вторник, 27 сентября 2016 г.

DXXD

DXXD Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные на сервере, а затем требует связаться по почте с экспертом вымогателей, чтобы вернуть файлы. Название получил от добавляемого окончания. Есть сведения о том, что это разработка украинских вымогателей, как и CrySiS, Dharma, Apocalypse, ODCODCPhobos и другие. 

К зашифрованным файлам добавляется dxxd (без точки). Таким образом файл picture.jpg станет picture.jpgdxxd

Записки с требованием выкупа называются: ReadMe.TxT

Содержание записки о выкупе:
Dear owner, bad news!!!!
Your SERVER [hacked], and file's [ENCRYPTED]!
If you need back files and recommendation's,
to protect your file's and server, write to e-mail:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
If don't answer on e-mail? Write to [jabber]:
what's jabber?
GUIDE : xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-
pidgin-the-universal-messaging-client/
Programm : xxxxs://pidgin.im/download/
Register account : xxxxs://www.xmpp.jp or xxxxs://rows.io/ or your custom.
Add me : [one_weaJc@rows.io]
And so, write me.
Sorry.

Перевод записки на русский язык:
Уважаемый владелец, плохая новость !!!!
Ваш СЕРВЕР [взломан], и файлы [ЗАШИФРОВАНЫ]!
Если вам нужно вернуть файлы и рекомендации,
для защиты ваших файлов и сервера, пишите на email:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
Если нет ответа на email? Пишите [jabber]:
Что такое jabber?
ГИД: xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-pidgin-the-universal-messaging-client/
Программа: xxxxs://pidgin.im/download/
Регистрация аккаунта: xxxxs://www.xmpp.jp или xxxxs://rows.io/ или ваш.
Добавьте меня: [one_weaJc@rows.io]
И так, пишите мне.
Извините.

У некоторых пострадавших наблюдалось изменение экрана входа в Windows на следующий:

Содержание текста с экрана:
Microsoft Windows Security Center. Dear Administrator, YOUR server is attacked by hackers.
For more informations and recommendations, write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de
When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software. And write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de

Перевод текста на русский язык:
Центр безопасности Microsoft Windows. Ув. Администратор, ваш сервер атакован хакерами.
Для подробной информации и рекомендаций пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de
При запуске Windows, Windows Defender работает, чтобы защитить ваш ПК проверкой на вредоносное или нежелательное ПО. Пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, с помощью хакерских атак путём взлома. 

➤ Шифрует файлы на всех дисках и сетевых ресурсах. 

Список файловых расширений, подвергающихся шифрованию:

.7z, .bat, .cmd, .css, .doc, .docx, .fpt, .html, .jar, .jpe, .jpeg, .jpg, .js, .log, .mp4, .mpeg, .php, .png, .pptx, .psd, .rar, .rtf, .tif, .txt, .wav, .xml, .xls, .xlsx, .zip (29 расширений).

Файлы, связанные с DXXD Ransomware:
ReadMe.TxT
<ransom>.exe

Результаты анализов:
Hybrid анализ >>

VirusTotal анализ >>
Symantec: Ransom. DXXD >>

Степень распространённости: средняя.
Подробные сведения собираются.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 октября 2016:
Версия: DXXD-2
1. Изменение экрана входа в Windows теперь у всех пострадавших. 
2. Записи реестра, связанные с этой версией DXXD Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption "Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText "When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software."
Текст вымогателей: 
Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"

When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software.
3. Новые email вымогателей:
rep_stosd@protonmail.com
rep_stosd@tuta.io





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Для зашифрованных файлов есть дешифровщики
Скачать DXXDDecrypter >>
Скачать DXXD2 Decrypter >> (от 21 окт.)
Read to links:
ID Ransomware
Topic on BC + Write-up on BC (added on Oktober 10, 2016)
 Thanks:
 Michael Gillespie (‏Demonslay335)
 Lawrence Abrams on BleepingComputer
 Fabian Wosar on Emsisoft

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton