среда, 28 сентября 2016 г.

Al-Namrood, Al-Namrood 2.0

Al-Namrood Ransomware 

Al-Namrood 2.0 Ransomware 

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей и серверов, а затем требует связаться по email с вымогателями и сообщить ID, чтобы узнать сумму выкупа за возвращение файлов. Вымогатели из Украины. Сумма выкупа: 1-10 BTC. 



Этимология имени. Название получил от имени вавилонского царя Нимрода (Al-Namrood) или от современных спекуляций на их именах. Древний город на территории Ирака, которому археологи дали имя царя Нимрода, был разрушен боевиками ИГИЛ в 2015 году с помощью тяжёлой техники.

© Генеалогия: Apocalypse  > Al-Namrood

К зашифрованным файлам добавляются расширения .unavailable или .disappeared. 
Активность этого криптовымогателя пришлась на сентябрь 2016 г. Обновление до версии 2.0 — примерно ноябрь-декабрь 2016. 

Записка о выкупе создаётся для каждого файла с его именем и окончанием на конце *.Read_Me.Txt

Содержание записки о выкупе:
Hello!
All your files was encrypted.
If you wanna recover your files contact me as soon as possible:
decryptioncompany@inbox.ru
Your ID: B5584071
You have few days for contact me, then all your files will be lost.
If you dont get answer more than 24 hours - try any public mail service for contact me(like gmail or yahoo).
Regards.  

Перевод записки на русский язык:
Привет!
Все ваши файлы зашифрованы.
Если вы хотите восстановить файлы, свяжитесь со мной как можно скорее:
decryptioncompany@inbox.ru
Ваш ID: B5584071
У вас несколько дней, чтобы связаться со мной, иначе все ваши файлы пропадут.
Если вы не получите ответа через 24 часа, пробуйте любую публичную mail-службу для контакта со мной (Gmail или Yahoo).
С уважением.

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, посредством атаки и взлома RDP-подключений. Стоящая за распространением Al-Namrood группа в первую очередь атакует серверы, имеющие поддержку RDP и уязвимости в защите. 

Список файловых расширений, подвергающихся шифрованию:
Все файловые расширения, за исключением тех, которые используются самим шифровальщиком. 

Файлы, связанные с Ransomware:
*.Read_Me.Txt
<random>.exe

Сетевые подключения и связи:
decryptioncompany@inbox.ru
fabianwosar@inbox.ru

Степень распространённости: средняя.
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление. Al-Namrood 2.0
Файлы имеют случайное расширение по шаблону 
.<id-number>.<email>.<9/10_lower_alphabetic_characters> 
Пример: ID-17AD78ECSA[cryptservice@inbox.ru].mqbgadqaq
Контакты вымогателей: 
Email: cryptservice@inbox.ru и cryptsvc@mail.ru
Jabber: cryptservice@jabber.ua
Геолокация: Украина

Обновление. Al-Namrood 2.0
Eamil: crypt64@mail.ru
Jabber: crypt32@jabber.ua
Файлы имеют случайное расширение по шаблону
<original_file_name.extension>.ID-<victim_ID>[crypt32@mail.ru].<random[a-e]>
например, <original_file_name.extension>.ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Скриншот записки о выкупе:


Обновление от 2 ноября 2016. Al-Namrood 2.0: 
Расширение:
.not_available
Тема на форуме >>

Обновление от 20 ноября 2016Al-Namrood 2.0: 
Расширение: .NOT_AVAILABLE

Обновление от 24 ноября 2016Al-Namrood 2.0: 
Расширение: .ciphered
Email: kevinrobinson@inbox.ru
➤ Содержание записки о выкупе: 
Hello. Bad news!
All your files was encrypted with strong algorithm AES256 and unique key.
To recover all files you need to get special decryption software and personal key.
You can contact me via email: kevinrobinson@inbox.ru
You can contact me via email: kevinrobinson@inbox.ru
Your ID:  958A6CA2GB
Please use public mail service like gmail or yahoo to contact me, because your messages can be not delivered.
You have a 72 hours to contact me, otherwise recovering may be harder for you.
Regards,
Kevin Robinson.

Обновление от 27 ноября 2016Al-Namrood 2.0: 
Топик на форуме >>
Расширение: .access_denied
Составное расширение: .ID-1A234567AU[decryptgroup@inbox.ru].access_denied
Email: decryptgroup@inbox.ru, decryptgroup@india.com
Jabber: decryptgroup@xmpp.jp
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and personal key.
You can contact us:
Primary Email: decryptgroup@inbox.ru
Reserve Email: decryptgroup@india.com
Your Personal ID: 1A234567AU
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write to us in Jabber: decryptgroup@xmpp.jp
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Обновление от 28 декабря 2016:
Пост на форуме >>  
Пост на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Составное расширение: .ID-XXXXXXXXXX[cryptsvc@mail.ru].abcdefghijk
Записка: Infection.TXT
Jabber (It is not Email !!!): cryptsvc@securejabber.me
Email: cryptsvc@mail.ru
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
cryptsvc@mail.ru
Your Personal ID: ***
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): cryptsvc@securejabber.me
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Обновление от 28 марта 2017:
Топик на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Пример составного расширения: .ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Email: crypt32@mail.ru
Jabber: crypt32@jabber.ua
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
crypt32@mail.ru
Your Personal ID: ADC2B179SA
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): crypt32@jabber.ua
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Последнее обновление: 
Пост на форуме >>
Вымогательский проект Al-Namrood был закрыт 09.05.2017
Для связи предлагались контакты:
Email: crypt64@mail.ru
Jabber: crypt32@jabber.ua



ВНИМАНИЕ! Для зашифрованных файлов есть декриптер. Скачать декриптер для v.1 и дешифровать >>
Для более новых вариантов может не подойти.
Read to links: 
Decrypter by Emsisoft.com
ID Ransomware (ID as Al-Namrood)
*
 Thanks: 
 Fabian Wosar 
 Michael Gillespie 
 quietman7

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton