вторник, 17 октября 2017 г.

LockeR

LockeR Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $10000 в BTC (на момент публикации статьи это было ~1.789), чтобы вернуть файлы. Оригинальное название: LockeR. Указано на Tor-сайте. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [How_To_Decrypt_Files].txt

Содержание записки о выкупе:
What happened to my files ?
All of your important files were encrypted using a combination of RSA-2048 and AES-256.
What does this mean ?
This means that your files were modified in a way that makes working with them impossible, unless you have the keys to decrypt them.
Is it possible to recover my files ?
Yes, it possible to get your files back, you'll need a special program (decryptor) and the private key of the key pair used to encrypt them.
How can I get the decryptor and the private key ?
You can buy both of them in any of the links below. Just visit one of them and follow the instructions.
xxxx://lockerrwhuaf2jjx.onion.link/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.gq/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.to/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.top/1820-LOANER_4F2***
If you cannot access the site from any of the addresses above, you can follow the instructions below to access the site using the Tor Browser.
Download the Tor Browser Bundle here: xxxxs://www.torproject.org.
Execute the file you downloaded to extract the Tor Browser into a folder on your computer.
Then simply open the folder and click on "Start Tor Browser".
Copy and paste the onion address into the address bar: xxxx://lockerrwhuaf2jjx.onion/1820-LOANER_4F2***

Перевод записки на русский язык:
Что случилось с моими файлами?
Все ваши важные файлы были зашифрованы, используя комбинацию RSA-2048 и AES-256.
Что это значит ?
Это значит, что ваши файлы были изменены таким образом, что сделало невозможным работу с ними, если у вас нет ключей для их расшифровки.
Возможно ли восстановить мои файлы?
Да, возможно вернуть ваши файлы, вам понадобится специальная программа (декриптор) и закрытый ключ пары ключей, используемых для их шифрования.
Как я могу получить декриптор и закрытый ключ?
Вы можете купить их оба по любой из приведенных ниже ссылок. Просто посетите одну из них и следуйте инструкциям.
xxxx://lockerrwhuaf2jjx.onion.link/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.gq/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.to/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.top/1820-LOANER_4F2***
Если вы не можете получить доступ к сайту с любого из указанных выше адресов, вы можете выполнить приведённые ниже инструкции для доступа к сайту с помощью Tor-браузера.
Загрузите установщик Tor-браузера здесь: xxxxs://www.torproject.org.
Запустите загруженный файл, чтобы извлечь Tor-браузер в папку на вашем компьютере.
Затем просто откройте папку и нажмите "Start Tor Browser".
Скопируйте и вставьте onion-адрес в адресную строку: xxxx://lockerrwhuaf2jjx.onion/1820-LOANER_4F2***


Вход на Tor-сайт вымогателей, без ввода ID

 1-я (Home) и 2-я (Help) страницы

Содержание текста на страницах:
LockeR
Infection ID
If you have a KEY file, you can upload it using the form below. You can learn more about the machine synchronization in the "Help" page.
---
What is the KEY file ?
It is a storage for the information regarding the infection of your computer, it contains the private key of the key pair used to encrypt your files, along with information to identify your computer.
I don't have a KEY file, how can I synchronize my computer ?
If you don't have a KEY file, your machine is already synchronized, you just need to follow any of the links in the HTML note.
How long does it take for my payment to be confirmed ?
It depends on how much you paid for the transaction fee and how much the network is congested. You can check the average confirmation time clicking here.
I paid a lower value and/or to a different address. What should I do ?
In your personal page, click the "Support" option and open a new ticket. You must say in the message which address you paid to and how many bitcoins you sent.

Перевод текста на страницах:
LockeR
Infection ID
Если у вас есть файл KEY, вы можете загрузить его, используя форму ниже. Подробнее о синхронизации машины вы можете узнать на странице "Help" (Помощь).
---
Что такое файл KEY?
Это хранилище информации о заражении вашего компьютера, оно содержит закрытый ключ от пары ключей, используемых для шифрования ваших файлов, а также информацию для идентификации вашего компьютера.
У меня нет файла KEY, как я могу синхронизировать мой компьютер?
Если у вас нет файла KEY, ваш компьютер уже синхронизирован, вам просто нужно следовать любой из ссылок в HTML-заметке.
Сколько времени нужно на подтверждение моего платежа?
Это зависит от того, сколько вы заплатили на комиссию за транзакцию и насколько перегружена сеть. Вы можете проверить среднее время подтверждения, нажав здесь.
Я заплатил меньше и/или на другой адрес. Что делать?
На своей личной странице нажмите кнопку "Support" (Поддержка) и откройте новый тикет. Вы должны указать в сообщении, на какой адрес вы перевели, и сколько биткоинов отправили.


Tor-сайт вымогателей после ввода ID
 1-я и 2-я страницы
  3-я и 4-я страницы

Содержание текста на 1-й странице:
LockeR
Your files have been encrypted, to recover them you need the private key of the key pair used to encrypt them and the decryptor. You can buy both of them for $10000.00. However, if the payment is not made until 2017-10-22 14:05 UTC, the price for the decryptor and private key will increase to $20000.00.
04 days 22 hours 00 minutes 06 seconds
    1. Register a bitcoin wallet.
    Easiest online wallet or other wallets.
    2. Purchase the required amount of bitcoins.
    There are several ways you can buy bitcoins, you can use bitcoin exchanges, buy directly from people selling near you or using a bitcoin ATM.
    3. Send exactly 1.78910400 BTC ($10000.00) to the address:
    16CAsgKi6BHr2X6GRoGERsvCRmYY8ssmr5 
    The confirmation may take several minutes, please be patient.
    Status: Awaiting payment...
    Expires in: 54:02
    1 BTC ≈ 5587.71 USD
The private key is stored in our server for two months.
---

Перевод текста на страницах:
LockeR
Ваши файлы были зашифрованы, чтобы восстановить их, вам нужен секретный ключ от пары ключей, используемых для их шифрования и дешифратор. Вы можете купить оба из них за $10000,00. Однако, если платеж не будет произведен до 2017-10-22 14:05 UTC, цена на дешифратор и закрытый ключ увеличится до $20000,00.
04 дня 22 часа 00 минут 06 секунд
     1. Зарегистрируйте биткойн-кошелек.
     Самый простой онлайн-кошелек или другие кошельки.
     2. Приобретите необходимое количество биткойнов.
     Есть несколько способов купить биткойны, вы можете использовать обмен биткоинами, купить напрямую у людей, продающих рядом с вами, или с помощью банкомата биткоинов.
     3. Отправьте ровно 1,78910400 BTC (10000,00 долларов США) по адресу:
     16CAsgKi6BHr2X6GRoGERsvCRmYY8ssmr5
     Подтверждение может занять несколько минут, пожалуйста, проявите терпение.
     Статус: Ожидает оплаты ...
     Истекает в: 54:02
     1 BTC ≈ 5587.71 USD
Закрытый ключ хранится на нашем сервере два месяца.
---


Другие Tor-сайты после ввода ID

 На этих сайтах указан другой BTC-кошелек



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
[How_To_Decrypt_Files].txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://lockerrwhuaf2jjx.onion.link/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxxs://lockerrwhuaf2jjx.onion.gq/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxxs://lockerrwhuaf2jjx.onion.to/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxxs://lockerrwhuaf2jjx.onion.top/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxx://lockerrwhuaf2jjx.onion/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxx://wsg3wd4fepljpvwu.onion***
xxxx://xk5perkqaaaoux2v.onion***

BTC-1: 16CAsgKi6BHr2X6GRoGERsvCRmYY8ssmr5
BTC-2: 19zhdzGyptWpts9fPeuMcvzcmXioAopiG1
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Catalin Cimpanu 
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

The Magic

The Magic Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100 евро в BTC, чтобы вернуть файлы. Оригинальное название: THE MAGIC. На файле написано: fattura.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> The Magic

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо, пока находится в разработке. 

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
I tuoi dati personali sono stati cifrati.Saranno irrecuperabili
fino al pagair.ento del riscatto... inutile che tu perda teir. po a
cercare a decriptare i file.. Solo io posso farlo ora segui
questi passaggi per riaverli indietro 
1 Vai sul sito https://localbitcoins.com/ 
2 cerca un venditore di bitcoin 
paga ali indirizzo 1KFgiGhrGMzF2Tqxgvi8UvmNa2GixXRKX8
la cifra di euro 100 se non sai cosa sono i bitcoin leggi qua
xxxxs://www.focusjunior.it/tecnologia/bitcoin-cosa-sono-e-come-funzionano
 o guarda questo xxxxs://www.youtube.com/watch?v=g72aeVoOGLg 
Appena effettui il pagaimento riceverai la chiave per decifrare i dati e portai riavere i dati... 
tutti i dati si distruggeranno per sempre entro 48 ore
Buona fortuna 
THE MAGIC :')

Перевод записки на русский язык:
Этот компьютер взломан
Ваши личные данные были зашифрованы. Они будут непоправимыми
до оплаты выкупа ... бесполезно, что вы теряете деньги. посредством
попробуйте расшифровать файлы. Только я могу это сделать сейчас.
Эти шаги, чтобы вернуть их назад. 
1. Перейти на сайт https://localbitcoins.com/ 
2. Найти продавца биткоинов 
3. Заплатить на адрес 1KFgiGhrGMzF2Tqxgvi8UvmNa2GixXRKX8
сумму в 100 евро
Если вы не знаете, что такое биткоин xxxxs://www.focusjunior.it/tecnologia/bitcoin-cosa-sono-e-come-funzionano или смотреть на это
xxxs://www.youtube.com/watch?v=g72aeVoOGLg 
Как только вы сделаете платеж, вы получите ключ для дешифрования данных и вернете данные ...
Все данные будут уничтожены навсегда через 48 часов
Удачи 
THE MAGIC :')

На обои рабочего стола ставится следующее изображение. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 READ_IT.txt
fattura.exe
hidden-tear.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1KFgiGhrGMzF2Tqxgvi8UvmNa2GixXRKX8
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 16 октября 2017 г.

Tyrant

Tyrant Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $15, чтобы вернуть файлы. Оригинальное название: Tyrant и Crypto Tyrant. На файле написано: DUMB.exe. На уплату выкупа даётся 24 часа. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DUMB > Tyrant

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Текст на персидском языке. Вероятно ориентирован на иранских пользователей, потому имеет узконаправленное распространение. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
С распознаванием арабского текста есть трудности. 
Проще было бы иметь текстовую записку о выкупе. 

Перевод записки на русский язык:
Ваши файлы зашифрованы. У вас есть 24 часа на уплату выкупа в $15 долларов. Дальнейшая сумма выкупа будет зависеть от срока, прошедшего после 24 часов... 
Дешифровщик файлов будет отправлен вам после получения оплаты. Если у вас возникнут вопросы, то свяжитесь с нами по email, мы ответим вам... 
Хвала Аллаху и в будущей жизни!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DUMB.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Callisto x
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 15 октября 2017 г.

ViiperWare

ViiperWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 20 евро, чтобы вернуть файлы. Оригинальное название: ViiperWare. На файле написано: ViiperWare - Ransomware.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> ViiperWare

К зашифрованным файлам добавляется расширение .viiper

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
1.) What happened to my Files?
a. Your Files has been encrypted, what means you're not able to use them anymore until you decrypt them.
2.) Can I recover my Files?
b. Yes of course you can recover them. It's pretty easy to do that but of course it's not free. Just Pay the Price wich is shown below and you will recive your Decryption Key after we recieved the Payment!
3.) How I got infected with this?
c. Probably you tried to Download something Illegal from the Internet or you got scammed by someone. You should ...

Перевод записки на русский язык:
1.) Что случилось с моими файлами?
а. Ваши файлы были зашифрованы, это значит, что вы больше не сможете их использовать, пока не расшифруете их.
2.) Могу ли я восстановить свои файлы?
б. Да, конечно, вы можете их восстановить. Это довольно легко сделать, но, конечно, это не бесплатно. Просто заплатите цену, как показано ниже, и вы получите свой ключ дешифрования после того, как мы получим оплату!
3.) Как я заразился этим?
с. Вероятно, вы пытались загрузить что-то Незаконное из Интернета или кого-то обманули. Вам следует ...



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифрует только файлы в папке \Desktop\Test. Это в первую очередь файлы с расширениями .doc, .jpg, .png.

Список файловых расширений, подвергающихся шифрованию:
После релиза это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ViiperWare - Ransomware.exe

Расположения:
\Desktop\Test
\Temp\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: не определена.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 14 октября 2017 г.

Magniber

Magniber Ransomware

My Decryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.200 BTC, чтобы вернуть файлы. Оригинальное название: Magniber. Но на странице Tor-сайта вымогателей указаноMy Decryptor
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Cerber >> Magniber

Этимология названия: 

От сложения двух слов Magniber + Cerber. Здесь Magnitude - вектор распространения инфекции для Cerber.

К зашифрованным файлам добавляется расширение .kgpvwnr или .<random> с 7-ю, 8-ю, 9-ю знаками.

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
_HOW_TO_DECRYPT_MY_FILES_<random>_.txt
READ_ME_FOR_DECRYPT_<random>_.txt

Например,
_HOW_TO_DECRYPT_MY_FILES_27dh6y1kyr49yjhx8i3_.txt
READ_ME_FOR_DECRYPT_3sk982xn01q099a7yee_.txt

Содержание записки о выкупе (HOW_TO_DECRYPT_MY_FILES):
ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
 ===
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third-party software will be fatal for your files!
 ===
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
 Note! This page is available via "Tor Browser" only.
 ===
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
 Note! These are temporary addresses! They will be available for a limited amount of time! 

Перевод записки на русский язык:
ВСЕ ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
  ===
  Ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
  Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
  Любые попытки восстановить файлы с помощью сторонних программ фатальны для ваших файлов!
  ===
  Чтобы получить секретный ключ и программу дешифрования, выполните следующие инструкции:
  1. Загрузите "Tor-браузер" с xxxxs://www.torproject.org/ и установите его.
  2. В "Tor-браузер" откройте свою личную страницу здесь:
 xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
  Заметка! Эта страница доступна только через браузер Tor.
  ===
  Также вы можете использовать временные адреса на своей личной странице, не используя "Tor-браузер":
 xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
  Заметка! Это временные адреса! Они будут доступны в течение ограниченного времени!

Содержание записки о выкупе (READ_ME_FOR_DECRYPT):
ALL Y0UR DOCUMENTS, PHOTOS, DATABASES AMD OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
===
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
===
To receive the private key and decryption program follow the instructions below:
1. Download "Tor-браузер" from xxxxs://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****

Перевод записки на русский язык:
ВСЕ ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
===
Ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Любые попытки восстановить файлы с помощью сторонних программ фатальны для ваших файлов!
===
Чтобы получить секретный ключ и программу дешифрования, выполните следующие инструкции:
1. Загрузите "Tor-браузер" с xxxxs://www.torproject.org/ и установите его.
2. В "Tor-браузер" откройте свою личную страницу здесь:
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****

Запиской с требованием выкупа выступают также Tor-сайты вымогателей, где расписано всё по пунктам. 
 1-я страница (3 экрана)

 2-я и 3-я страницы

Содержание текста с Tor-сайтов вымогателей:
Your documents, photos, databases and other important files have been encrypted!
WARNING! Any attempts to restore your files with the third-party software will be fatal for your files! WARNING!
To decrypt your files you need to buy the special software - "My Decryptor"
All transactions should be performed via BITCOIN network.
Within 5 days you can purchase this product at a special price: BTC 0.200 (~ $1105)
After 5 days the price of this product will increase up to: BTC 0.400 (~ $2210)
The special price is available:
03 . 22:12:16
How to get "My Decryptor"?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Here are our recommendations:
Buy Bitcoins with Cash or Cash Deposit
LocalBitcoins (https://localbitcoins.com/)
BitQuick (https://www.bitquick.co/)
Wall of Coins (https://wallofcoins.com/)
LibertyX (https://libertyx.com/)
Coin ATM Radar (https://coinatmradar.com/)
Bitit (https://bitit.io/)
Buy Bitcoins with Bank Account or Bank Transfer
Coinbase (https://www.coinbase.com/)
BitPanda (https://www.bitpanda.com/)
GDAX (https://www.gdax.com/)
CEX.io (https://cex.io/)
Gemini (https://gemini.com/)
Bittylicious (https://bittylicious.com/)
Korbit (https://www.korbit.co.kr/)
Coinfloor (https://www.coinfloor.co.uk/)
Coinfinity (https://coinfinity.co/)
CoinCafe (https://coincafe.com/)
BTCDirect (https://btcdirect.eu/)
Paymium (https://www.paymium.com/)
Bity (https://bity.com/)
Safello (https://safello.com/)
Bitstamp (https://www.bitstamp.net/)
Kraken (https://www.kraken.com/)
CoinCorner (https://www.coincorner.com/)
Cubits (https://cubits.com/)
Bitfinex (https://www.bitfinex.com/)
Xapo (https://xapo.com/)
HappyCoins (https://www.happycoins.com/)
Poloniex (https://poloniex.com/)
Buy Bitcoin with Credit/Debit Card
Coinbase (https://www.coinbase.com/)
CoinMama (https://www.coinmama.com/)
BitPanda (https://www.bitpanda.com/)
CEX.io (https://cex.io/)
Coinhouse (https://www.coinhouse.io/)
Buy Bitcoins with PayPal
VirWoX (https://www.virwox.com/)
Could not find Bitcoins in your region? Try searching here:
BittyBot (https://bittybot.co/eu/)
How To Buy Bitcoins (https://howtobuybitcoins.info/)
Buy Bitcoin Worldwide (https://www.buybitcoinworldwide.com/)
Bitcoin-net.com (http://bitcoin-net.com/)
3. Send BTC 0.200 to the following Bitcoin address:
 18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
4. Control the amount transaction at the "Payments History" panel below
5. Reload current page after the payment and get a link to download the software
 Payments:
 Total received: BTC 0.000
At the moment we have received from you: BTC 0.000 (left to pay BTC 0.200)

Перевод части текста с Tor-сайтов на русский язык:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы!
ПРЕДУПРЕЖДЕНИЕ! Любые попытки восстановить файлы с помощью стороннего программного обеспечения будут фатальными для ваших файлов! ПРЕДУПРЕЖДЕНИЕ!
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «My Decryptor»
Все транзакции должны выполняться через сеть BITCOIN.
В течение 5 дней вы можете приобрести этот продукт по специальной цене: BTC 0.200 (~ $ 1105)
Через 5 дней цена этого продукта будет увеличиваться до: BTC 0.400 (~ $ 2210)
Специальная цена доступна:
03. 22:12:16
Как получить «Мой дешифратор»?
1. Создайте Биткойн-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткойнов
Вот наши рекомендации:
*** пропуск адресов ***
3. Отправьте 0.200 BTC на следующий биткойн-адрес:
  18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
4. Управляйте транзакцией суммы из панели «История платежей» ниже
5. Загрузите текущую страницу после оплаты и получите ссылку для загрузки программы.
  Оплата:
  Всего получено: BTC 0.000
На данный момент мы получили от вас: BTC 0.000 (осталось заплатить BTC 0.200)


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Magnitude - вектор распространения инфекции для Cerber.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HOW_TO_DECRYPT_MY_FILES_<random>_.txt
READ_ME_FOR_DECRYPT_<random>_.txt

Примечания:
Интересное наблюдение, сделанное Майклом Джиллеспи. 
Реконструкция скриншотов и описание автора этого блога. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****
BTC: 18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Magniber, prev. My Decryptor)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Kafeine
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это восьмисотый пост блога!!!

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *