Если вы не видите здесь изображений, то используйте VPN.

четверг, 2 февраля 2017 г.

Ranion RaaS

Ranion Ransomware

(шифровальщик-вымогатель, RaaS) 

Translation into English


Этот вымогательский Ranion RaaS даёт потенциальным преступникам возможность создавать и распространять своих собственных вымогателей, без необходимости иметь навыки в программировании. Название оригинальное. В оригинале используется шифрование AES-256. 


Обнаружения:
DrWeb -> Trojan.Packed2.40715, Trojan.Siggen7.35275, Trojan.Siggen7.56250, Trojan.Siggen7.49009
ALYac -> Trojan.Ransom.Ranion
Avira (no cloud) -> TR/Dropper.MSIL.zfkla, TR/Hesv.wcoir, TR/Kryptik.bwbps
BitDefender -> Trojan.GenericKD.4943908, Trojan.RansomKD.6264463, Trojan.GenericKD.3017097, Trojan.GenericKD.31147075, Gen:Variant.Ransom.Ranion.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.JQ, MSIL/Filecoder.FU
Kaspersky -> Trojan.Win32.Bcex.kfm, Trojan.Win32.Hesv.awzl
Malwarebytes -> Ransom.Ranion, Backdoor.FakePDF
Microsoft -> Trojan:Win32/Dynamer!ac, Trojan:Win32/Occamy.B
Symantec -> Backdoor.Ratenjay, Trojan.Gen, Trojan.Gen.2, Infostealer.Atesla, ML.Attribute.HighConfidence

© Генеалогия: Ranion Raas >> производные варианты

К зашифрованным файлам добавляется настраиваемое расширение.
Записки с требованием выкупа тоже настраиваются. Текст на английском содержит ошибки. 

Начало работы этого крипто-вымогательского сервиса пришлось на конец января - начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Содержание страницы BUY на сайте Tor:
RANION - The Better & Cheapest FUD Ransomware + C&C on Darknet
BUY - FAQ - CONTACT
We provide an already configured and compiled FUD Ransomware + Decrypter
We are the only that provide a FREE Anonymous C&C Dashboard via Onion to manage your Clients
We also provide additional FREE Customizations and DON'T take Fees from your Clients
DISCLAIMER: Our Products are for EDUCATIONAL PURPOSES ONLY.
Don't use them for illegal activities. You are the only responsable for your actions!
Our Products/Services are sold with NO WARRANTY and AS ARE.
*** ranionjgot5cud3p.onion ***
...
-= CHOOSE YOUR PACKAGE =-
[PACKAGE #1] - 1 YEAR C&C Dashboard (RaaS) - Price: 0.95 btc
    FUD Ransomware (AES 256 Encryption with a 30 chars long uncrackable key)
    Decrypter
    1 Year C&C Dashboard (to receive the AES keys from Clients)
    We take NO FEES from your Clients
    Optional: additional Crypter adding 0.1 btc
    Optional: additional file types to encrypt for free (for all file types encrypted see FAQ)
    Optional: additional client banner in your language for free (already present eng, rus, ger, fra, esp, ita)
[PACKAGE #2] - 6 MONTHS C&C Dashboard (RaaS) - Price: 0.60 btc
    FUD Ransomware (AES 256 Encryption with a 30 chars long uncrackable key)
    Decrypter
    6 Months C&C Dashboard (to receive the AES keys from Clients)
    We take NO FEES from your Clients
    Optional: additional Crypter adding 0.1 btc
    Optional: additional file types to encrypt for free (for all file types encrypted see FAQ)
    Optional: additional client banner in your language for free (already present eng, rus, ger, fra, esp, ita)
-= HOW TO BUY =-
    Send the Package's price to following Bitcoin address: 1Lr9k7***
    Write us an email to ranion(at)sigaint.org telling us:
    - Chosen package
    - Your Bitcoin address used to send us money
    - Your own Bitcoin address to receive money from your Clients
    - Your price to receive from your Clients (ie. 0.20 btc)
    - Your email address to get contacted from your Clients
    - Optional additions
    Wait until we check your payment
    You will receive an email with 2 links:
    - The first one with your files (Ransomware + Decrypter)
    - The second one with your dashboard
Your satisfaction is important! Contact us for any need.
Copyright (c) 2016-2017 - Ranion (RaaS)


Перевод страницы BUY на русский язык: 
RANION - самое лучшее и самое дешевое FUD Ransomware + C&C на Darknet
КУПИТЬ - FAQ - Контакты
Мы предлагаем уже настроенный и скомпилированный FUD Ransomware + Decrypter
Мы единственные, кто обеспечивают бесплатный анонимный C&C Dashboard с Onion для управления вашими клиентами
Мы также предоставляем дополнительные бесплатные настройки и НЕ принимаем платежи от своих клиентов
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Наши продукты предназначены для образовательных целей.
Не используйте их для незаконной деятельности. Только вы несете ответственность за свои действия!
Наши продукты / услуги продаются без гарантии и как есть.
*** ranionjgot5cud3p.onion ***
...
-= ВЫБЕРИТЕ ЛИЦЕНЗИЮ =-
[ПАКЕТ # 1] - 1 ГОД C&C Dashboard (RaaS) - Цена: 0,95 BTC
    FUD Ransomware (AES-256 шифрование с 30-ти символьным невзламываемым ключом)
    Decrypter
    1 год C&C Dashboard (получить ключи AES от клиентов)
    Мы не берем сборы от ваших клиентов
    Опционально: дополнительный Crypter - добавочные 0,1 BTC
    Опционально: дополнительные типы файлов для шифрования бесплатно (для всех типов зашифрованных файлов см. FAQ)
    Опционально: дополнительный клиент баннер на вашем языке для свободного (уже есть eng, rus, ger, fra, esp, ita)
[ПАКЕТ # 2] - 6 МЕСЯЦЕВ C&C Dashboard (RaaS) - Цена: 0,60 BTC
    FUD Ransomware (AES-256 шифрование с 30-ти символьным невзламываемым ключом)
    Decrypter
    6 месяцев C & C Dashboard (получить ключи AES от клиентов)
    Мы не берем сборы от ваших клиентов
    Опционально: дополнительный Crypter - добавочные 0,1 BTC
    Опционально: дополнительные типы файлов для шифрования бесплатно (для всех типов зашифрованных файлов см. FAQ)
    Опционально: дополнительный клиент баннер на вашем языке для свободного (уже есть eng, rus, ger, fra, esp, ita)
-= КАК КУПИТЬ =-
    Отправить цену пакета, чтобы следующие Bitcoin адресу: 1Lr9k7***
    Напишите нам на email ranion(at)sigaint.org и сообщите:
    - Выбранный пакет
    - Ваш Bitcoin-адрес, используемый для отправки нам денег
    - Ваш собственный адрес Bitcoin, чтобы получить деньги от своих клиентов
    - Ваша цена получить от своих клиентов (т.е. 0,20 BTC).
    - Ваш адрес email для контактов с вашими клиентами
    - Необязательные дополнения
    Подождите, пока мы не проверим вашу оплату
    Вы получите письмо с 2-мя ссылками:
    - Первый из них с файлами (Ransomware + Decrypter)
    - Второй с приборной панелью.
Ваше удовлетворение очень важно! Свяжитесь с нами для любых разъяснений.
Copyright (c) 2016-2017 - Ranion (RaaS)



Содержание страницы FAQ 
на сайте Tor:

[начало как на странице BUY]
-= FAQ =-
Who are you?
We are a little group of people involved for more than 10 years with cyber security and hacking underground.
What do you sell?
We sell a FUD customizable and already configured Ransomware (x86 & x64 for Windows machines) managed via an Onion C&C Dashboard with the aim in mind to show for "EDUCATIONAL PURPOSES ONLY" a Ransomware in action via an Onion C&C Dashboard. Please don't use this Ransomware for illegal purposes. You are the only responsable for your actions.
How your Ransomware works?
When you will execute the Ransomware.exe it will encrypt any configured file type within PC (searching for files on C-Z HDDs) using an AES 256 key generated that will be sent to your C&C Dashboard. When finished it will create some README files on Desktop (in different languages) and a banner message that will be executed to every Boot (providing details for payment to your Client). Our Ransomware doesn't destroy your PC by encrypting exe files. Exes files will be not encrypted unless you want to do it.
Why do you sell to lowered prices?
Our aim is selling good pieces of software and raising security awareness. We know many other sites that claim to sell similar products are scam. We give the possibility to test our product to a lower price.
What file types does your Ransomware encrypt?
These file types: ".txt", ".rtf", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".ods", ".jpg", ".jpeg", ".png", ".bmp", ".csv", ".sql", ".mdb", ".db", ".accdb", ".sln", ".php", ".jsp", ".asp", ".aspx", ".html", ".htm", ".xml", ".psd", ".cs", ".java", ".cpp", ".cc", ".cxx", ".zip", ".pst", ".ost", ".pab", ".oab", ".msg". You can request us other additional file types/extensions to encrypt for free.
How big is the AES 256 decryption key?
It is a 30 chars long uncrackable alphanumeric passphrase. Every time the ransomware is executed it creates a new and unique AES key.
How can I decrypt my files?
Put the file Decrypter.exe on Desktop and execute it. Insert the AES key used for encryption and wait some time.
Is your Ransomware FUD?
Our Ransowmare results clean for 90% of AVs. For 10% it is recognised by some AVs like a potential unwanted program. However you can buy a totally Crypted version. Remember if you want to keep your Ransomware FUD more time not scan it with AVs and not send it to online AVs.
Can I use my own Crypter with your Ransomware?
Yes you can.
Do you get fees from my Clients?
Absolutly No. We don't take money from you. You pay us only the price for the bought Package.
Is your C&C Dashboard free?
We give you access to our simple C&C Dashboard for free.
What data I can see on C&C Dashboard?
Computer ID, Username, AES decryption key of all Clients.
Can I test your Ransomware on my Virtual Machine?
Yes.
Do you take care of my privacy?
Yes, of course! We keep no logs on Server and we are an onion/darknet service.

Перевод страницы FAQ на русский язык: 
[начало как на странице BUY]
-= FAQ =-
Кто мы?
Мы небольшая группа людей, вовлеченных более 10 лет в кибер-безопасность и хакерское подполье.
Что вы продаете?
Мы продаем настраиваемый и уже настроенный FUD Ransomware (x86 и x64 для машин c Windows), управляемый с помощью Onion C&C Dashboard с "образовательской целью" Ransomware, работающий через Onion C&C Dashboard. Пожалуйста, не используйте этот вымогатель в незаконных целях. Только вы несете ответственность за свои действия.
Как ваш Ransomware работает?
Когда вы запустите Ransomware.exe, он будет зашифровать любой заданный тип файлов на ПК (поиск файлов на C-Z дисков), с помощью ключа AES-256 генерируется, который будет отправлен на ваш C&C Dashboard. Когда закончите, это создаст некоторые README-файлы на рабочем столе (на разных языках) и сообщение баннера, который будет запускаться при каждой загрузке (предоставляя реквизиты для оплаты вашему клиенту). Наш Ransomware не разрушает ваш компьютер путем шифрования исполняемых файлов. Exe-файлы не будут зашифрованы, если вы не хотите делать это.
Почему вы продаете по сниженным ценам?
Наша цель продать хороший софт и повысить осведомленность в безопасности. Мы знаем, что многие другие сайты, которые утверждают, что продают подобные продукты, являются аферой. Мы даем возможность протестировать наш продукт по более низкой цене.
Какие типы файлов может ваш Ransomware шифровать?
Эти типы файлов: ".txt", ".rtf", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".ods", ".jpg", ".jpeg", ".png", ".bmp", ".csv", ".sql", ".mdb", ".db", ".accdb", ".sln", ".php", ".jsp", ".asp", ".aspx", ".html", ".htm", ".xml", ".psd", ".cs", ".java", ".cpp", ".cc", ".cxx", ".zip", ".pst", ".ost", ".pab", ".oab", ".msg". Вы можете заказать нам другие дополнительные типы файлов / расширения для шифрования бесплатно.
Какой длины ключ дешифрования AES-256?
Это длинная 30-ти символьная невзламываемая буквенно-цифровая ключевая фраза. Каждый раз, когда вымогатель выполняется, это создает новый и уникальный ключ AES.
Как я могу расшифровать мои файлы?
Поместите файл Decrypter.exe на рабочий стол и выполнить его. Вставьте ключ AES, используемый для шифрования, и подождте некоторое время.
Является ли ваш Ransomware FUD?
Наш Ransowmare имеет чистые на 90% результаты у AV. На 10% она признана некоторыми AV как потенциально-нежелательная программа. Тем не менее, вы можете купить полностью зашифрованную версию. Помните, если вы хотите сохранить ваш Ransomware FUD дольше недетектируемым среди AV, то не отправляйте его в онлайн AV.
Могу ли я использовать свой собственный Crypter с Ransomware?
Да, можешь.
Вы получаете вознаграждение от моих клиентов?
Абсолютно нет. Мы не берем деньги с вас. Вы платите нам только за купленный пакет.
Является ли ваш C&C Dashboard бесплатным?
Мы даем вам доступ к нашей простой C&C Dashboard бесплатно.
Какие данные я могу видеть на C&C Dashboard?
Компьютерный ID, имя пользователя, AES-ключ дешифрования всех клиентов.
Могу ли я протестировать Ransomware на моей виртуальной машине?
Да.
Позаботились ли вы заботиться о моей приватности?
Да, конечно! Мы не держим журналы на сервере и наш сервис на onion/darknet.



Содержание страницы CONTACT на сайте Tor:
[начало как на странице BUY]
-= CONTACT =-
ranion(at)sigaint.org
Bitcoin Address: 1Lr9k7jh8jW2rfEuP6ayUt6vtCvefsBSGA
It is highly recomended using PGP when you write us an email using our following PGP key:
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQINBFh1EDYBEADP****************
-----END PGP PUBLIC KEY BLOCK-----

Перевод страницы CONTACT на русский язык: 
[начало как на странице BUY]
-= КОНТАКТ =-
ranion(at)sigaint.org
Bitcoin-адрес: 1Lr9k7jh8jW2rfEuP6ayUt6vtCvefsBSGA
Очень рекомендуем использовать PGP, когда вы пишите нам на email, используя наш следующий ключ PGP:
----- НАЧАЛО PGP PUBLIC KEY BLOCK-----
mQINBFh1EDYBEADP****************
----- КОНЕЦ PGP PUBLIC KEY BLOCK-----



Технические детали


Распространяется RaaS c помощью onion-сайта в сети Tor, но клиентами-партнёрами может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .asp, .aspx, .bmp, .cc, .cpp, .cs, .csv, .cxx, .db, .doc, .docx, .htm, .html, .java, .jpeg, .jpg, .jsp, .mdb, .msg, .oab, .ods, .odt, .ost, .pab, .php, .png, .ppt, .pptx, .psd, .pst, .rtf, .sln, .sql,.txt, .xls, .xlsx, .xml, .zip (39 расширений). 

Это документы MS Office, OpenOffice, текстовые файлы, базы данных, фотографии и пр. Создатели RaaS заявляют, что готовы расширить список расширений по желаю своих клиентов, чтобы затронуть шифрованием больше данных пользователей.

Файлы, связанные с этим Ransomware:
Ransomware.exe
Decrypter.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***ranionjgot5cud3p.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>


Степень распространённости: средняя, но потенциально высокая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 27 апреля 2017:
Пост в Твиттере >>
Сумма выкупа: 0.1 BTC
Email: ssdt3@protonmail.com
Скриншот записки:


Скриншоты ресурса:


Результаты анализов: VT

Обновление от 11 сентября 2017:
Пост в Твиттере >>
Сумма выкупа: 0.1 BTC
Расширение: .ransom
Email: ToEasyyy4u@protonmail.com
BTC: 1FnERg6NMCZeB9jgUtJT6G9uqfwQ3uJYpj
Файлы: MineCraft Hack + Setup TuT.exe (custom-2017.exe)
Результаты анализов: VT
Записки на разных языках:
README_TO_DECRYPT_FILES.txt
README_TO_DECRYPT_FILES.html
PROCHTI_MENYA_DLYA_RASSHIFROVKI_FAYLOV.txt
LESEN_SIE_MICH_UM_DATEIEN_ZU_ENTSCHLUSSELN.txt
LISEZ-MOI_POUR_DECHIFFRER_LES_FICHIERS.txt
LEAME_PARA_DESCIFRAR_ARCHIVOS.txt
LEGGIMI_PER_DECIFRARE_I_FILES.txt
LEESMIJ-BESTAND_VOOR_HET_DECODEREN_VAN_BESTANDEN.txt




Обновление от 3 ноября 2017:
Пост в Твиттере >>
Версия: 1.07
Расширение: .ransom
Файл: custom-2017.exe
Фальш-имя: Adobe Acrobat Reader
Сумма выкупа: 0.06 BTC
URL: ranionjgot5cud3p.onion.link
Email: secondgroupe@mail2tor.com
BTC: 199EPfkH6t1iXZNp5H8QYwHwHELLWxARRh
Результаты анализов: VT + HA + IA + AR




Обновление от 10 декабря 2017: 
Email: alka@protonmail.com
BTC: 1NTKmeeLp52y9oZVfVZEdUCJBK9xhTcZNW



Обновление от 30 января 2018:
Пост в Твиттере >>
Версия: 1.08
Файл: custom-2017.exe
Фальш-имя: Adobe Acrobat Reader
Результаты анализов: VT


Обновление от 24 февраля 2018:

Пост в Твиттере >>
Версия: 1.08
Расширение: .Ransom
Сумма выкупа: $999 в BTC
Проверяет IP-адрес жертв.
Результаты анализов: VT




Обновление от 9 августа 2018:
Пост в Твиттере >>
Версия: 1.09
Email: chimera@secmail.pro
BTC: 1Pyy5WHoqQeGk9zKn9f72uL4hbF5mhf7ec
Сумма выкупа: 0.10
Файл: pedo-child-porn-downloader.exe
Результаты анализов: VT

Обновление от 20 ноября 2018:
Пост в Твиттере >>
Расширение: .ransom
Email: ransunlock@protonmail.com
BTC: 1LSstcRAu1xGueBJRuyUgHi18PEPHxztvR
Результаты анализов: VT + VT




Обновление от 15 марта 2020:
Пост на форуме >>
Расширение: .r44s
Записка: README_TO_DECRYPT_FILES.html


 

Ссылки на текстовые записки: 
README_TO_DECRYPT_FILES.txt
PROCHTI_MENYA_DLYA_RASSHIFROVKI_FAYLOV.txt
LESEN_SIE_MICH_UM_DATEIEN_ZU_ENTSCHLUSSELN.txt
LISEZ-MOI_POUR_DECHIFFRER_LES_FICHIERS.txt
LEAME_PARA_DESCIFRAR_ARCHIVOS.txt
LEGGIMI_PER_DECIFRARE_I_FILES.txt
LEESMIJ-BESTAND_VOOR_HET_DECODEREN_VAN_BESTANDEN.txt
شروع_رمزگ_شایی.txt
重新解密文件.txt
Email: pc.master@aol.com
BTC: 1X3eCf1JriycNiWwpNHyQamZS1pApE8XX
Результаты анализов: VT 

Вариант от 21 июня 2021: 
Записка: README_TO_DECRYPT_FILES.html
Файл: custom-2017.exe
На файле написано: Adobe Acrobat Reader
Результаты анализов: VT








=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Ranion)
 Write-up
 *
 Thanks: 
 Daniel Smith, Catalin Cimpanu
 S!Ri, Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *