пятница, 5 февраля 2016 г.

JobCrypter

JobCrypter Ransomware

(шифровальщик-вымогатель) 


   Этот крипто-вымогатель шифрует данные пользователей с помощью 3DES, (TripleDES), а затем требует выкуп, чтобы вернуть файлы обратно. 

Судя по тексту требования о выкупе, JobCrypter ориентирован только на французских пользователей. Для снятия блокировки файлов, пострадавшей стороне нужно заплатить выкуп в размере 300 евро с карты PaySafeCard. В последующих версиях сумма выкупа стала больше. 

Этимология названия: Название "JobCrypter" (работа + шифровальщик) призвано оправдать действия безработного шифровальщика-вымогателя, которому больше нечем заняться и негде заработать. 

К зашифрованным файлам добавляется расширение .locked или .css

© Генеалогия: Hidden Tear + 3DES >> JobCrypter

Пик распространения этого вымогателя пришелся на февраль-март-апрель 2016 года. Примечательно, что немало инфицированных JobCrypter ПК оказалось на первых порах в Литве. Распространение продолжилось в 2017-2018 гг.

Записки с требованием выкупа называются: 
Comment débloquer mes fichiers.txt (Как разблокировать мои файлы)
Readme.txt (Прочти меня)
Записка на французском языке

Во французском тексте довольно много орфографических и грамматических ошибок, а это говорит о том, что этот язык не является родным для вымогателей. 

Перевод записки на русский язык:
Здравствуйте, мы люди без работы, не ищем проблем, просто хотим прокормить свои семьи, мы просим вас не глупить, 
Потому что это нехорошо для вас,
Мы зашифровали файлы с помощью персонального алгоритма и просим заплатить выкуп в 300 EURO, чтобы разблокировать файлы.
Мы гарантируем полное возвращение вашего файла и никогда больше не услышать о нас, итак, 
Об оплате: Оплата может быть выполнена с помощью доступной на всей территории Франции карты Paysafecard,
вот ссылка, чтобы быстро найти ближайшие точки продажи к вам:
hxxps: //wm.paysafecard.com/fr-fr/acheter/trouver-des-points-de-vente/
Любой запрос на снятие блокировки файлов без оплаты будет автоматически отклонен,
Мы принимаем только карты EURO 50 и 100 евро,
Пожалуйста, отправьте коды карты на один из следующих email-адресов:
geniesanstravaillee@outlook.fr
geniesanstravaillee@yahoo.fr
geniesanstravaillee@gmail.com
Не забудьте указать имя пользователя ПК в теме письма, Ваше имя пользователя: 0E66C256
В подтверждение доброй воли и доказательства вам, что это не афера,
Мы можем расшифровать 1 файл для вас бесплатно,
Пожалуйста, пришлите нам один из ваших зашифрованных файлов в качестве вложения к email, указанные выше и не забудьте указать идентификатор вашего ПК, чтобы мы могли взять ключ дешифрования от наших клиентов. 
Вы получите результат с кодом разблокировки в тот же день оплаты.
Мы приносим свои извинения за причиненные неудобства.

Позже, записка о выкупе стала внедряться в зашифрованные файлы. Примеры смотрите в обновлениях ниже. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Отключает настройки безопасности в браузере Internet Explorer.
➤ При шифровании выполняется Base64 (TripleDES(Base64(filebytes))

Файлы, связанные с этим Ransomware:
Comment débloquer mes fichiers.txt - отдельный файл записки был только в ранних версиях. 
L o c k e r.exe
Screen.jpg - делается снимок экрана
<random>.exe - случайное название

Расположения:
%TEMP%\Screen.jpg
%APPDATA%\L o c k e r.exe

Сетевые подключения и связи: 
auth.smtp.1and1.fr

Степень распространенности: средняя.
Подробные сведения собираются. 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Первые версии использовали записку о выкупе Comment débloquer mes fichiers.txt.
Последующие версии стали внедрять её содержимое в зашифрованные файлы, меняя только контакты и адреса. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 февраля 2017:
Пост в Твиттере >>
Файлы: L o c k e r.exe, FL.exe, Screen.jpg
Самоназвание:  J o b C r y p t e r
Email: frthnfdsgalknbvfkj@outlook.fr
frthnfdsgalknbvfkj@yahoo.com
frthnfdsgalknbvfkj@gmail.com 
Результаты анализов: HAVT

Обновление от 6 марта 2017:
Расширение: .css
Записка находится в зашифрованном файле.
Email: такие же, как раньше.
Видеообзор >>

Обновление от 2 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле. 
Email: такие же, как раньше.
Не видно других различий. 
Результаты анализов: VT


Обновление от 13 августа 2018:
Расширение: .css
Email: hotline@adpresence.net, booba.karis2542@gmail.com
URL: auth.smtp.1and1.fr (212.227.15.168)
Фальш-имя: Opera Internet Browser
Результаты анализов:  VT


Обновление от 13 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле. 
Сумма выкупа: 1000€
Email: heniesanstravaille@out1ook.fr
heniesanstravaille@yahoo.com
heniesanstravaille@gmai1.com
URL: auth.smtp.1and1.fr (212.227.15.184)
URL: xxxx://poislgam.fr/
Скриншот текста о выкупе
Скриншот сайта вымогателей
Результаты анализов: VT + HA 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as JobCrypter)
 Topic of Support, later Write-up (March 19, 2018)

 🎥 Video review >>
 - Видеообзор от João Pena Gil (отдельный файл записки показан на 2 минуте видео)
 - Видеообзор от CyberSecurity GrujaRS (записка в зашифрованном файле)
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Tomas Meskauskas (first screenshot from pcrisk.com)
 Andrew Ivanov
 CyberSecurity GrujaRS, Erez Yalon, João Pena Gil
 
© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton