Если вы не видите здесь изображений, то используйте VPN.

пятница, 5 февраля 2016 г.

JobCrypter

JobCrypter Ransomware

JobCrypter NextGen: Die Hard 4

(шифровальщик-вымогатель) 


   Этот крипто-вымогатель шифрует данные пользователей с помощью 3DES, (TripleDES), а затем требует выкуп, чтобы вернуть файлы обратно. 

Судя по тексту требования о выкупе, JobCrypter ориентирован только на французских пользователей. Для снятия блокировки файлов, пострадавшей стороне нужно заплатить выкуп в размере 300 евро с карты PaySafeCard. В последующих версиях сумма выкупа стала больше. 

Этимология названия: Название "JobCrypter" (работа + шифровальщик) призвано оправдать действия безработного шифровальщика-вымогателя, которому больше нечем заняться и негде заработать. 

К зашифрованным файлам добавляется расширение .locked или .css

© Генеалогия: Hidden Tear + 3DES >> JobCrypter > JobCrypter NextGen

Пик распространения этого вымогателя пришелся на февраль-март-апрель 2016 года. Примечательно, что немало инфицированных JobCrypter ПК оказалось на первых порах в Литве. Распространение продолжилось в 2017-2020 гг.

Записки с требованием выкупа называются: 
Comment débloquer mes fichiers.txt (Как разблокировать мои файлы)
Readme.txt (Прочти меня)
Записка на французском языке

Во французском тексте довольно много орфографических и грамматических ошибок, а это говорит о том, что этот язык не является родным для вымогателей. 

Перевод записки на русский язык:
Здравствуйте, мы люди без работы, не ищем проблем, просто хотим прокормить свои семьи, мы просим вас не глупить, 
Потому что это нехорошо для вас,
Мы зашифровали файлы с помощью персонального алгоритма и просим заплатить выкуп в 300 EURO, чтобы разблокировать файлы.
Мы гарантируем полное возвращение вашего файла и никогда больше не услышать о нас, итак, 
Об оплате: Оплата может быть выполнена с помощью доступной на всей территории Франции карты Paysafecard,
вот ссылка, чтобы быстро найти ближайшие точки продажи к вам:
hxxps: //wm.paysafecard.com/fr-fr/acheter/trouver-des-points-de-vente/
Любой запрос на снятие блокировки файлов без оплаты будет автоматически отклонен,
Мы принимаем только карты EURO 50 и 100 евро,
Пожалуйста, отправьте коды карты на один из следующих email-адресов:
geniesanstravaillee@outlook.fr
geniesanstravaillee@yahoo.fr
geniesanstravaillee@gmail.com
Не забудьте указать имя пользователя ПК в теме письма, Ваше имя пользователя: 0E66C256
В подтверждение доброй воли и доказательства вам, что это не афера,
Мы можем расшифровать 1 файл для вас бесплатно,
Пожалуйста, пришлите нам один из ваших зашифрованных файлов в качестве вложения к email, указанные выше и не забудьте указать идентификатор вашего ПК, чтобы мы могли взять ключ дешифрования от наших клиентов. 
Вы получите результат с кодом разблокировки в тот же день оплаты.
Мы приносим свои извинения за причиненные неудобства.

Позже, записка о выкупе стала внедряться в зашифрованные файлы. Примеры смотрите в обновлениях ниже. 



Технические детали

Распространяется с помощью email-спама и вредоносных вложений, которые могут содержать вредоносный JS-файл.  
Может распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Отключает настройки безопасности в браузере Internet Explorer.
 Изменяет файлы в папке расширений Chrome.
 Действия выглядят как кража личных данных.

 Добавляется в Автозагрузку и меню Пуск.
➤ При шифровании выполняется Base64 (TripleDES(Base64(filebytes))

Файлы, связанные с этим Ransomware:
Comment débloquer mes fichiers.txt - отдельный файл записки был только в ранних версиях. 
L o c k e r.exe
Screen.jpg - делается снимок экрана
<random>.exe - случайное название
C:\Users\User\AppData\Local\Temp\{name_malware}.exe
{name_malware}.js

Расположения:
%TEMP%\Screen.jpg
%APPDATA%\L o c k e r.exe

Сетевые подключения и связи: 
auth.smtp.1and1.fr

Степень распространенности: средняя.
Подробные сведения собираются. 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Первые версии использовали записку о выкупе Comment débloquer mes fichiers.txt.
Последующие версии стали внедрять её содержимое в зашифрованные файлы, меняя только контакты и адреса. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 февраля 2017:
Пост в Твиттере >>
Файлы: L o c k e r.exe, FL.exe, Screen.jpg
Самоназвание:  J o b C r y p t e r
Email: frthnfdsgalknbvfkj@outlook.fr
frthnfdsgalknbvfkj@yahoo.com
frthnfdsgalknbvfkj@gmail.com 
Результаты анализов: HAVT

Обновление от 6 марта 2017:
Расширение: .css
Записка находится в зашифрованном файле.
Email: такие же, как раньше.
Видеообзор >>

Обновление от 2 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле. 
Email: такие же, как раньше.



Не видно других различий. 

Результаты анализов: VT


Обновление от 13 августа 2018:
Расширение: .css
Email: hotline@adpresence.net, booba.karis2542@gmail.com
URL: auth.smtp.1and1.fr (212.227.15.168)
Фальш-имя: Opera Internet Browser
Результаты анализов:  VT


Обновление от 13 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле. 
Сумма выкупа: 1000€
Email: heniesanstravaille@out1ook.fr
heniesanstravaille@yahoo.com
heniesanstravaille@gmai1.com
URL: auth.smtp.1and1.fr (212.227.15.184)
URL: xxxx://poislgam.fr/


Скриншот текста о выкупе

Скриншот сайта вымогателей

url-адреса
Результаты анализов: VT + HA 


JobCrypter NextGen

Промежуточное обновление: 
Самоназвание: Die Hard 4
Текст на английском языке.
Tor-URL: http://diehard4uty2z5cs.onion



Обновление от 5 мая 2020:
Пост в Твиттере >>
Расширение: .css
Самоназвание: Die Hard 4
Все тексты написаны на французском языке.
Tor-URL: http://diehard4uty2z5cs.onion
Email: WarlockdeDieHard4@protonmail.com
По-прежнему текст вымогателей внедрён в зашифрованные файлы.

 

Я сделал один файл анимационным, чтобы показать, как просмотреть содержимое в hex-редакторе (см. красную стрелку). 

 



Обновление от 12 мая 2020:
Пост в Твиттере >>
Расширение: .css
Email: patrick4452@protonmail.com
Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний). 
Файлы: hytrre.js, 745787747877.exe
Результаты анализов: VT + AR + IA + TG


➤ Содержание записки: 

Bonjour, 
Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles, 
Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous
Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer, 
Et nous vous demandons de nous payer une rançon de 500 Euros pour décrypter et récupérer vos fichiers, 
Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous, 
Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement 
Pour vous prouver que nous pouvons décryptées et récupérer vous fichier,
Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement, 
N'oubliez pas de citer sur l'e-mail identifiants suivants: C4BA3647
Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients,
patrick4452@protonmail.com
patrick4452@protonmail.com
patrick4452@protonmail.com
Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard
Sinon vous serez obligé d'attendre 24 heures
Vous avez 15 jours pour payer à partir de cette date: 5/12/2020 1:36:26 PM
Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus 
Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir, 
Le texte que vous voyez en dessous si votre fichier crypté.
Merci.
***

Обновление от 8 июля 2020:
Пост в Твиттере >>
Расширение: .txt
Записка: в файле
Email: Olivier92747@protonmail.com
Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний). 


Файлы: officiel.exe, bntyhxd.js

Название проекта: officiel.pdb
Файл в Автозагрузке: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\bntyhxd.js
Результаты анализов: VT + HA + IA + AR + TG


➤ Содержание записки: 

Bonjour, 
Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles, 
Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous
Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer, 
Et nous vous demandons de nous payer une rançon de 1000 Euros pour décrypter et récupérer vos fichiers, 
Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous, 
Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement 
Pour vous prouver que nous pouvons décryptées et récupérer vous fichier,
Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement, 
N'oubliez pas de citer sur l'e-mail identifiants suivants: C4B*****
Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients,
Olivier92747@protonmail.com
Olivier92747@protonmail.com
Olivier92747@protonmail.com
Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard
Sinon vous serez obligé d'attendre 24 heures
Vous avez 7 jours pour payer à partir de cette date: 7/8/2020 11:17:07 AM
Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus 
Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir, 
Le texte que vous voyez en dessous si votre fichier crypté.
Merci.
*****

Обновление от 11 августа 2020:
Пост в Твиттере >>
Расширение: .txt
Записка: в файле
Пример: ac3b9aed7fa9674757159e6d7d575672f9d98100941e9bdeffeca1313b75782d.sth.txt
Результаты анализов: VT + AR + IA + TG


➤ Содержание записки: 

*******you can't open files???****
Do not be afraid, you can recover all your files please follow the following steps
*** Step 1 Download Tor Browser ***
Here is the link to download Tor Browser: https: //www.torproject.org/en/download/languages/
Here is the link How to install TOR Browser on Windows: https://www.youtube.com/watch?v=ehQcx_6DsTw
                                                            *******Step 2 accessing our site*****
Open this site In the Tor browser : http://diehard4uty2z5cs.onion/
(Important)
This site only works with the Tor browser
***** What guarantees you have?****
You can send one of your encrypted file from your PC and we decrypt it for 5 dollar
But we can decrypt only 1 file for 5 dollar File must not contain valuable information.
Your personal ID: 7CD9E***
You have 7 days To buy your key from this date:
If you exceed the deadline will increase by 100 dollar per day, we therefore advise you to respect the deadlines mentioned above.
Thank you.
cordially Die Hard 4
;+GR1j5cwBH2Ww9eaHtLJjed/g+DYnZVbRrsyVeRLZ3*** [всего 877 знаков]


== 2021 ===

Вариант от 23 марта 2021:
Расширение: .txt
Записка: в файле
Email: olaggoune235@protonmail.ch, ouardia11@tutanota.com
Результаты анализов: VT + TG
---
➤ Содержание записки:
We are human beings without a job, we are not looking for problems, we just want to feed our families,
We encrypted all your files using a powerful algorithm.
We ask you to pay a ransom of 500 euros to decrypt and restore your files.
We guarantee your files will be fully opened
Contact us by email to communicate the payment method : 
olaggoune235@protonmail.ch
ouardia11@tutanota.com
***** What guarantee you? ****
You can send one of your encrypted files on your computer and we decrypt it for free
But we can only decrypt one file for free. The file must not contain valuable information.
Write this ID 80120786 in the title of your message 
You have 7 days to purchase your key from this date:
If you exceed the deadline it will increase by $ 100 per day, so we advise you to respect the above mentioned deadlines;ASHUEBt9gFiirc45+2h720SH/Ag***





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as JobCrypter)
 Topic of Support, later Write-up (March 19, 2018)

 🎥 Video review >>
 - Видеообзор от João Pena Gil (отдельный файл записки показан на 2 минуте видео)
 - Видеообзор от CyberSecurity GrujaRS (записка в зашифрованном файле)
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Emmanuel_ADC-Soft
 Tomas Meskauskas (first screenshot from pcrisk.com)
 Andrew Ivanov
 GrujaRS, Erez Yalon, João Pena Gil
 
© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *