четверг, 14 декабря 2017 г.

RSA-NI

RSA-NI Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные серверов с помощью RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.
Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Attention!!! Your data breaches!!!.txt

Содержание записки о выкупе:
=========# rsa-ni ransomware #========
IMPORTANT: [redacted] and [redacted]
We hacked your server and copied your important data.
Please write us to the e-mail in 24 hours 0x720x730x610x30@tutanota.com  0x720x730x610x31@tutanota.com
After payment, Your data will be destroyed, Otherwise your data will be leaked to the public.
=========# rsa-ni ransomware #========

Перевод записки на русский язык:
=========# rsa-ni ransomware #========
ВАЖНО: [отредактировано] и [отредактировано]
Мы взломали ваш сервер и скопировали ваши важные данные.
Пожалуйста, напишите нам на e-mail за 24 часа 0x720x730x610x30@tutanota.com 0x720x730x610x31@tutanota.com
После оплаты ваши данные будут уничтожены, иначе ваши данные станут доступны для публики.
=========# rsa-ni ransomware #========



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Серверные файлы, но это также могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Attention!!! Your data breaches!!!.txt
<random>.exe

Расположения:
/www/ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 0x720x730x610x30@tutanota.com
0x720x730x610x31@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Styx

Styx Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Styx Ransomware (написано в записке о выкупе). На файле написано: STX.exe, STX1.2.exe или что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .styx

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
0_HELP_DECRYPT_FILES.txt
0_HELP_DECRYPT_FILES2.txt
0_HELP_DECRYPT_FILES.html
0_HELP_DECRYPT_FILES2.html

Текстовый вариант записки о выкупе

Содержание текстовой записки о выкупе:
Attention!
All of your files have been encrypted by Styx Ransomware!
----Not your language? USE: https://translate.google.com/----
--------------------------------------------------------------------------------------
All of your files (photos, videos, documents, etc) are encrypted using AES-256 bit encryption
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and a decrypt program which is on our secret server.
Decryption of your files will cost you $300 Dollars worth of Bitcoin
Your files will be lost at 12/20/2017 7:12:35 PM, when this date has been passed your files are lost forever.
Please follow these instructions:
1. You can make a payment with Bitcoin, there are many methods to get them.
2. Register a bitcoin wallet or login to one if you already have one, if you don't we recommend http://blockchain.info
3. Purchasing Bitcoins, altought it's not yet easy to buy bitcoins, it's getting simpler every day
Here are our recommendations:
https://localbitcoins.com/ International
https://blockchain.info
https://coincafe.com
https://buy.bitcoin.com/
4. Send 300$ dollars worth of Bitcoins to the address specified below. After sending bitcoins send email to styxsupport@mail2tor.com with your Personal Identifier and your Bitcoin transaction ID
We will send you the decryption key and program after the payment has been confirmed
--------------------------------------------------------------------------------------
YOUR PERSONAL Identifier: [redacted hex]
Bitcoin Address: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG
Bitcoin Amount: 300$ dollars worth of Bitcoins
--------------------------------------------------------------------------------------
5. After your payment has been confirmed, you will receive your decryption program and key in 1 hour
to email address that was used in Step 4.

Перевод записки на русский язык:
Внимание!
Все ваши файлы были зашифрованы Styx Ransomware!
---- Не ваш язык? ИСПОЛЬЗУЙТЕ: https://translate.google.com/----
-------------------------------------------------- ------------------------------------
Все ваши файлы (фото, видео, документы и т.д.) зашифрованы AES-256 бит шифрованием 
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с закрытым ключом и программой расшифровки, которая есть на нашем секретном сервере.
Расшифровка ваших файлов обойдется вам в 300 долларов в биткоинах
Ваши файлы будут утеряны в 12/20/2017 7:12:35 PM, когда эта дата истечет, ваши файлы будут потеряны навсегда.
Следуйте этим инструкциям:
1. Вы можете заплатить биткоины, есть много способов их получить.
2. Зарегистрируйте биткоин-кошелек или войдите в систему, если у вас он уже есть, если вы этого не делали, рекомендуем http://blockchain.info
3. Приобретение биткоинов, считалось, что покупать биткоины нелегко, становится все проще каждый день
Вот наши рекомендации:
https://localbitcoins.com/ международный
https://blockchain.info
https://coincafe.com
https://buy.bitcoin.com/
4. Отправьте биткоины на сумму 300 долларов по ниже адресу. После отправки биткоинов пришлите email по адресу styxsupport@mail2tor.com с вашим личным идентификатором и вашим ID транзакции биткоинов
Мы отправим вам ключ и программу дешифрования после подтверждения оплаты.
-------------------------------------------------- ------------------------------------
ВАШ ЛИЧНЫЙ Идентификатор: [отредатировано]
Биткоин-адрес: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG
Биткоин-сумма: биткойны на сумму в 300 долларов
-------------------------------------------------- ------------------------------------
5. После подтверждения оплаты вы получите свою программу дешифрования и ключ за 1 час
на email-адрес, который использовался в шаге 4.


Варианты HTML-записок (реконструкция)



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.123, .602, .asm, .CSV, .dif, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .hwp, .mml, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .pdf, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .RTF, .rtf, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .sxc, .sxd, .sxi, .sxm, .sxw, .txt, .uop, .uot, .wb2, .wk1, .wks, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (64 расширения)

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
STX.exe
STX1.2.exe
Они же под именами: FacebookHackerTool V4.7.exe, Reloder Activator.exe, Application.exe

Расположения:
\Desktop\ ->
\User_folders\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: styxsupport@mail2tor.com
BTC: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG
См. ниже результаты анализов.

Результаты анализов:
HA - Гибридный анализ - Nov 25 >>
HA - Гибридный анализ - Dec 13 >>
VT - VirusTotal анализ - Nov 22 >>
VT - VirusTotal анализ - Nov 25 >>
VT - VirusTotal анализ - Nov 26 >>
VT - VirusTotal анализ - Dec 2 >>
VT - VirusTotal анализ - Dec 7 >>
VB - VirusBuy анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Styx)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 13 декабря 2017 г.

CrY-TrOwX

CrY Ransomware 

CrY-TrOwX Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CrY (указано в записке). На файле написано: CrY и TrOwX 2017. Разработчик: ismail.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> CrY-TrOwX

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_AND_CRY_.txt

Содержание записки о выкупе:
Hello All Your Important Files Are Encrypted by CrY!
Communicate With Us To Save Your Files!
E-Mail Address : kaya.kyasor99@yandex.com

Перевод записки на русский язык:
Привет Все Ваши Файлы Зашифрованы CrY!
Свяжитесь с нами, чтобы сохранить ваши файлы!
E-Mail адрес : kaya.kyasor99@yandex.com

Другим информатором жертвы является изображение, встающее обоями рабочего стола. 
Текст аналогичен тому, что в записке. 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CrY.exe
READ_AND_CRY_.txt

Расположения:
\Desktop\READ_AND_CRY_.txt
\Desktop\ ->
\User_folders\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kaya.kyasor99@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 12 декабря 2017 г.

Noblis

Noblis Ransomware

(шифровальщик-вымогатель, шифровальщик-обучатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1.0 BTC, чтобы вернуть файлы. Оригинальное название: CRYPTER (указано в окне программы). Написан на Python. Утверждается, что разработан для академических и исследовательских целей. Создается при помощи Ransomware-генератора.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .noblis или .anyrun
Или любое другое, которое будет задано в Ransomware-генераторе. 

Образец этого крипто-вымогателя найден в начале декабря 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
CRYPTER
YOUR FILES HAVE BEEN ENCRYPTED!
Los archivos más importantes de este equipo han sido cifrados con un sistema de grado militar (AES-256)
Sus documentos, videos, imágenes y otros formatos (y por supuesto la FLAG) están fuera de su alcance... Y no podrá descifrarlos sin la llave apropiada... Esta se encuentra almacenada en un servidor remoto.
Las únicas formas de obtenerla, será pagando a la billetera antes que el tiempo se acabe.. También puede vulnerar el servidor remoto¿?...
O encontrar alguna falla en este sistema de cifrado¿?...
--- Recuerde que este reto es únicamente con fines académicos e investigativos... No pierda tiempo... Pues una vez termine la cuenta regresiva, los archivos serán eliminados de forma permanente ---
@4v4t4r
WALLET ADDRESS: nobliswallet99838399283928392323
BITCOIN FEE: 1.0

Перевод записки на русский язык:
CRYPTER
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Важные файлы этого компьютера зашифрованы шифрованием военного класса (AES-256)
Ваши документы, видео, изображения и другие форматы (и, конечно же, FLAG) недоступны ... И вы не сможете расшифровать их без правильного ключа ... Он находится на удаленном сервере.
Единственный способ получить его - заплатить на кошелек до истечения времени. Может ли он также нарушить удаленный сервер? ...
Можно ли найти недостатки в этой системе шифрования? ...
--- Помните, что этот выкуп предназначен только для академических и исследовательских целей ... Не тратьте время ... Ну, как только обратный отсчет закончится, файлы будут окончательно удалены ---
@4v4t4r
АДРЕС КОШЕЛЬКА: nobliswallet99838399283928392323
БИТКОИН ПЛАТА: 1.0



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .mp3, .msi, .pdf, .tar.gz, .tsx, .txt, .zip (10 расширений). 
Это документы Word, PDF, текстовые файлы, фотографии, музыка, архивы и пр.

Файлы, связанные с этим Ransomware:
nobles.exe
encrypted_files.txt
key.txt
и другие файлы
 
Процесс извлечения вымогателем python-файлов
Содержимое файла encrypted_files.txt

Расположения:
\Temp\nobles.exe
\Temp\<python_unpacked_files>
\AppData\Roaming\encrypted_files.txt
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC-test: nobliswallet99838399283928392323
См. ниже результаты анализов.

Результаты анализов:
 Any.Run анализ и обзор (12 Dec) >>
 Any.Run анализ и обзор (13 Dec) >>

VirusTotal анализ >>
Гибридный анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Noblis)
 Write-up, Topic of Support
 * 
 Thanks: 
 Any.Run
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 10 декабря 2017 г.

File Spider

Spider Ransomware

File Spider Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (режим CFB) + RSA-2048 для шифрования ID ключей. Затем требует выкуп в 0.00725 BTC (сумма может отличаться), чтобы вернуть файлы. Оригинальное название проекта: Spider Form, RnJRHo.pdb, YpnZR.pdb. В окне программы написано: File Spider. В тексте о выкупе написано: FILE SPIDER VIRUS. В ресурсах картинка паука называется: Halloween_Spider.
🎥 Для вас подготовлен видео-обзор этого Ransomware, см. его по ссылке
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: File Spider. Начало.

К зашифрованным файлам добавляется расширение .spider


Изображение паука, использованное вымогателями


Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей (требования о выкупе) и пользователей, понимающих сербско-хорватский язык, а его знают все народы бывшей Югославии (документ Word). Такое не мешает распространять его по всему миру. Атака ориентирована на Республику Сербскую, входящую в состав Боснии и Герцеговины и, вероятно, соседние страны. 


Скриншоты и требования

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.url
Она не содержит текст, а лишь запускает браузер, используемый по умолчанию, чтобы показать видео-инструкцию, как уплатить выкуп в биткоинах. 

Подробным информатором выступает экран программы вымогателя, сделанный в графическом интерфейсном виде (GUI). 

Для ознакомления покажем скриншоты четырёх основных экранов.

Start Page
Translate
Visit Website
  
ID Code
 
Decrypter



Содержание текста о выкупе из этих экранов:
YOUR PC HAS BEEN INFECTED WITH FILE SPIDER VIRUS
As you may have already noticed, all your important files are encrypted and you no longer have access to them. A unique key has been generated specifically for this PC and two very strong encryption algorithm was applied in that process. Original content of your files are wiped and overwritten with encrypted data so it cannot be recovered using any conventional data recovery tool. 
The good news is that there is still a chance to recover your files, you just need to have the right key.
To obtain the key, visit our website from the menu above. You have to be fast, after 96 hours the key will be blocked and all your files will remain permanently encrypted since no one will be able to recover them without the key!
Remember, do not try anything stupid, the program has several security measures to delete all your files and cause the damage to your PC.
To avoid any misunderstanding, please read Help section.
---
YOUR PC HAS BEEN INFECTED WITH FILE SPIDER VIRUS
Translate
English
Deutsch
---
THIS WILL DECRYPT YOUR FILES
To visit our website you need to install a special web browser named Tor Browser. Be aware, our website is reachable only via Tor Browser and if you try to visit it using any other browser eg. Google Chrome, it wont work! Tor Browser can be downloaded from its official website listed below. Use newly installed browser to visit our website address. On our website there is a online tool that can generate decryption key using your ID Code, use that tool and you will get the key needed to decrypt your files. Also, you will be asked to make a payment for your Decryption Key, you will need a Bitcoins for that. More about bitcoins read in Help section. After you get your key, select Decrypter from menu and follow the instructions provided on that page.
This all may seem complicated to you, actually it's really easy. A link to Video Tutorial with live demonstration can be found inside Help Section. Good Luck!
Our Website Address: [xxxx://spiderwjzbmsmu7y.onion/] Download Tor Browser
---
THIS WILL DECRYPT YOUR FILES
During encryption process a unique key has been generated, used to encrypt your files, and then destoyed. To decrypt your files you need that key. We call that key a Decryption Key. You can not use the key from other PC, it wont work, you need a key coresponding to your PC. Your Decryption Key, required for decryption process, can be generated only from something that we call a ID Code, you will find that code below.
This is your ID Code, copy it carefully.
rzJisxRs70t/ILa9B61QymFqJSCgYQX5PbAgjifyMvt+X9Fc2e
+DiccqQ7SHenxtrz36svalTLAOUR79Jdp4ngajRCFP3tkIGY8xOJzo2De2MUzVNEJRb8QRsHnp
+32wjtL4lCjvSK/VAWslKeLllRBKelbWNchOHvTj7wJy8PTBl69I6FoHJkCXAglogFtFLR
+aIZxZU6Ew9VDumVEE90CspuhnFnr9pKzuVl64qya8pR53GaBpYRLPZhPjlgkgPZID4dCv4diMo2SzJ
byy4GmKwEuFhRDyQj8K346KGLAEJ5UB2ousV2xQ4EPtSEsPqSYm+MtHGXCEA9sp0vzTaQ==
---
THIS WILL DECRYPT YOUR FILES
Enter your Decryption Key and click Start Decrypting, seat back and relax, in few minutes you will have full access to all your files!
Decryption Key:
[ ... ]
0 Files decrypted. [Start Decrypting]


Перевод текста на русский язык:
ВАШ КОМПЬЮТЕР БЫЛ ЗАРАЖЕН ВИРУСОМ FILE SPIDER
Как вы, возможно, уже заметили, все ваши важные файлы зашифрованы, и у вас больше нет доступа к ним. Уникальный ключ был создан специально для этого ПК, и в этом процессе был применен два очень сильных алгоритма шифрования. Исходное содержимое ваших файлов стирается и перезаписывается зашифрованными данными, поэтому его невозможно восстановить с помощью обычного инструмента восстановления данных.
Хорошей новостью является то, что ещё есть шанс восстановить ваши файлы, вам просто нужно иметь правильный ключ.
Чтобы получить ключ, посетите наш веб-сайт из меню выше. Вы должны торопиться, через 96 часов ключ будет заблокирован, и все ваши файлы останутся зашифрованными, т.к. никто не сможет восстановить их без ключа!
Помните, не делайте ничего глупого, программа имеет несколько мер безопасности, чтобы удалить все ваши файлы и повредить вашему компьютеру.
Чтобы избежать недоразумений, ознакомьтесь с разделом «Справка».
---
ВАШ КОМПЬЮТЕР БЫЛ ЗАРАЖЕН ВИРУСОМ FILE SPIDER
Перевод
Английский
Немецкий
---
ЭТО РАСШИФРУЕТ ВАШИ ФАЙЛЫ
Чтобы посетить наш сайт, вам надо установить специальный веб-браузер по имени Tor Browser. Помните, что наш сайт доступен только через Tor Browser, и если вы попытаетесь посетить его, используя любой другой браузер, например, Google Chrome, он не откроется! Tor Browser можно загрузить с официального сайта, указанного ниже. Используйте новый установленный браузер, чтобы посетить наш веб-сайт. На нашем веб-сайте есть онлайн-инструмент, который может генерировать ключ дешифрования с помощью вашего ID кода, используйте этот инструмент, и вы получите ключ, нужный для расшифровки ваших файлов. Кроме того, вас попросят внести платеж за ваш ключ дешифрования, для этого вам нужны биткоины. Подробнее о биткоинах читайте в разделе справки. После того, как вы получите свой ключ, выберите "Decrypter" в меню и следуйте инструкциям на этой странице.
Все это может показаться вам сложным, на самом деле это очень просто. Ссылка на видео-учебник с демонстрацией можно найти в разделе справки. Удачи!
Адрес нашего веб-сайта: [xxxx://spiderwjzbmsmu7y.onion/] Скачать Tor Browser
---
ЭТО РАСШИФРУЕТ ВАШИ ФАЙЛЫ
В процессе шифрования был создан уникальный ключ, использованный для шифрования ваших файлов, а затем уничтоженный. Чтобы расшифровать ваши файлы, вам нужен этот ключ. Мы называем этот ключ ключом дешифрования. Вы не сможете использовать ключ с другого ПК, он не будет работать, вам нужен ключ, соответствующий вашему ПК. Ваш ключ дешифрования, нужный для процесса дешифрования, может генерироваться только из того, что мы называем ID кодом, вы найдете этот код ниже.
Это ваш ID код, аккуратно скопируйте его.
rzJisxRs70t/ILa9B61QymFqJSCgYQX5PbAgjifyMvt+X9Fc2e
+DiccqQ7SHenxtrz36svalTLAOUR79Jdp4ngajRCFP3tkIGY8xOJzo2De2MUzVNEJRb8QRsHnp
+32wjtL4lCjvSK/VAWslKeLllRBKelbWNchOHvTj7wJy8PTBl69I6FoHJkCXAglogFtFLR
+aIZxZU6Ew9VDumVEE90CspuhnFnr9pKzuVl64qya8pR53GaBpYRLPZhPjlgkgPZID4dCv4diMo2SzJ
byy4GmKwEuFhRDyQj8K346KGLAEJ5UB2ousV2xQ4EPtSEsPqSYm+MtHGXCEA9sp0vzTaQ==
---
ЭТО РАСШИФРУЕТ ВАШИ ФАЙЛЫ
Введите свой ключ дешифрования и нажмите "Start Decrypting", откиньтесь назад и расслабьтесь, через несколько минут у вас будет полный доступ ко всем вашим файлам!
Ключ дешифрования:
[...]
0 Файлы дешифрованы. [Start Decrypting]



Сайт вымогателей

Страница Tor-сайта "Spider Decrypter" сделана более изысканно.
 
Требуется лишь ввести PC ID, полученный в программе. После этого действия откроется следующая информация. 




Технические детали

Распространяется с помощью email-спама и вредоносных вложений (документ Word с макросами), обманных загрузок, эксплойтов. Может также начать распространяться с помощью взлома через незащищенную конфигурацию RDP, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.


Email и аттачмент

Email отправителя (распространителя вредоносных писем): office@adriadoo.com

Во вложении к email-письму находится файл BAYER_CROPSCIENCE_OFFICE_BEOGRAD_93876.doc в шаблоне Normal.dotm (с макросами), написанный на сербско-хорватском языке. Возможны и варианты документов с другими  названиями. 


Первый образец документа

 Второй образец документа (заголовок другой, а текст тот же)

Содержание документов:
PRIVATNI IZVRŠITELJ AZELjKOVIĆ IVAN
Posl.br 106/17 Banja Luka 78000, Bosna I Hercegovina
NAZIV KOME SE SALJE
16253/2017-51
Banja Luka 8.12.2017
O B A V J E š T E Nj E:
UTVRĐUJU SE troškovi izvršnog postupka nastali pred izvršiteljem u iznosu od 864,98 KM.
ODREĐUJE SE SPROVOĐENjE IZVRŠENjA ODREĐENOG rješenjem o izvršenju Okružnog privrednog suda u Banjaluci I.I-171/2017 od 01.04.2017. godine, prijenosom sredstava u iznosu od: 
- 860,00 KM, sa zakonskom zateznom kamatom počev od 21.04.2015. godine pa do konačne isplate,
- 100,00 KM na ime troškova izvršenja nastalih pred sudom,
- 63,44 KM na ime troškova parničnog postupka,
- 864,98 KM na ime troškova izvršnog postupka utvrđenih ovim zaključkom, i to sa:
svih računa dužnika u smislu člana 185, ZIO, na namjenski račun izvršitelja br. 565-501-08053684-17 sa pozivom na broj predmeta 763/2015 koji se vodi kod “Raiffeisen BANK” Bosna i Hercegovina.
NALAŽE SE Centralnoj banci Bosne I Hercegovine - Odsijek za prinudnu naplatu - Odsjek za prijem, kontrolu i unos osnova i naloga Banja Luka, da prenese sredstva iz stava 2. ovog zaključka sa računa izvršnog dužnika na namjenski račun izvršitelja br. 565-501-08053684-17 sa pozivom na broj predmeta 763/2015 koji se vodi kod “Raiffeisen BANK” Bosna i Hercegovina.
N A P O M E N A:
DOKUMENT “KOPIJA PREDMETA” sadrži private informacije i stoga je postavljen u zaštitnoj formi. Za pregledanje zaštićenog dokumenta koristite “Microsoft Word” program. Sadržaj omogućite kliktom na Enable Editing a zatim na Enable Content na komandnoj traci.

В самом сообщении сообщается, что у получателя имеется долг в местном банке (используются имена реальных местных банков). Требуется сбор долгов на основании решения "Окружного коммерческого суда в Баня-Луке" (Okružnog privrednog suda u Banjaluci) и от пользователей заявки на выплату определённой суммы на счёт в "Райффайзен Банк - Босния и Герцеговина" (Raiffeisen Bank – Bosna i Hercegovina).

Все известные на данный момент варианты вредоносных писем подписал якобы "Частный исполнитель Азелькович Иван" (Privatni izvršitelj Azeljković Ivan).


Установка и запуск вредоносов

- После разрешения макросов в документе запускается Powershell (файл powershell.exe), который помещает в созданную директорию %APPDATA%\Spider\ созданный файл enc.exe 

Powershell ->  %APPDATA%\Spider\enc.exe (67d5abda3be629b820341d1baad668e3) -> %ALLUSERSPROFILE%\Microsoft\Assistance\Client\1.0\en-US\HOW TO DECRYPT FILES.url (7608c95d94d307d08d75c27d034325b5)

- Далее, используя WebClient, соединяется с URL-адресом yourjavascript.com (80.241.212.33:80, Германия) - бесплатный сервис для размещения JavaScript и загружает оттуда размещенный JS-файл. Скрипт запускает на выполнение файлы enc.exe и dec.exe, чтобы шифровать файлы и по окончании затребовать выкуп. 

- Вредонос завершает работу следующих процессов: 
"taskmgr", "procexp", "msconfig", "Starter", "regedit", "cdclt", "cmd", "OUTLOOK", "WINWORD", "EXCEL", "MSACCESS"

- В каждой папке с зашифрованными файлами оставляется записка о выкупе HOW TO DECRYPT FILES.url (веб-ярлык), которая ведёт на видеоролик по адресу xxxxs://vid.me/embedded/CGyDc?autoplay=1&stats=1

- На рабочем столе создаётся еще один ярлык DECRYPTER.url, который запускает файл dec.exe.

- По окончании шифрования шифровальщик (файл enc.exe) создаёт файл 5p1d3r по адресу %UserProfile%\AppData\Roaming\Spider\ и завершает свою работу. Когда программа dec.exe обнаруживает файл 5p1d3r, то запускает графический интерфейс дешифровщика, представленный в начале статьи.


Детали шифрования

Ключ шифрования генерируется через RNG (Генератор Случайных Чисел, ГСЧ) для каждого файла. Затем шифруется с помощью открытого ключа RSA-2048 и в зашифрованном виде хранится в файле. Зашифрованные данные кодируются base64. Персональный ID пострадавшего записывается в файл id.txt. Этот файл будет необходим для дешифрования. 

RSA-2048 открытый ключ 24706991698137322898792191549093893089267908881129971708985732803582683340016113501500937192555814719851507587216033881709878849473107367469898342679060707195113451828570589745552305777344455353601142181720171642774920327930992228895471596753885897807735395954022237629406243474426363857135472511779536895022722647286206955099076633427669283983251773590630959215952773832973774647845694258477756152537563613249705734823792396428384116534443753293982883520777022612460456485962889166914849377885961123532838284564026296249622629688472562002028855052563667170340896099875705546650543005578137056020135555174297806960051

Список файловых расширений, подвергающихся шифрованию:
.001, .036, .0411, .1cd, .1st, .2bp, .3dm, .3ds, .3fr, .3g2, .3gp, .3gp, .4db, .4dl, .4mp, .73i, .7z, .7zip, .8xi, .9png, .a3d, .aaf, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .aep, .aepx, .aet, .af2, .af3, .aft, .afx, .agif, .agp, .ahd, .ai, .aic, .aif, .aim, .albm, .alf, .ani, .ans, .apd, .apk, .apm, .apng, .aps, .apt, .apx, .arch00, .art, .artwork, .arw, .as, .as3, .asc, .ascii, .ase, .asf, .ask, .asp, .asset, .asw, .asx, .asy, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .backup, .bad, .bak, .bar, .bat, .bay, .bbs, .bc6, .bc7, .bdb, .bdp, .bdr, .bean, .bib, .big, .bik, .bkf, .bkp, .blend, .blkrt, .blob, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bsa, .bss, .btd, .bti, .btr, .byu, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cas, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cer, .cf, .cfr, .cfu, .cgm, .chart, .chord, .cimg, .cin, .cit, .ckp, .class, .clkw, .cma, .cmx, .cnm, .cnv, .colz, .conf, .contact, .cpc, .cpd, .cpg, .cpp, .cps, .cpt, .cpx, .cr2, .crd, .crt, .crw, .crwl, .cs, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .d3dbsp, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .das, .daschema, .dat, .DayZProfile, .dazip, .db, .db0, .db2, .db3, .dbc, .dbf, .dbfv, .dbk, .dbs, .db-shm, .dbt, .dbv, .db-wal, .dbx, .dc2, .dca, .dcb, .dcr, .dcs, .dct, .dcx, .ddl, .ddoc, .dds, .ded, .der, .desc, .design, .df1, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djvu, .dm3, .dmi, .dmo, .dmp, .dnc, .dne, .dng, .doc, .docb, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dp1, .dpp, .dpx, .dqy, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dtsx, .dtw, .dvi, .dvl, .dwg, .dx, .dxb, .dxf, .dxg, .dxl, .eco, .ecw, .ecx, .edb, .efd, .efx, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emlx, .ep, .epf, .epk, .epp, .eps, .epsf, .eql, .erf, .err, .esm, .etf, .etx, .euc, .exr, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .ff, .fft, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fic, .fid, .fif, .fig, .fil, .fla, .flc, .fli, .flr, .fm5, .fmp, .fmp12, .fmpsl, .fmv, .fodt, .fol, .forge, .fos, .fountain, .fp3, .fp4, .fp5, .fp7, .fpk, .fpos, .fpt, .fpx, .frt, .fsh, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gih, .gim, .gio, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grob, .grs, .gsd, .gthr, .gtp, .gv, .gwi, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hkdb, .hkx, .hpg, .hpgl, .hpi, .hpl, .hplg, .hs, .htc, .html, .hvpl, .hwp, .hz, .i3d, .ib, .ibank, .icn, .icon, .icpr, .icxs, .idc, .idea, .idml, .idx, .iff, .igt, .igx, .ihx, .iil, .iiq, .imd, .indb, .indd, .indl, .indt, .info, .ink, .int, .inx, .ipf, .ipx, .itc2, .itdb, .itl, .itm, .itw, .iwd, .iwi, .j, .j2c, .j2k, .jar, .jarvis, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jp1, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .jrtf, .js, .jtf, .jtx, .jwl, .jxr, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .kf, .kic, .klg, .knt, .kon, .kpg, .kwd, .latex, .layout, .lbf, .lbm, .lbt, .lgc, .lis, .lit, .litemod, .ljp, .lmk, .lnk, .lnt, .lp2, .lrc, .lrf, .lst, .ltr, .ltx, .lue, .luf, .lvl, .lwo, .lwp, .lws, .lxfml, .lyt, .lyx, .m2, .m3d, .m3u, .m3u8, .m4a, .m4u, .ma, .mac, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .mcgame, .mcmeta, .md5txt, .mdb, .mdbackup, .mdbhtml, .mddata, .mdf, .mdn, .mdt, .me, .mef, .mell, .menu, .mft, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .mid, .min, .mkv, .mlx, .mmat, .mng, .mnr, .mnt, .mobi, .mos, .movie, .mp4, .mpa, .mpf, .mpo, .mpqge, .mrg, .mrwref, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncf, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nsf, .ntl, .nv2, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .odb, .odc, .odm, .odo, .odp, .ods, .odt, .ofl, .oft, .omf, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p12, .p7b, .p7c, .p7s, .p96, .p97, .pages, .pak, .pal, .pan, .pano, .pap, .pbd, .pbl, .pbm, .pc1, .pc2, .pc3, .pcd, .pcs, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pe4, .pef, .pem, .pfd, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .php, .pi1, .pi2, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pkpass, .pl, .plantuml, .plb, .plt, .pm, .pmd, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppj, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .prt, .prw, .ps, .ps1, .psd, .psdx, .pse, .psid, .psk, .psp, .pspbrush, .pst, .psw, .ptg, .pth, .ptx, .pu, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qdf, .qdl, .qic, .qmg, .qpx, .qry, .qvd, .r3d, .ra, .rad, .raf, .rar, .ras, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .re4, .readme, .rft, .rgb, .rgf, .rgss3a, .rib, .ric, .riff, .rim, .ris, .rix, .rle, .rli, .rng, .rofl, .rpd, .rpf, .rpt, .rri, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .rtx, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sam, .sav, .save, .sb, .sbf, .sc2save, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .ses, .sfc, .sfera, .sfw, .sgm, .sid, .sidd, .sidn, .sie, .sig, .sis, .sk1, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldm, .sldprt, .sldx, .slm, .sls, .smf, .smil, .sms, .snagitstamps, .snagstyles, .snx, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .ssa, .ssfn, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .sty, .sub, .sum, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .syncdb, .t12, .t13, .t2b, .tab, .tax, .tb0, .tbn, .tcx, .tdf, .tdt, .te, .teacher, .tex, .text, .tfc, .tg4, .tga, .thm, .thp, .thumb, .tif, .tiff, .tjp, .tlb, .tlc, .tm, .tm2, .tmd, .tmv, .tmx, .tn, .tne, .tor, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .ufr, .uga, .unauth, .unity, .unity3d, .unx, .uof, .uot, .upd, .upk, .url, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vbox, .vbr, .vcf, .vct, .vda, .vdb, .vdf, .vdi, .vec, .vff, .vfs0, .vml, .vnt, .vob, .vpd, .vpe, .vpk, .vpp_pc, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vtf, .vue, .vw, .w3x, .wb1, .wb2, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webm, .webp, .wgz, .wire, .wmdb, .wmf, .wmo, .wmv, .wmv, .wn, .wotreplay, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .wvl, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xf, .xhtm, .xla, .xlam, .xld, .xlf, .xlgc, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmind, .xml, .xmmap, .xpm, .xps, .xqx, .xwp, .xxx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z3d, .zabw, .zdb, .zdc, .zif, .zip, .ztmp, .zw (1087 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы веб-страниц и другие веб-файлы, файлы учебных, прикладных и специализированных программ, и прочие файлы. 


Записка о выкупе и зашифрованные файлы

При шифровании пропускаются следующие директории: "Windows", "Boot", "Videos", "winnt", "Application Data", "Spider", "PrefLogs", "Program Files (x86)", "Program Files", "ProgramData", "Temp", "tmp", "Recycle", "System Volume Information".


Прочее

Файлы, связанные с этим Ransomware:
enc.exe (YpnZR.exe) - шифровальщик;
dec.exe (RnJRHo.exe) - GUI и дешифровщик;
javascript-enc-1-0-9.js - скрипт-загрузчик для enc.exe;
javascript-dec-2-25-2.js - скрипт-загрузчик для dec.exe;
HOW TO DECRYPT FILES.url - ярлык веб-ссылки на видеоролик;
DECRYPTER.url - ярлык для загрузки и запуска дешифратора;
BAYER_CROPSCIENCE_OFFICE_BEOGRAD_93876.doc - первый образец вложения;
CUMMINS_SERBOMONTE_DOO_72225.doc - второй образец вложения;
 ~WRS{8268EA6A-97ED-4FEE-840C-BC558C148C9C}.tmp - временный файл документа WORD; 
run.bat
files.txt - содержит список зашифрованных файлов;
id.txt - содержит зашифрованный ID. 
5p1d3r - специальный файл, создаваемый файлом enc.exe по окончании шифрования. 
Содержание файла files.txt

Расположения:
%APPDATA%\Spider\enc.exe
%APPDATA%\Spider\dec.exe
%ALLUSERSPROFILE%\Microsoft\Assistance\Client\1.0\en-US\HOW TO DECRYPT FILES.url
%APPDATA%\Spider\files.txt
%APPDATA%\Spider\id.txt
%APPDATA%\Spider\run.bat
%APPDATA%\Microsoft\Office\Recent\index.dat
%TEMP%\~DF085EF2097DAA4C14.TMP - временный файл WINWORD.EXE
\Desktop\ -> HOW TO DECRYPT FILES.url
\Desktop\ -> DECRYPTER.url 
\Desktop\ -> VIRUS.lnk и другие 
\User_folders\ -> HOW TO DECRYPT FILES.url
%UserProfile%\AppData\Roaming\Spider\5p1d3r


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email отправителя: office@adriadoo.com
Email вымогателя: file-spider@protonmail.ch
JS-URL-enc: xxxx://yourjavascript.com/53103201277/javascript-enc-1-0-9.js***
JS-URL-dec: xxxx://yourjavascript.com/5118631477/javascript-dec-2-25-2.js***
Tor-URL: xxxx://spiderwjzbmsmu7y.onion/
Видео-инструкция: xxxxs://vid.me/embedded/CGyDc?autoplay=1&stats=1
Вторая-инструкция: xxxxs://www.youtube.com/watch?v=u6CTDz7SXEU
BTC: 18Av5tCgpg8YzGjg4LxZ3NBmkjFQ41MHDJ
См. ниже результаты анализов.

Результаты анализов:
 VirusBuy анализ >>
Гибридный анализ 1-й >>
Гибридный анализ 2-й >>
VirusTotal анализ файла BAYER_***_93876.doc >>
VirusTotal анализ файла из другого вложения >>
VirusTotal анализ файла enc.exe (YpnZR.exe) >>
VirusTotal анализ файла dec.exe (RnJRHo.exe) >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 11 декабря 2017:
Вредоносной кампанией, распространяющей данный шифровальщик, были затронуты и соседние страны. 
 
Письма с email-спам на скриншоте и с таким же вредоносным документом распространялись также в Сербии (Большой Сербии). Вложение на скриншотах называется: MEDIS_PHARMA_DOO_17443.doc
Скриншоты были представлены в статье Лоуренса Абрамса




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Twitter + Twitter
 ID Ransomware (ID as Spider)
 Write-up, Topic of Support
 🎥 Video review by GrujaRS CyberSecurity
Added later: 
Заявление отдела ИБ CERT Республики Сербской (December 11, 2017)
Write-up on BC (December 11, 2017)
Write-up SDK blog (December 11, 2017)
*

 Thanks: 
 Ben Hunter‏, neonprimetime‏ 
 Michael Gillespie, Lawrence Abrams
 GrujaRS Cyber Security
 Alex Svirid, Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton