суббота, 17 декабря 2016 г.

Fake Globe

Fake Globe Ransomware: 

GlobeImposter, GlobeImposter 2.0

(группа шифровальщиков-вымогателей)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название получил из-за подражания крипто-вымогателю Globe.

Название GlobeImposter (Globe-самозванец) получил из-за присвоения "фирменной" записки о выкупе у семейства Globe. Цель: запугать жертв, запутать исследователей, дискредитировать программы дешифрования, выпущенные для Globe-семейства. Таким образом, все подражатели под Globe, не дешифруются утилитами дешифрования, выпущенными для Globe 1-2-3, потому получили условное название GlobeImposter и GlobeImposter 2.0. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt

У других итераций семейства GlobeImposter к зашифрованным файлам добавляются также следующие расширения:
.bad
.BAG
.FIX
.FIXI
.legally
.keepcalm
.pizdec
.virginlock
.[byd@india.com]SON
.[xalienx@india.com]
.<[ransom_email]>
.<random_numbers{3-4}>
.<random_chars{3-5}>

Из-за отсутствия подробных исследований этого семейства (подсемейства) вымогателей, в списке обновлений и расширений возможны нестыковки и ошибки. 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных и русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа позаимствованы вымогателями у Globe Ransomware и называются также HOW_OPEN_FILES.hta. Разбрасываются в каждой папке с зашифрованными файлами. 
Содержание записки может копироваться из других вымогателей, чтобы запутать идентификацию.
Fake Globe Ransomware шифровальщик HOW_OPEN_FILES.hta
Содержание записки о выкупе:
Your files are encrypted!
Your personal ID
***
All your important data has been encrypted. To recover data you need decryptor.
To get the decryptor you should:
pay for decrypt:
site for buy bitcoin:
Buy 1 BTC on one of these sites
1. https://localbitcoins.com 
2. https://www.coinbase.com 
3. https://xchange.cc
bitcoin adress for pay:
jlHqcdC83***:
Send 1 BTC for decrypt
After the payment:
Send screenshot of payment to alex_pup@list.ru . In the letter include your personal ID (look at the beginning of this document).
After you will receive a decryptor and instructions
Attention!
• No Payment = No decryption
• You realy get the decryptor after payment
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный ID
***
Все ваши важные данные были зашифрованы. Для восстановления данных вам нужен дешифратор.
Чтобы получить дешифратор вы должны:
заплатить за расшифровку:
сайт для покупки Bitcoin:
Купить 1 BTC на одном из этих сайтов
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://xchange.cc
Bitcoin-адрес для оплаты:
jlHqcdC83***:
Отправить 1 BTC за расшифровку
После оплаты:
Отправить скриншот оплаты на alex_pup@list.ru . В письме указать свой личный ID (смотрите в начале этого документа).
После этого как вы получите дешифратор и инструкции
Внимание!
• Нет оплаты = Нет дешифрования
• Вы реально получаете декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самостоятельного дешифрования данных приведут к потере ваших данных
• Декодеры других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов и вредоносной рекламы, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bat, .bmp, .chm, .dat, .db, .DeskLink, .dll, .doc, .docx, .dtd, .exe, .h, .ico, .ini, .jpg, .jpeg, .lnk, .log, .MAPIMail, .msi, .ppt, .pptx, .py, .shw, .txt, .url, .wav, .wb2, .wma, .wmdb, .wpl, .xls, .xlsx, .xml (34 расширения).
Это могут быть документы MS Office, PDF, базы данных, фотографии, музыка, видео и пр.

Пропускаются файлы с расширениями: .hta, .wpd, .csv, .bin

Файлы, связанные с этим Ransomware:
<random>.bat
<random>.exe
HOW_OPEN_FILES.hta
подтверждение.exe - вредоносное вложение с названием на русском языке

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
Email: alex_pup@list.ru
Email в обновлениях:
keepcalmpls@india.com
happydaayz@aol.com
strongman@india.com
byd@india.com
xalienx@india.com
511_made@cyber-wizard.com
btc.me@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> 
Malwr анализ >>

Степень распространённости: средняя.

Подробные сведения собираются регулярно.

Обновление от 15 февраля 2017:
Файл: 2-0.5.exe
Результаты анализов: VT

Обновление от 13 марта 2017:

Пост в Твиттере >>
Файлы: <random>.exe, %TEMP%\qfjgmfgmkj.tmp
Записка: how_to_recover_files.html
Расширение: .pizdec
Результаты анализов: HA+VT
Проверяет наличие антивирусов: 
COMODO, Kaspersky Lab, McAfee, Avira, Avast, Symantec
<< Скриншот записки

Обновление от 11 апреля 2017:
Считается как GlobeImposter 2.0
Расширение: .FIX
Email: happydaayz@aol.com и strongman@india.com
Записка: how_to_recover_files.html
Тема поддержки >> https://www.bleepingcomputer.com/forums/t/644166/globeimposter-20-fix-extension-ransomware-support-topic/
Содержание записки:
YOUR FILES ARE ENCRYPTED!
Your personal ID
*****
All your files have been encrypted due to a security problem with your PC.
To restore all your files, you need a decryption.
If you want to restore them, write us to the e-mail happydaayz@aol.com.
Or you can, write us to the e-mail strongman@india.com.
In a letter to send Your personal ID (see In the beginning of this document).
You have to pay for decryption in Bitcoins.
The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
In the letter, you will receive instructions to decrypt your files!
In a response letter you will receive the address of Bitcoin-wallet, which is necessary to perform the transfer of funds.
HURRY! Your personal code for decryption stored with us only 72 HOURS!
Our tech support is available 24 \ 7
Do not delete: Your personal ID
Write on e-mail, we will help you!
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 10Mb.
When the transfer is confirmed, you will receive interpreter files to your computer.
After start-interpreter program, all your files will be restored.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it nay cause permanent data loss.
Decryption of your files with the help of third parties nay cause increased price (they add their fee to our) or you can become a uictim of a scam.
Do not attempt to remoue the program or run the anti-uirus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders are not compatible with other users of your data, because each user’s unique encryption key

Обновление от 1 мая 2017:
Пост в Твиттере >>
Считается как GlobeImposter 2.0
Расширение: .keepcalm
Email: keepcalmpls@india.com
Результаты анализов: VT

Обновление от 2 мая 2017:
Считается как GlobeImposter 2.0 (здесь и далее)
Расширение: .FIXI
Email: happydaayz@aol.com и strongman@india.com
Записка: HOW TO DECRYPT FILES.TXT
Содержание записки:
*текст аналогичен, как в записке от 11 апреля* (см. выше). 

Обновление от 3 мая 2017:
Пост в Твиттере >>
Записка: how_to_back_files.html
Расширение: .crypt

Примеры зашифрованных файлов:
eWQUeJ.docx.crypt
EvYOiAGP.xlsx.crypt
eEx8lzjWqStr2.pdf.crypt
<< Скриншот записки



Обновление от 9 мая 2017:
Пост в Твиттере >>
GlobeImposter 2.0
Расширение: .vdul
Email: 511_made@cyber-wizard.com
BTC: 1GvgRRnLpUP7KsLZLE23ridD45MUxHoAJ4
Результаты анализов: HA+VT

Обновление от 9 мая 2017:
Пост в Твиттере >>
GlobeImposter 2.0
Расширение: .2cXpCihgsVxB3
Email: btc.me@india.com, BM-2cXpCihgsVxB31uLjALsCzAwt5xyxr467U@bitmessage.ch
BTC: 1MDfQMYSF586GMjwEYxnesAcRhsobEd4BD
Результаты анализов: HA+VT

Обновление от 18 июня 2017:
Пост в Твиттере >>
Записка: how_to_back_files.html
Расширение: .virginprotection
Email: filesopen@yahoo.com
openingfill@hotmail.com
Результаты анализов: VT
Скриншоты записки >>


Обновление от 11 июля 2017:
Расширение: .707
Пост в Твиттере >> 
Записка: RECOVER-FILES.html
Результаты анализов: VT

Обновление от 17 июля 2017:
Пост в Твиттере >> 
Расширение: .s1crypt
Email: laborotoria@protonmail.ch
Записка: how_to_back_files.html
Результаты анализов: VT, VT
<< Скриншот записки и заш-файлы. 


Обновление от 17 июля: 
Пост в Твиттере >>
Расширение: .au1crypt
Записка: how_to_back_files.html
<< Скриншот записки и заш-файлы
Примеры файлов: 
Июль - новый документ.scr
Копия за июль.scr
DOCU11072017 - отчет.scr
Email: summerteam@tuta.io и summerteam@india.com
Результаты анализов: HA+VT

Обновление от 21 июля 2017: 
Пост в Твиттере >>
Расширение: .GOTHAM
Записка: how_to_back_files.html
Файлы: <random>.tmp.bat
Результаты анализов: HA+VT

Обновление от 21 июля 2017: 
Пост в Твиттере >>
Расширение: .crypt
Записка: how_to_back_files.html 
Email: support24@india.com
support24_02@india.com
Результаты анализов: HA+VT



Обновление от 21 июля 2017: 
Пост в Твиттере >>
Расширение: .HAPP
Записка: how_to_back_files.html
Email: happydaayz@aol.com
strongman@india.com
Результаты анализов: HA+VT






Обновление от 24 июля 2017:
Пост в Твиттере >>
Расширение: .{asnaeb7@india.com}.BRT92
Записка: #HOW_DECRYPT_FILES#.html
Email: asnaeb7@india.com
asnaeb7@yahoo.com
Результаты анализов: HA+VT
<< Скриншот экрана с запиской и файлами


Обновление от 29 июля 2017:
Пост в Твиттере >>
Записка: RECOVER-FILES.HTML
Расширение: .725

Обновление от 31 июля 2017:
Статья на английском >>
Записка: !back_files!.html
Расширение: .crypt
Email: oceannew_vb@protonmail.com
Email-вложение: EMAIL_[RandomNumbers]_[RecipientName].zip
Например: EMAIl_877821_Bleeping.zip
Содержание архива: EMAIL_877821_Bleeping.zip -> 871231.zip -> msaSh.js
Exe-файл подписан ворованным сертификатом, выданным на thawte.
Вредоносная кампания: Blank Slate
URLs: xxxx://filmcoffee.win/support.php?f=1.dat
xxxx://cabeiriscout.faith/support.php?f=1.dat
xxxx://scenetavern.win/support.php?f=1.dat
xxxx://hallvilla.win/support.php?f=1.dat
Содержание записки:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail oceannew_vb@protonmail.com in body of your message write your ID
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Your personal ID
76 DC F5 69 B5 7B F2 22 57 ***

Обновление от 6 августа 2017:
Пост в Твиттере >>
Расширение: .mtk118 
Записка: how_to_back_files.html
Email: Lockyhelper@cyber-wizard.com
lockyhelper@protonmail.com
Результаты анализов: HA+VT
<< Скриншот записки




Обновление от 7 августа 2017:
Пост в Твиттере >>
Расширение: .crypt 
Записка на русском языке: how_to_back_files.html
Email: alfatozulu@tutanota.com
alfatozulu@mail.ru
<< Скриншот записки






Обновление от 7 августа 2017:
Пост в Твиттере >>
Расширение: .coded 
Записка: how_to_back_files.html
Email: Decoder_master@aol.com
Decoder_master@india.com
Файл: HPLaserJetService.exe
Результаты анализов: HA+VT
<< Скриншот записки



Обновление от 7 августа 2017:
Пост в Твиттере >>
Расширение: .astra
Записка: here_your_files!.html 
Tor: xxxx://cr7icbfqm64hixta.onion
Результаты анализов: HA+VT
<< Скриншот записки




Обновление от 7 августа 2017:
Пост в Твиттере >>
Расширение: .492
Записка: here_your_files!.html
Email: file_free@protonmail.com
koreajoin69@tutanota.com
<< Скриншот записки




Обновление от 8 августа 2017:
Ссылка на MTA >>
Расширение: ..txt
Записка: Read_ME.html
<< Скриншот записки
Еще скриншоты в Твиттере >>Результаты анализов: HA+VTВидеоролик от GrujaRS CyberSecurity‏ >>

Обновление от 10 августа 2017:
Пост в Твиттере >>
Расширение: .rumblegoodboy
Файл: System.exe
Результаты анализов: HA+VT
<< Скриншот записки




Обновление от 12 августа 2017:
Пост в Твиттере >>
Расширение: .0402
Записка: !SOS!.html
URL: xxxx://dancediner.trade***
Tor: xxxx://cr7icbfqm64hixta.onion
xxxxs://cr7icbfqm64hixta.onion.to
xxxxs://cr7icbfqm64hixta.onion.link
xxxx://cr7icbfqm64hixta.onion.rip
Результаты анализов: HA+VT
<< Скриншот записки


Обновление от 12 августа 2017:
Пост в Твиттере >>
Расширение: .trump
Email: Donald_Trump@derpymail.org
happydaayz@aol.com
<< Скриншот записки








Обновление от 14 августа 2017:
Пост в Твиттере >>
Расширения: .D2550A49BF52DFC23F2C013C5, .zuzya, .UNLIS, .LEGO


Обновление от 14 августа 2017:
Пост в Твиттере >>
Расширения: .GRANNY, .granny
Email: crazyfoot_granny@aol.com
crazyfoot_granny@india.com
Скриншот записки >>




Обновление от 17 августа 2017:
Пост в Твиттере >>
Расширение: .{saruman7@india.com}.BRT92 
Записка: #DECRYPT_FILES#.html
Email: saruman1@india.com
saruman1@yahoo.com
Результаты анализов: HA+VT
<< Скриншот записки






Обновление 22 августа 2017:
Расширение: .rumblegoodboy
Записка: how_to_back_files.html
Файлы: System.exe
Email: BlackMajor@protonmail.com

Результаты  анализов: HA+VT







Обновление от 26 августа 2017:
Расширение: .lock
Результаты анализов: VT

Обновление от 26 августа:
Расширения: .needdecrypt и .write_on_email
Пост в Твиттере >>


Обновление от 31 августа 2017:
Пост в Твиттере >>
Расширение: .BUSH
Email: George_Bush@derpymail.org

Обновление от 1 сентября:
Расширение: .f1crypt

Обновление от 4 сентября:
Пост в Твиттере >>
Расширение: .clinTON
Email: Bill_Clinton@derpymail.org
Сумма выкупа: 0.5 BTC
Дешифровщик даже после оплаты не присылают. 
Тема на форуме BC >> 







Обновление от 5 сентября: 
Расширение: .nopasaran
Email: youdecrypted@india.com

Обновление от 6 сентября 2017:
Пост в Твиттере >>
Записка: !SOS!.html
Расширение: .911

Обновление от 6 сентября 2017:
Пост в Твиттере >>
Вредонос подписан ЭЦП, выданной Comodo
Расширение: .f41o1
Записка: READ_IT.html
Tor: cr7icbfqm64hixta.onion
<< Скриншот записки




Обновление от 8 сентября 2017:
Пост в Твиттере >>
Расширения: .YAYA,  .needkeys,  .nWcrypt

Обновление от 12 сентября 2017:
Пост в Твиттере >>
Расширение: .reaGAN
Email: Ronald_Reagan@derpymail.org




 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GlobeImposter, GlobeImposter 2.0)
 Write-up
 *
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams 
 xXToffeeXx
 Marcelo Rivero

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *