понедельник, 31 октября 2016 г.

RotorCrypt

RotorCrypt (RotoCrypt, Tar) Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей и серверов организаций с помощью RSA, а затем требует связаться с вымоагтелями по email, чтобы вернуть файлы. За возвращение файлов в нормальное состояние вымогатели требуют выкуп в 7 биткоинов, 2000-5000 долларов или евро. Аппетит обнаглевших от безнаказанности вымогателей растёт не по дням, а по часам. 

© Генеалогия: Gomasom > RotorCrypt

К зашифрованным файлам добавляются расширения .c400, .c300 и email вымогателей по шаблонам
!___ELIZABETH7@PROTONMAIL.COM____.c400
!_____LIKBEZ77777@GMAIL.COM____.c400
!_____GEKSOGEN911@GMAIL.COM____.c300

Таким образом файл Document.doc после шифрования станет:

Document.doc!____ELIZABETH7@PROTONMAIL.COM____.c400  
Document.doc!_____LIKBEZ77777@GMAIL.COM____.c400
Document.doc!_____GEKSOGEN911@GMAIL.COM____.c300

Активность этого криптовымогателя пришлась на конец октября - ноябрь 2016 г. 

Ранняя версия Tar добавляла к зашифрованным файлам расширение .tar или ___tar. Распространение Tar пришлось на вторую половину сентября - октябрь-ноябрь 2016. Сообщения на форуме BC
Расширения того времени:
!____GLOK9200@GMAIL.COM____.tar

!____cocoslim98@gmail.com____.tar

Записки с требованием выкупа называются: readme.txt или ***readme.txt

Содержание записки о выкупе (из версия Tar):
Good day
Your files were encrypted/locked
As evidence can decrypt file 1 to 3 1-30MB
The price of the transcripts of all the files on the server: 7 Bitcoin
Recommend to solve the problem quickly and not to delay
Also give advice on how to protect Your server against threats from the network
(Files sql mdf backup decryption strictly after payment)!

Перевод записки на русский язык:
Добрый день
Ваши файлы зашифрованы / заблокированы
Как доказательство можем расшифровать файл 1 до 3 1-30MB
Стоимость расшифровки всех файлов на сервере: 7 Bitcoin
Рекомендуем решить эту проблему быстро и без задержки
Кроме того, дадим советы о том, как защитить свой сервер от угроз из сети
(Файлы sql mdf backup дешифруем только после оплаты)!

Email вымогателей: 
ELIZABETH7@PROTONMAIL.COM
LIKBEZ77777@GMAIL.COM
GEKSOGEN911@GMAIL.COM
и другие (см. внизу в обновлениях)

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:

.1cd, .avi, .bak, .bmp, .cf, .cfu, .csv, .db, .dbf, .djvu, .doc, .docx, .dt, .elf, .epf, .erf, .exe, .flv, .geo, .gif, .grs, .jpeg, .jpg, .lgf, .lgp, .log, .mb, .mdb, .mdf, .mxl, .net, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .px, .rar, .raw, .st, .sql, .tif, .txt, .vob, .vrp, .xls, .xlsb, .xlsx, .xml, .zip (53 расширения). 

Расширений может быть больше, в основном это файлы документов MS Office, изображения, архивы, базы данных, в том числе российского ПО 1C-Бухгалтерия, а также R-Keeper, Sbis и пр. Шифрованию подвержены общие сетевые ресурсы (диски, папки). 

Файлы, связанные с RotorCrypt Ransomware:
iuy.exe
<random_name_8_chars>.exe
<random_name_8_chars>___.exe
C:\Users\User_name\AppData\local\<random_name_8_chars>.exe
C:\Users\User_name\Desktop\<random_name_8_chars>.exe
C:\GWWABPFL_Unpack.EXE
%LOCALAPPDATA%\Microsoft Help\DNALWmjW.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\jHlxJqfV.lnk

Записи реестра, связанные с RotorCrypt Ransomware:
См. ниже гибридные анализы. 

Результаты анализов по версиям:

Гибридный анализ на Tar >>
Гибридный анализ для ELIZABETH >> 
Гибридный анализ для LIKBEZ >>
Гибридный анализ на GEKSOGEN >>
VirusTotal анализ на Tar >>
VirusTotal анализ для ELIZABETH >>
VirusTotal анализ для LIKBEZ >>
VirusTotal анализ на GEKSOGEN >>


Обновление от 10 ноября 2016:
Email: GEKSOGEN911@GMAIL.COM
Расширение по шаблону: 
!_____GEKSOGEN911@GMAIL.COM____.c300

Обновление от 2 декабря 2016:
Email: DILINGER7900@GMAIL.COM
Расширение по шаблону: 
!_____DILINGER7900@GMAIL.COM_____.GRANIT

Обновление от 26 декабря 2017:
Email: hamil8642@gmail.com
Расширение по шаблону: 
!____hamil8642@gmail.com___.GRANIT

Обновление от 24 марта 2017:
Email: tokico767@gmail.com.adamant
Пример темы >>
Результаты анализов: HA+VT

Обновление: апрель 2017:
Email: edgar4000@protonmail.com
Пример темы >>
Расширение по шаблону: 
edgar4000@protonmail.com____.granit
Email: edgar4000@protonmail.com

Обновление от 5 июня 2017:
Расширение: ________DILIGATMAIL@tutanota.com________.pgp
Ссылка на топик >>

Обновление от 18 июня - 15 августа 2017:
Пост в Твиттере >>
Расширение по шаблону: 
!______DILIGATMAIL7@tutanota.com______.OTR
Email: diligatmail7@tutanota.com
Результаты анализов: HA+VT

Обновление от 23 августа 2017:
Расширение по шаблону:  
!______PIFAGORMAIL@tutanota.com______.SPG
Email: PIFAGORMAIL@tutanota.com
Примеры зашифрованных файлов: 
Анкета.docx!______PIFAGORMAIL@tutanota.com______.SPG
Resume.docx!______PIFAGORMAIL@tutanota.com______.SPG

Обновление от 12 сентября 2017:
Расширение по шаблону: _______PIFAGORMAIL@tutanota.com_____.rar
Email: PIFAGORMAIL@tutanota.com

Обновление от 20 сентября 2017:
Пост в Твиттере >>
Расширение по шаблону: !_____INKASATOR@TUTAMAIL.COM____.ANTIDOT
Email: INKASATOR@TUTAMAIL.COM
Результаты анализов: VT

Обновление от 20 сентября 2017:
Пост в Твиттере >>
Расширение по шаблону: !-=solve a problem=-=grandums@gmail.com=-.PRIVAT66
Email: grandums@gmail.com
Результаты анализов: VT

Обновление от 20 сентября 2017:
Пост в Твиттере >>
Расширение по шаблону: !==solve a problem==stritinge@gmail.com===.SENRUS17
Email: stritinge@gmail.com
Сумма выкупа: 1 BTC
Результаты анализов: VT

Обновление от 10 октября 2017:
Пост в Твиттере >>
Расширение по шаблону: !_____FIDEL4000@TUTAMAIL.COM______.biz
Email: FIDEL4000@TUTAMAIL.COM
Результаты анализов: VT

Обновление от 17 октября 2017:
Пост в Твиттере >>
Файлы: dead rdp.exe, RarYBiHI.exe
Расширение: !____________DESKRYPT@TUTAMAIL.COM________.rar
Email: DESKRYPT@TUTAMAIL.COM
Результаты анализов: VT


Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 ID Ransomware
 Topic on BC
 Topic on KC
  Thanks: 
  Michael Gillespie
  mike 1, thyrex
  and victims in the topics of support
  *

© Amigo-A (Andrew Ivanov): All blog articles.

Ishtar

Ishtar Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует связаться с вымогателями по email, чтобы вернуть файлы. В среднем сумма выкупа, по сообщениям пострадавших, составляет 15 тысяч рублей. Название получил от используемого вымогателем слова ISHTAR. 

© Генеалогия: Ishtar. Начало.

К зашифрованным файлам добавляется приставка ISHTAR- . Таким образом файл image.jpg после шифрования станет файлом ISHTAR-image.jpg

Первая активность этого криптовымогателя пришлась на конец октября 2016 г., но продолжается на протяжении ноября. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает ему атаковать и иноязычных пользователей. 

Записка с требованием выкупа написана сразу на двух языках (русском и английском) и называется: README-ISHTAR.txt

Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. 
If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.

Содержание записки о выкупе:
 ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ youneedmail@protonmail.com
 ЛИБО НА
 BM-NBYR3ctSgr67iciT43rRNmHdHPAYBBK7 ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/

 БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
 > Стандартный порядок шифрования: AES 256 + RSA 2048.
 > Для каждого файла создается уникальный AES ключ.
 > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
 -----
 TO DECRYPT YOUR FILES PLEASE WRITE TO youneedmail@protonmail.com
 OR TO
 BM-NBYR3ctSgr67iciT43rRNmHdHPAYBBK7 USING BITMESSAGE DESKTOP OR https://bitmsg.me/

 BASIC TECHNICAL DETAILS:
 > Standart encryption routine: AES 256 + RSA 2048. 
 > Every AES key is unique per file.
 > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).

Распространяется с помощью email-спама и вредоносных вложений, в том числе под видом документов MS Office с макросами, фальшивых обновлений, перепакованных и заражённых инсталляторов.
Ishtar Ransomware заставляет пользователя "исправить" документ

После шифрования теневые копии файлов удаляются командой:
cmd.exe /c vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .accdb, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpeg, .jpg, .kdb, .kdc, .layout, .lbf, .lrf, .ltx, .lvl, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mddata, .mdf, .mef, .menu, .mlx, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .qdf, .qic, .r3d, .raf, .rar, .raw, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sid, .sidn, .sie, .sis, .slm, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb,.t12, .t13, .tax, .tor, .txt, .upk, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (168 расщирений).

Файлы, связанные с Ishtar Ransomware:
%User_name%/AppData/Roaming/winishtar.exe - исполняемый файл шифровальщика
ishtar_ransomware.exe - исполняемый файл шифровальщика (23-24 ноября)
%User_name%/AppData/Roaming/<ransom_name>.exe - копия исполняемого файла
%User_name%/AppData/Roaming/<ransom_name>.tmp
%APPDATA%\<random>.exe - копия исполняемого файла
%APPDATA%\<random>.tmp
C:\README-ISHTAR.txt - записка о выкупе
%AppData%\Roaming\README-ISHTAR.txt - копия записки о выкупе
C:\ISHTAR.DATA - уникальный файл-ключ для ПК с Windows 7 и выше
%AppData%\ISHTAR.DATA - тот же уникальный файл-ключ для ПК с Windows 7 и выше
%AppData%\Roaming\ISHTAR.DATA - копия уникального ключа для ПК с Windows 7 и выше
C:\Documents and Settings\<USER>\Application Data\ISHTAR.DATA - файл-ключ для ПК с Windows XP
%USERPROFILE%\Desktop\Ishtar_ransomware.docx
%APPDATA%\Microsoft\Templates\~$Normal.dotm
Anketa sotrudnikov pretend na povushenie.exe - пример вредоносного вложения
Счет_отправлено_контрагенту_22_11.exe - пример вредоносного вложения

Записи реестра, связанные с Ishtar Ransomware:
См. ниже гибридный анализ. 

Сетевые подключения и связи:
хттп://5.189.156.184/files_rec/gate_rec.php
хттпs://bitly.com (67.199.248.11:80) (США)
www.google.ru (216.58.210.3) (США)
хттп://46.45.138.138/pw/gate.php (Турция) - 23-24 ноября

Результаты анализов:
Гибридный анализ >> 
Гибридный анализ от 23-24 ноября >>
VirusTotal анализ >>
VirusTotal анализ ещё >>
VirusTotal анализ от 24 ноября >>
Гибридный анализ от 15 декабря >>
VirusTotal анализ от 15 декабря >>

Степень распространённости: высокая.
Подробные сведения собираются.


Обновление от 2 февраля:
Email: youneedmail@bitmai.la
Записка: 
# TO DECRYPT YOUR FILES PLEASE WRITE TO youneedmail@bitmai.la
# OR TO
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV 

USING BITMESSAGE DESKTOP OR https://bitmsg.me/ 
Злоумышленники не отвечают пострадавшим. 


Обновление от 27 февраля 2017:
Email: youneedhelp@mail2tor.com


Обновление от 30 мая 2017:
Записка: 
Email: support4you@protonmail.#


Обновление от 10 мая 2017:

Записка: README-ISHTAR.txt
Email: youneedhelp@mail2tor.com
BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV
<< Скриншот записки о выкупе





Обновление от 30 мая 2017:
Записка: README-ISHTAR.txt
Email: support4you@protonmail.com
BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV
<< Скриншот записки о выкупе







 Read to links: 
 Tweet on Twitter
 Topic of Support
 *
 Thanks: 
 Michael Gillespie
 Jakub Kroustek
 mike 1 (за список расширений)
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 30 октября 2016 г.

MasterBuster

MasterBuster Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует заполнить онлайн-форму в Google Docs, чтобы вернуть файлы. В течении 10 дней нужно заплатить выкуп в 3500 рупий. Если пройдёт больше времени, то сумма выкупв возрастёт до 5000 или 10000 рупий. Оригинальное название: MasterBuster. Разработка: DarkWing020 

© Генеалогия: HiddenTear >> MasterBuster

К зашифрованным файлам добавляется расширение .hcked.
Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на бенгалоязычных пользователей (бенгальцы живут в Индии и Бангладеш).

Записки с требованием выкупа называются: 
READ_THIS_FILE_IMPORTANT.txt 

Содержание записки о выкупе:
IMPORTANT!!!!
Apnar Computer er shokol gurottopurno file encrypt kora hoyeche. 
KONO FILE TOUCH KORBEN NA!
Amra shokol file recover kore dibo.
Jebhabe apnar file recover korben: -
1) Ei link e jan: 
- http://goo.gl/forms/VftoBRppkJ
2) Form fill-up korun.
3) 24 hours er moddhe apnar email + mobile SMS a shokol dhoroner instructions chole jabe.
Thank you!
DarkWing020

Перевод записки на русский язык (перевод Автора блога):
ВАЖНО!!!!
Все ваши компьютерные файлы были зашифрованы.
НЕ ИЗМЕНЯЙТЕ НИКАКИЕ ФАЙЛЫ!
Мы можем восстанавить все файлы.
Как восстановить файлы: -
1) Перейдите по этой ссылке:
- http://goo.gl/forms/VftoBRppkJ
2) Заполните форму выше.
3) За 24 часа на ваш email + мобильный SMS придут инструкции по решению проблемы. 
Спасибо!
DarkWing020

Требуется также заполнить онлайн-форму в Google Docs (на бенгальском и частично английском языках).

Содержание (основная часть):
Files Recovery Process - DarkWing020
আপনাকে যদি এই ফর্মটি ফিলাপ করতে বলা হয়ে থাকে, তাহলে আপনার কম্পিউটার এর সকল ফাইল আমাদের সফটওয়্যার দ্বারা লক হয়েছে। ভয় পাবেন না!! এই ফর্মটি পূরণ করার মাধ্যমে আপনি আপনার ফাইলগুলো খুব সহজেই কোনো সমস্যা ছাড়াই ফিরে পেতে পারেন!! English/Bangla অথবা Banglish এ (ইংরেজি অক্ষরে বাংলা লেখা) ফর্মটি ফিলাপ করুন। আপনাকে জরিমানার মোট পরিমাণ এবং টাকা জমা দেয়ার নিয়ম ইমেইল এবং মোবাইলে জানানো হবে।
* মূল জরিমানার পরিমাণ ৩,৫০০ টাকা।
* ১০ দিনের বেশি অতিবাহিত হলে অতিরিক্ত ৫,০০০ থেকে ১০,০০০ টাকা জরিনামা করা হবে।
* ২০ দিনের বেশি অতিবাহিত হলে ফাইল রিকভার করা সম্ভব নয়।
## অসম্পুর্ণ অথবা ভুল তথ্য দিয়ে পূরণ করা ফর্ম বাতিল বলে গণ্য হবে।
## যেখান থেকে আক্রান্ত হয়েছেন সেখানে বাজে কমেন্ট করবেন না। আবারও বলছি, সেখানে বাজে কমেন্ট করবেন না। বাজে কমেন্ট করা হলে আমরা কোনোভাবেই ফাইল ফিরিয়ে দেব না। ভালো কমেন্ট করবেন। না পারলে দুরে থাকবেন।
## ফর্ম পূরণ এর ২৪ ঘন্টার মধ্যে আপনার সাথে ইমেইলে এবং মোবাইল ফোনে যোগাযোগ করা হবে। যোগাযোগের 24 ঘন্টার মধ্যে উল্লেখ করা মাধ্যমে টাকা প্রেরণ করা না হলে ভবিষ্যতে ফাইল রিকভার করা হবে না। রিকভার করা হলেও ২০,০০০ টাকা জরিমানা করা হবে।
* Required
আপনার ফাইল কত দিন আগে লক করা হয়েছে? *
"আজকেই" অথবা যতদিন আগে লক করা হয়েছে তা লিখুন। (যেমনঃ- ৭ দিন)
আপনার কম্পিউটারের নাম কি? *
"Windows Key এবং R" একসাথে চাপুন -> বক্স এ cmd লিখে enter চাপুন -> hostname লিখে enter চাপুন। আপনার কম্পিউটারের নাম পেয়ে যাবেন।
আনুমানিক কত Gigabyte (GB) ফাইল লক করা হয়েছে? *
আপনার ফাইলগুলো কতটুকু গুরুত্বপুর্ন? *
  মোটামোটি
 বেশি
 খুবই বেশি
কিভাবে পেমেন্ট করতে চান? *
আমরা আমাদের সুবিধামত পেমেন্ট মেথড চেঞ্জ করব।
  Bkash
  Dutch-Bangla Mobile Bank
  Other: 
আপনার মোবাইল নাম্বার *
আগামী ২৪ ঘন্টা খোলা রাখবেন। SMS অথবা Phone Call দেয়া হবে।
আপনার Email Address *
আগামী ২৪ ঘন্টার মধ্যে চেক করবেন।
আমাদেরকে কি আর কিছু জানাতে চান?
আপনার অনুরোধ, বক্তব্য, অভিযোগ লিখুন।
Done

Перевод онлайн-формы на русский язык:
Процесс восстановления файлов - DarkWing020
Если вас просят заполнить эту форму, то все файлы на вашем компьютере были заблокировани нашим программным обеспечением. Не бойтесь!! Заполнив эту форму, вы можете  легко получить ваши файлы обратно, без каких-то проблем!! Английский / Bangla или Banglish (латинские буквы, написанные на бенгальском языке) и заполнив форму. Вы размещаете общую сумму штрафа и будете уведомлены по email и телефону.
* Сумма первоначального штрафа в размере 3500 рупий. 
* Если вы потратили больше 10 дней, оплата возрастет от 5000 до 10000 рупий. 
* 0 дней прошло, не представляется возможным восстановить файл.
## Неполная или неправильная информация заполненная в форме будет отклонена. 
## Плохие комментарии не комментируем. Принимаем неплохие комментарии. Если мы не восстановим файл в любом случае плохой комментарий. Хороший комментарий, если вы не можете остаться в стороне. 
## 4 часа, чтобы заполнить форму с вашим email и мобильным телефоном для связи. Сообщения, отправленные за 24 часа, если вы не укажете деньги не будут восстановлены в будущем файле. 0,000 восстановления, но будет оштрафован.
* Обязательно
Как долго ваши файлы заблокированы? *
"Сегодня" или введите "Дни блокировки". (Пример: 7 дней)
Какое имя вашего компьютера? *
Нажмите вместе Windows Key и R" -> в поле введите CMD и нажмите Enter -> введите hostname и нажмите Enter. Вы получите имя вашего компьютера.
Сколько гигабайтов (ГБ) файлов заблокировано? *
Сколько важных файлов? *
 немного 
 много
 очень много 
Как оплатить? *
Можно выбрать способ оплаты.
 Bkash
 Dutch-Bangla Mobile Bank
 Другое: 
Номер вашего мобильного телефона *
Проверяйте ближайшие 4 часа. Будет послана SMS или звонок.
Ваш email-адрес
Проверяйте почту следующие 4 часа.
Что еще вы хотите рассказать нам?
Ваш запрос, например, написать жалобу.
 Готово

Распространяется с помощью email-спама и вредоносных вложений, в том числе под видом PDF-документов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Шифрованию подвергаются файлы в следующих директориях:
%DriveLetter%
%SystemDrive%\users\public
%UserProfile%\Documents
%UserProfile%\Downloads

%UserProfile%\Desktop

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3gp, .7z, .accdb, .apk, .app, .asp, .aspx, .avi, .bat, .bin, .bmp, .css, .csv, .dmg, .doc, .docx, .dwg, .dxf, .fla, .flac, .flv, .gem, .html, .ipa, .iso, .jar, .jpeg, .jpg, .js, .m4a, .mdb, .mdf, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .ogg, .pdf, .php, .png, .pps, .ppt, .pptx, .psd, .py, .rar, .rom, .rtf, .sav, .sln, .sql, .swf, .swift, .txt, .vb, .wav, .wmv, .xls, .xlsx, .xml, .zip (65 расширений). 

Файлы, связанные с MasterBuster Ransomware:
MasterBuster.exe
READ_THIS_FILE_IMPORTANT.txt 

Записи реестра, связанные с MasterBuster Ransomware:
См. ниже в гибридном анализе. 

Сетевые подключения:
хттп://decrypt.ez.lv/
decrypt.ez.lv/ddrt/write.php?info=
хттп://goo.gl/forms/VftoBRppkJ
docs.google.com/forms/d/1dUrtnhlouJBZKyJjPU4x_nvbXO2jkd8vf7nkI_7DOl0/viewform



Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Ransom.Masterbuster >>

Степень распространённости: пока не определена.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Symantec Security Response
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Amigo-A :)
 Symantec Security Response

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 29 октября 2016 г.

JackPot

JackPot Ransomware


  Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 3 биткоина, чтобы вернуть файлы, хотя никакой контакт для связи не указан. Название дано вымогателями. Оригинальное название: jack.pot. 

© Генеалогия: не определена

К зашифрованным файлам добавляется расширение .coin

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Запиской с требованием выкупа выступает скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
***jack.pot***
All your important files are encrypted.
To decrypt your files, pay 3.0 BTC ~ = 830 USD to the Bitcoin address:
Lu2KeU9p108ReOqdamoWAxhxC1iMCI9bjs4

Перевод записки на русский язык:
***jack.pot***
Все твои важные файлы зашифрованы.
За расшифровку файлов плати 3.0 BTC ~ = 830 дол. на Bitcoin-адрес:
Lu2KeU9p108ReOqdamoWAxhxC1iMCI9bjs4



Примечательно, что указанный вымогателями адрес относится к криптовалюте LiteCoin, а не Bitcoin. Еще примечательно, что вымогатели даже не указали контактного email-а. Это говорит о том, что их цель — только получение денег. Ни о какой дешифровке и возвращении данных не стоит и мечтать. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с JackPot Ransomware:
RansomWare.exe

Записи реестра, связанные с JackPot Ransomware:
См. ниже в гибридном анализе. 

Сетевые подключения:
52.58.55.93:80

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Litecoin and Bitcoin?
 TrendMicro blog
 Thanks: 
 Karsten Hahn
 TrendMicro
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Onyx

Onyx Ransomware


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название получил от надписи "Onyx" на изображении. Оригинальное название: ScreenLocker. 

© Генеалогия: выясняется

Активность этого вымогателя пришлась на октябрь 2016 г. Ориентирован на грузинских пользователей.

Запиской с требованием выкупа выступает изображение с текстом на грузинском языке.

Пользуясь случаем, я перевёл её содержание с грузинского на русский. 

Содержание записки о выкупе:
თქვენი ყველა არსებული ფაილი დაიშიფრა,
მაგრამ, ნუ ღელავთ, ისინი არ წაგიშლია. (ჯერჯერობით)
თქვენ გაქვთ 24 საათი რომ გადაიხადოთ 100$.
თანხა უნდა ჩარიცხოთ მითითებულ გიტკოინის ანგარიშზე.
წინააღმდეგ შემთხვევაში ყველა ფაილი განადგურდება.
არ გამორთოთ კომპიუტერი, ან/და არ ეცადოთ ჩემს გათიშვას.
თითო დაუმორჩილებლობაზე წავშლი 100 ფაილს.

Перевод записки на русский язык (автор перевода Amigo-A):
Все ваши файлы были зашифрованы,
но, не волнуйтесь, они не были удалены. (до сих пор)
У вас есть 24 часа, чтобы заплатить $100.
Деньги переведите в указанный Bitcoin-кошелек.
В противном случае все файлы будут уничтожены.
Не выключайте компьютер и/или не пытайтесь меня выключить.
При неповиновении будут удалены 100 файлов.

Translations into English:
All your files are encrypted,
but do not worry, they have not been removed. (for now)
You have 24 hours to pay $100.
Money move to the specified Bitcoin-account.
Otherwise, all files will be destroyed.
Do not turn off the computer and/or do not attempt to disable me.
When disobedience will be deleted 100 files.

Видимо пока находится в разработке, т.к. никаких контактов, в том числе и биткоин-адреса, не указано. Видно, что проект создавался как блокировщик, а не как шифровальщик, хотя одно другому не мешает.  

Распространяться может с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Файлы, связанные с Onyx Ransomware:
ScreenLocker.exe
файл изображения

Записи реестра, связанные с Onyx Ransomware:
См. ниже в гибридном анализе. 

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *
 Thanks: 
 Karsten Hahn
 Amigo-A :)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

IFN643

IFN643 Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $1000 в биткоинах, чтобы вернуть файлы. Название получил от добавляемого расширения и указано в коде вымогательского проекта. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение .ifn643.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются:
IFN643_Malware_Readme

Содержание записки о выкупе:
Your most critical files have been encrypted :) 
Send $1000 in Bitcoin to udKNOr3FVaibcNY9ygVhygNfdKIojmVA93A if you need them back.

Перевод записки на русский язык:

Твои самые важные файлы зашифрованы :) 
Отправь $1000 в биткоинах на udKNOr3FVaibcNY9ygVhygNfdKIojmVA93A если тебе они нужны назад.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
В первую очередь файлы документов MS Office. 

Файлы, связанные с IFN643 Ransomware:
spoolpdf.anti.exe
spoolpdf.exe
<random_name>.exe
C:\IFN643_Malware_Readme

Записи реестра, связанные с IFN643 Ransomware:
См. гибридный анализ ниже. 

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *