке. 

Ответ от abennaki@india.com пострадавшему от шифрования:
Здравствуйте. Розшифровка файлов 25000 руб. для гарантии могу розшифровать пару файлов.

Вывод: Вымогатели, создавшие вредонос — украинцы, т.к. используют слова "розшифровка" и "розшифровать" вперемежку с русскими. 

В других регионах записка о выкупе есть также на других языках, в том числе на английском и китайском, в последнем сделанная системой автоматического перевода Google. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе под видом инсталлятора VMware Workstation.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .7z, .accdb, .accdc, .accde, .accdr, .accdt, .act, .adp, .ai, .arw, .asf, .asm, .asp, .asx, .avi, .backup, .bak, .bay, .bdb, .bik, .blend, .bmp, .c, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cfg, .cgm, .ckp, .class, .cpp, .cr2, .cs, .csv, .db, .db3, .dbf, .dc2, .dcs, .ddoc, .dds, .design, .dgc, .djvu, .doc, .docm, .docx, .dot, .dotx, .drw, .dt, .dwg, .dxb, .dxf, .eps, .erf, .fdb, .flac, .fpx, .h, .hbk, .hpp, .iiq, .indd, .java, .jpe, .jpeg, .jpg .kdc, .key, .m4v, .max, .mdb, .mdf, .mos, .mov, .mp3, .mp4, .mpg, .myd, .nrw, .ns2, .ns3, .ns4, .nyf, .obj, .odb, .ods, .odt, .orf, .otg, .ott, .pages, .pas, .pcd, .pct, .pdb, .pdd, .pdf, .pfx, .php, .pl, .pps, .ppt, .pptm, .pptx, .ps, .psd, .ptx, .py, .r3d, .rar, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .sdf, .sql, .sqlite, .sqlilte3, .sqlitedb, .sr2, .srw, .stw, .stx, .svg, .swf, .sxd, .sxg, .sxw, .tex, .tga, .thm, .txt, .vdb, .veg, .wmv, .wpd, .wps, .x3f, .xls, .xlsm, .xlsx, .zip (152 расширения). 

Новый список (от 30 августа 2016):
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accdc, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfp, .cgm, .cib, .ckp, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db, .db_journal, .db3, .dbf, .dbf, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotx, .drf, .drw, .dt, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fpx, .ful, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .obj, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plc, .plus_muhd, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tc, .tex, .tga, .thm, .tib, .tis, .tlg, .trn, .txt, .vbox, .vdb, .veg, .vob, .vob, .wallet, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip (322 расширения). 

Файлы, связанные с этим Ransomware
%UserProfile%\Application Data\cript.bat
%UserProfile%\Application Data\cript.exe
%UserProfile%\Application Data\<random_name>.exe
[Path_to_encrypted_file]\readthis.txt
<Email-attachment_Cyrillic-name>.docx.exe

Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Crr1" = "[PATH TO TROJAN]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Crr2" = "[PATH TO TROJAN]"

Сетевые подключения:
inststats.com

Результаты анализов:
VirusTotal анализ >>
Symantec: Ransom.ODCODC >>

Степень распространённости: средняя.
Подробные сведения собираются. 


 Внимание!!! 
Для зашифрованных файлов есть дешифровщик. 
Скачать ODCODC Decoder


Обновление от 27 декабря 2016:
Записка: HOW_TO_RESTORE_FILES.txt
Расширение: .odcodc
Шаблон зашифрованного файла: C-email-[email_address]-[original_filename].odcodc
Результаты анализов: VT


Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *