понедельник, 21 марта 2016 г.

Xorist

Xorist Ransomware

(шифровальщик-вымогатель, семейство)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Это целое семейство крипто-вымогателей, базирующееся на крипто-конструкторе Encoder Builder, котором можно задавать различные параметры для будущего крипто-вымогателя: список целевых расширений для шифрования, формат расширения, добавляемого к зашифрованным файлам, алгоритм шифрования (XOR или TEA), пароль шифрования, число попыток для ввода пароля, пароль дешифрования, язык интерфейса, изображения для экрана блокировки и смены обоев, добавление в автозагрузку системы и другие фичи. 

  После выбора необходимых опций создать новый крипто-вымогатель этого семейства можно нажатием всего одной кнопки Create! (Создать!).


Так выглядит Builder для Xorist-вымогателей (английская и русская версия)

По умолчанию, Encoder Builder настроен на создание стандартного для Xorist-семейства сообщения с требованием выкупа, но все, разумеется, настраивается под желание создающего. 

Пострадавших от семейства Xorist-вымогателей становится всё больше в запросах помощи на форумах безопасности и лечения от вирусов.



Xorist Family (семейство Xorist в этом блоге):
Xorist-EnCiPhErEd Ransomware - май 2016
Xorist-Zixer2 Ransomware - апрель 2017
Xorist-RuSVon Ransomware - июль 2017
Xorist-Hello Ransomware - август 2017
Xorist-CerBerSysLock Ransomware - декабрь 2017


Проблема идентификации крипто-вымогателя заключается в том, что зашифрованные файлы имеют различные расширения, различаются и записки с требованием выкупа, что затрудняет жертве поиск информации на получение помощи. 

Например, мы видели варианты этих вымогателей, которые добавляли к зашифрованным файлам следующие расширения: .EnCiPhErEd, .73i87A, .p5tkjw, .PoAr2w, .fileiscryptedhard, .pa2384259 ... И это только часть вариантов.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx,.zip (57 расширений). 

Степень распространённости: высокая.
Подробные сведения собираются. 


Хорошая новость! Фабиан Восар из Emsisoft смог найти Encoder Builder и создать Decrypter для этой семьи крипто-вымогателей.

***

Примечание 1. От 14 декабря 2017 года
В списке на данный момент времени 73 варианта расширений:
.ava
.cerber
.LOCKED
.workencryptincfolder@india.com=.cerberV5
.xdata
.0JELvV
.5vypSa
.6FKR8d
.73i87A
.@EnCrYpTeD2016@
.antihacker2017
.asdasdasd
.BLACKSNOW
.BLACK_MAMBA_Files@QQ.COM
.Blocked2
.C0rp0r@c@0Xr@t
.CerBerSysLocked0009881
.Cerber_RansomWare@qq.com
.cryptolocker
.CryPton
.deccripted@gmail.com
.decryptable_options@tutanota.com
.decrypter@tutanota.com
.DecryptFilesOnlineServices@gmail.com
.decryptoffice@tuta.io
.decryptor@keemail.me
.DECRYPT-ID-([0-9]{7,8})
.EnCiPhErEd
.ENCODED
.encoderpass
.error
.error667332([0-9]{5})
.errorfiles
.ERRORID22779911
.ERROR-ID-631001111
.fast_decrypt_and_protect@tutanota.com
.FbFu
.filebk
.fileiscryptedhard
.HELLO
.id-([0-9]{8}){frogobigens@india.com}.lock
.id-{([0-9-A-Z]*)}_decrypt24@india_com
.id09042
.imme
.InSDelCryptEnd
.InSDelCryptEnd2
.n1wLp0
.okean-1955@india.com.xtbl
.p5tkjw
.pa2384259
.PoAr2w
.protect_and_security@tutamail.com
.Recoverfiles2017@qq.com
.RecoverSystem@keemail.me
.repairme2017@keemail.me
.repairme@tutanota.com
.RSA-4096
.rtyrtyrty
.RuSVon
.RusVon
.SaMsUnG
.stoppirates
.sunliga
.support_repair@qq.com
.UslJ6m
.xdfxdfxdf
.YNhlv1
.zc3791
.zonfi
.zonfir
.zongros
....error77002017111
.__xratteamLucked

Внимание!!! 
Для зашифрованных файлов есть декриптер. 
Скачать декриптер и дешифровать файлы >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 Alex Svirid
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 мая 2016:
Статья Xorist-EnCiPhErEd Ransomware >>

Обновление от 18 апреля 2017:
Email: workencryptincfolder@india.com
Алгоритм шифрования: TEA
Тема на форуме >>
Расширение: .cerberV5
Составное расширение: .workencryptincfolder@india.com=.cerberV5
Пример зашифрованного файла: file_name.doc.workencryptincfolder@india.com=.cerberV5
Email: workencryptincfolder@india.com
Генерируются уникальные параметры для каждой папки. 
Файлы шифруются разными ключами.

Обновление от 12 мая 2017:
Email: decripted2017@gmail.com
Расширение: .decripted2017@gmail.com

Обновление от 16 мая 2017:
Расширение: .SaMsUnG
Анализы: VT

Обновление от 23 мая 2017:
Расширение: .xdata
Файл: .exe
Анализы: VT

Обновление от 7 июля
Расширение: .RuSVon
Файлы: Start.exe
Результаты анализов: HA + VT

Обновление от 8 августа 2017:
Статья Xorist-Hello Ransomware >>
Расширение: .HELLO
Результаты анализов: VT

Обновление от 6 сентября
Расширение: .Blocked2
Файлы: VBoxDTrace.exe
Результаты анализов: VT

Обновление от 16 ноября 2017:
Расширение: ....error77002017111
Файлы: Tax Refund notification.exe
Результаты анализов: VT

Обновление от 7 декабря 2017:
Пост в Твиттере >>
Статья Xorist-CerBerSysLock Ransomware >>
Расширение: .CerBerSysLocked0009881


© Amigo-A (Andrew Ivanov): All blog articles. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton