JobCrypter Ransomware
JobCrypter NextGen: Die Hard 4
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью 3DES, (TripleDES), а затем требует выкуп, чтобы вернуть файлы обратно.
Судя по тексту требования о выкупе, JobCrypter ориентирован только на французских пользователей. Для снятия блокировки файлов, пострадавшей стороне нужно заплатить выкуп в размере 300 евро с карты PaySafeCard. В последующих версиях сумма выкупа стала больше.
Этимология названия: Название "JobCrypter" (работа + шифровальщик) призвано оправдать действия безработного шифровальщика-вымогателя, которому больше нечем заняться и негде заработать.
К зашифрованным файлам добавляется расширение .locked или .css
© Генеалогия: Hidden Tear + 3DES >> JobCrypter > JobCrypter NextGen
Пик распространения этого вымогателя пришелся на февраль-март-апрель 2016 года. Примечательно, что немало инфицированных JobCrypter ПК оказалось на первых порах в Литве. Распространение продолжилось в 2017-2020 гг.
Записки с требованием выкупа называются:
Comment débloquer mes fichiers.txt (Как разблокировать мои файлы)
Readme.txt (Прочти меня)
Записка на французском языке
Во французском тексте довольно много орфографических и грамматических ошибок, а это говорит о том, что этот язык не является родным для вымогателей.
Перевод записки на русский язык:
Здравствуйте, мы люди без работы, не ищем проблем, просто хотим прокормить свои семьи, мы просим вас не глупить,
Потому что это нехорошо для вас,
Мы зашифровали файлы с помощью персонального алгоритма и просим заплатить выкуп в 300 EURO, чтобы разблокировать файлы.
Мы гарантируем полное возвращение вашего файла и никогда больше не услышать о нас, итак,
Об оплате: Оплата может быть выполнена с помощью доступной на всей территории Франции карты Paysafecard,
вот ссылка, чтобы быстро найти ближайшие точки продажи к вам:
hxxps: //wm.paysafecard.com/fr-fr/acheter/trouver-des-points-de-vente/
Любой запрос на снятие блокировки файлов без оплаты будет автоматически отклонен,
Мы принимаем только карты EURO 50 и 100 евро,
Пожалуйста, отправьте коды карты на один из следующих email-адресов:
geniesanstravaillee@outlook.fr
geniesanstravaillee@yahoo.fr
geniesanstravaillee@gmail.com
Не забудьте указать имя пользователя ПК в теме письма, Ваше имя пользователя: 0E66C256
В подтверждение доброй воли и доказательства вам, что это не афера,
Мы можем расшифровать 1 файл для вас бесплатно,
Пожалуйста, пришлите нам один из ваших зашифрованных файлов в качестве вложения к email, указанные выше и не забудьте указать идентификатор вашего ПК, чтобы мы могли взять ключ дешифрования от наших клиентов.
Вы получите результат с кодом разблокировки в тот же день оплаты.
Мы приносим свои извинения за причиненные неудобства.
Позже, записка о выкупе стала внедряться в зашифрованные файлы. Примеры смотрите в обновлениях ниже.
Технические детали
Распространяется с помощью email-спама и вредоносных вложений, которые могут содержать вредоносный JS-файл.
Может распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ Отключает настройки безопасности в браузере Internet Explorer.
➤ Изменяет файлы в папке расширений Chrome.
➤ Действия выглядят как кража личных данных.
➤ Добавляется в Автозагрузку и меню Пуск.
➤ При шифровании выполняется Base64 (TripleDES(Base64(filebytes))
Файлы, связанные с этим Ransomware:
Comment débloquer mes fichiers.txt - отдельный файл записки был только в ранних версиях.
L o c k e r.exe
Screen.jpg - делается снимок экрана
<random>.exe - случайное название
C:\Users\User\AppData\Local\Temp\{name_malware}.exe
{name_malware}.js
Расположения:
%TEMP%\Screen.jpg
%APPDATA%\L o c k e r.exe
Сетевые подключения и связи:
auth.smtp.1and1.fr
Степень распространенности: средняя.
Подробные сведения собираются.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Первые версии использовали записку о выкупе Comment débloquer mes fichiers.txt.
Последующие версии стали внедрять её содержимое в зашифрованные файлы, меняя только контакты и адреса.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 14 февраля 2017:
Пост в Твиттере >>
Файлы: L o c k e r.exe, FL.exe, Screen.jpg
Самоназвание: J o b C r y p t e r
Email: frthnfdsgalknbvfkj@outlook.fr
frthnfdsgalknbvfkj@yahoo.com
frthnfdsgalknbvfkj@gmail.com
Результаты анализов: HA + VT
Обновление от 6 марта 2017:
Расширение: .css
Записка находится в зашифрованном файле.
Email: такие же, как раньше.
Видеообзор >>
Обновление от 2 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле.
Email: такие же, как раньше.
Результаты анализов: VT
Обновление от 13 августа 2018:
Расширение: .css
Email: hotline@adpresence.net, booba.karis2542@gmail.com
URL: auth.smtp.1and1.fr (212.227.15.168)
Фальш-имя: Opera Internet Browser
Результаты анализов: VT
Обновление от 13 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле.
Сумма выкупа: 1000€
Email: heniesanstravaille@out1ook.fr
heniesanstravaille@yahoo.com
heniesanstravaille@gmai1.com
URL: auth.smtp.1and1.fr (212.227.15.184)
URL: xxxx://poislgam.fr/
Скриншот текста о выкупе
Скриншот сайта вымогателей
url-адреса
Результаты анализов: VT + HA
JobCrypter NextGen
Промежуточное обновление:
Самоназвание: Die Hard 4
Текст на английском языке.
Tor-URL: http://diehard4uty2z5cs.onion
Обновление от 5 мая 2020:
Пост в Твиттере >>
Расширение: .css
Самоназвание: Die Hard 4
Все тексты написаны на французском языке.
Tor-URL: http://diehard4uty2z5cs.onion
Email: WarlockdeDieHard4@protonmail.com
По-прежнему текст вымогателей внедрён в зашифрованные файлы.
Обновление от 12 мая 2020:
Пост в Твиттере >>
Расширение: .css
Email: patrick4452@protonmail.com
Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний).
Файлы: hytrre.js, 745787747877.exe
Результаты анализов: VT + AR + IA + TG
Bonjour,
Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles,
Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous
Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer,
Et nous vous demandons de nous payer une rançon de 500 Euros pour décrypter et récupérer vos fichiers,
Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous,
Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement
Pour vous prouver que nous pouvons décryptées et récupérer vous fichier,
Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement,
N'oubliez pas de citer sur l'e-mail identifiants suivants: C4BA3647
Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients,
patrick4452@protonmail.com
patrick4452@protonmail.com
patrick4452@protonmail.com
Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard
Sinon vous serez obligé d'attendre 24 heures
Vous avez 15 jours pour payer à partir de cette date: 5/12/2020 1:36:26 PM ,
Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus
Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir,
Le texte que vous voyez en dessous si votre fichier crypté.
Merci.
***
Обновление от 8 июля 2020:
Пост в Твиттере >>
Расширение: .txt
Записка: в файле
Email: Olivier92747@protonmail.com
Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний).
Название проекта: officiel.pdb
Файл в Автозагрузке: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\bntyhxd.js
Результаты анализов: VT + HA + IA + AR + TG
Bonjour,
Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles,
Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous
Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer,
Et nous vous demandons de nous payer une rançon de 1000 Euros pour décrypter et récupérer vos fichiers,
Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous,
Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement
Pour vous prouver que nous pouvons décryptées et récupérer vous fichier,
Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement,
N'oubliez pas de citer sur l'e-mail identifiants suivants: C4B*****
Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients,
Olivier92747@protonmail.com
Olivier92747@protonmail.com
Olivier92747@protonmail.com
Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard
Sinon vous serez obligé d'attendre 24 heures
Vous avez 7 jours pour payer à partir de cette date: 7/8/2020 11:17:07 AM ,
Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus
Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir,
Le texte que vous voyez en dessous si votre fichier crypté.
Merci.
*****
Обновление от 11 августа 2020:
Пост в Твиттере >>
Расширение: .txt
Записка: в файле
Пример: ac3b9aed7fa9674757159e6d7d575672f9d98100941e9bdeffeca1313b75782d.sth.txt
Результаты анализов: VT + AR + IA + TG
*******you can't open files???****
Do not be afraid, you can recover all your files please follow the following steps
*** Step 1 Download Tor Browser ***
Here is the link to download Tor Browser: https: //www.torproject.org/en/download/languages/
Here is the link How to install TOR Browser on Windows: https://www.youtube.com/watch?v=ehQcx_6DsTw
*******Step 2 accessing our site*****
Open this site In the Tor browser : http://diehard4uty2z5cs.onion/
(Important)
This site only works with the Tor browser
***** What guarantees you have?****
You can send one of your encrypted file from your PC and we decrypt it for 5 dollar
But we can decrypt only 1 file for 5 dollar File must not contain valuable information.
Your personal ID: 7CD9E***
You have 7 days To buy your key from this date:
If you exceed the deadline will increase by 100 dollar per day, we therefore advise you to respect the deadlines mentioned above.
Thank you.
cordially Die Hard 4
;+GR1j5cwBH2Ww9eaHtLJjed/g+DYnZVbRrsyVeRLZ3*** [всего 877 знаков]
== 2021 ===
Вариант от 23 марта 2021:
Расширение: .txt
Записка: в файле
Записка: в файле
Email: olaggoune235@protonmail.ch, ouardia11@tutanota.com
---
➤ Содержание записки:
➤ Содержание записки:
We are human beings without a job, we are not looking for problems, we just want to feed our families,
We encrypted all your files using a powerful algorithm.
We ask you to pay a ransom of 500 euros to decrypt and restore your files.
We guarantee your files will be fully opened
Contact us by email to communicate the payment method :
olaggoune235@protonmail.ch
ouardia11@tutanota.com
***** What guarantee you? ****
You can send one of your encrypted files on your computer and we decrypt it for free
But we can only decrypt one file for free. The file must not contain valuable information.
Write this ID 80120786 in the title of your message
You have 7 days to purchase your key from this date:
If you exceed the deadline it will increase by $ 100 per day, so we advise you to respect the above mentioned deadlines;ASHUEBt9gFiirc45+2h720SH/Ag***
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >> Attention! Files can be decrypted! I recommend getting help with this link to Michael Gillespie >>
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as JobCrypter) Topic of Support, later Write-up (March 19, 2018) 🎥 Video review >>
- Видеообзор от João Pena Gil (отдельный файл записки показан на 2 минуте видео)
- Видеообзор от CyberSecurity GrujaRS (записка в зашифрованном файле)
© Amigo-A (Andrew Ivanov): All blog articles.Thanks: Michael Gillespie, MalwareHunterTeam, Emmanuel_ADC-Soft Tomas Meskauskas (first screenshot from pcrisk.com) Andrew Ivanov GrujaRS, Erez Yalon, João Pena Gil
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.