понедельник, 10 июля 2017 г.

Bitpaymer

Bitpaymer Ransomware

WPEncrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные компьютеров в предприятиях и организациях с помощью комбинации шифров RC4 и RSA-1024, а затем требует выкуп в 50 BTC за все компьютеры в сети, чтобы вернуть файлы. Сумма выкупа может быть и меньше для разных жертв. Оригинальное название: Bit paymer. На файле написано: apisetstub, ApiSet Stub DLL или NlsData081a. Фальш-копирайт: Microsoft. Судя по одному из образов, название проекта: wp_encrypt. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: .readme_txt
С точкой потому, что она добавляется к каждому зашифрованному файлу как расширение. 

Содержание текста о выкупе: 
YOUR COMPANY HAS BEEN SUCCESSFULLY PENETRATED!
DO NOT RESET OR SHUTDOWN - files may be damaged. DO NOT TOUCH this file.
All files are encrypted, we accept only bitcoins to share the decryption software for your network.
Also, we have gathered all your private sensitive data.So if you decide not to pay anytime soon, we would share it with media's.
It may harm your business reputation and the company's capitalization fell sharply.
Do not try to do it with 3rd-parties programs, files might be damaged then.
Decrypting of your files is only possible with the special decryption software.
To receive your private key and the decryption software please follow the link (using tor2web service):
xxxxs://qmnmrba4s4a3py6z.onion.to/order/***
If this address is not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: xxxx://gmnmrba4s4a3py6z.onion/order/***
4. Follow the instructions on the site
5. This link is valid for 72 hours only. Afetr that period your local data would be lost completely.
6. Any questions: 15010050@tutamail.com
KEY:***

Перевод на русский язык:
ВАША КОМПАНИЯ БЫЛА УСПЕШНО ПЕНЕТРИРОВАНА! 
Все файлы зашифрованы. Мы принимаем только биткоины для раздачи программы дешифрования по вашей сети. 
Кроме того, мы собрали все ваши конфиденциальные данные. 
Поэтому, если вы вскоре не заплатите, мы распределим...
 Это может нанести вред вашей деловой репутации, и капитализация компании резко упадёт.
Не пытайтесь делать это с помощью сторонних программ, тогда файлы могут быть повреждены.
Расшифровка ваших файлов возможна только с помощью специальной программы для дешифрования.
Чтобы получить свой секретный ключ и программу для дешифрования, перейдите по ссылке (используя службу tor2web):
xxxxs://qmnmrba4s4a3py6z.onion.to/order/***
Если этот адрес недоступен, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: xxxx://gmnmrba4s4a3py6z.onion/order/***
4. Следуйте инструкциям на сайте
5. Эта ссылка действительна только в течение 72 часов. По их их истечении ваши локальные данные будут полностью потеряны.
6. Любые вопросы: 15010050@tutamail.com
Ключ:***




Скриншоты с сайта уплаты выкупа

Содержание текста на сайте для выкупа:
Welcome to the ransom page!
To get the decryption software and the private key  for every single infected computer in your network please follow the on-screen instructions on how to buy and send the Bitcoin's:
1. Please register a Bitcoin wallet. Here are the options:
    - Blockchain Online Wallet (the easiest way)
    - Other options (for advanced users)
    - Send via Bitcoin exchanger directly to the ransom wallet.
2. To buy the Bitcoins please use either of options below:
    - localBitcoins.com             Buy Bitcoins with Western Union and several alternative methods.
    - btc-e.com                        Western Union, Cash, Bank Wire, etc.
    - coincafe.com                     Recommended for fast, simple service.
    - coinbase.com                 Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: 
Bitcoin ATM, in person.
    - localBitcoins.com             Service allows you to search for people in your community willing to sell Bitcoins to you directly.
    - cex.io                         Buy Bitcoins with VISA/MASTERCARD or wire transfer.
    - btcdirect.eu                     The best for Europe.
    - bitquick.co                     Buy Bitcoins instantly for cash.
    - howtobuyBitcoins.info         An international directory of Bitcoin exchanges.
    - cashintocoins.com             Bitcoin for cash.
    - coinjar.com                     CoinJar allows direct Bitcoin purchases on their site.
    - anxpro.com
    - bittylicious.com
3. Get bitcoin wallet for payment (bitcoin address valid for 12 hours, if 12 hours passed please get the new wallet)
4. Send 50 BTC  to the bitcoin address
15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1 (must be sent in 1 transaction!)
Please note that we require 3 Bitcoin transaction confirmations.
    - To view the current status of your transaction please follow the link: 
https://blockchain.info/address/15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
    - Once the transaction passed 3 confirmations please refresh the page and you will be granted to download the decryption software
    - If something goes wrong please contact us via email: 17042102@tutamail.com
    - We can decrypt 2-3 non-important light-weight files before you pay, send'em to email: 17042102@tutamail.com
4. Please be advised that the ransom amount may be raised after 48 hours since your first visit if no payment received. 
In 7 days this link would be deleted, so all your information could be lost.
    Your company is secure enough, but we may tell you what is wrong after payment being processed. Good Luck!

Перевод текста на сайте на русский язык:
Добро пожаловать на страницу выкупа!
Чтобы получить программу для дешифрования и закрытый ключ для каждого отдельного зараженного компьютера в вашей сети, следуйте инструкциям на экране о том, как купить и отправить биткойны:
1. Пожалуйста, зарегистрируйте Bitcoin-кошелек. Вот варианты:
    - Сетевой кошелек Blockchain (самый простой способ)
    - Другие варианты (для продвинутых пользователей)
    - Отправьте через Bitcoin-обменник прямо в кошелек для выкупа.
2. Чтобы купить биткойны, пожалуйста, используйте один из следующих вариантов:
    - localBitcoins.com - Купить биткойны с Western Union и несколько альтернативных методов.
    - btc-e.com - Western Union, Cash, Wire Wire и т. Д.
    - compatafe.com - Рекомендуется для быстрого и простого обслуживания.
    - coinbase.com - Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. В NYC:
Bitcoin ATM, лично.
    - localBitcoins.com - сервис помогает найти людей в вашем сообществе, готовых напрямую продать Bitcoins.
    - cex.io - Купить биткойны с VISA / MASTERCARD или банковским переводом.
    - btcdirect.eu - Лучшее для Европы.
    - bitquick.co - Купить биткойны мгновенно за наличные.
    - howtobuyBitcoins.info - Международный справочник бирманских бирж.
    - cashintocoins.com - биткойны за наличные.
    - coinjar.com - CoinJar - позволяет напрямую покупать биткойны на своем сайте.
    - bittylicious.com
3. Получите биткойн-кошелек для оплаты (биткойн-адрес действителен 12 часов, если прошло 12 часов, получите новый кошелек)
4. Отправьте 50 BTC на биткойн-адрес 
15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1 (должен быть отправлен в 1 транзакции!)
Обратите внимание, что нам требуется 3 подтверждения транзакции Bitcoin.
    - Чтобы просмотреть текущий статус транзакции, перейдите по ссылке:
https://blockchain.info/address/15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
    - После того, как транзакция прошла 3 подтверждения, пожалуйста, обновите страницу, и вам будет предоставлена ​​возможность загрузить программное обеспечение для дешифрования
    - Если что-то пойдет не так, свяжитесь с нами по email: 17042102@tutamail.com
    - Мы можем расшифровать 2-3 важных файла с легким весом, прежде чем вы заплатите, отправьте по email: 17042102@tutamail.com
4. Пожалуйста, имейте в виду, что сумма выкупа может быть увеличена через 48 часов с момента вашего первого посещения, если платеж не получен.
Через 7 дней эта ссылка будет удалена, поэтому вся ваша информация может быть потеряна.
    Ваша компания достаточно безопасна, но мы можем сказать вам, что не так после обработки платежа. Удачи!

Распространяется путём взлома через незащищенную конфигурацию RDP. Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
 ... .bmp, .doc, .gif, .jpg, .mp3, .pdf, .png   ...
Это вероятно документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<file_name>.readme_txt
<random>.exe
<random>.tmp

Странные файлы:
g7jPtkL61MJlOuA5XHbLrCZK.oBu
kyrq0FRS37EmB.siS
l2mxwrZNwyVO0y8EAMTy.d7A

Расположения:
%LOCALAPPDATA%\\random\<random>.exe

Временные файлы, подлежащие удалению:
%LOCALAPPDATA%\dIPNflS\s2h56FV.exe
%LOCALAPPDATA%\UxBmpV3\tYXbzc.exe
%TEMP%\CZ5EAC.tmp
%TEMP%\Gb5EE9.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://qmnmrba4s4a3py6z.onion
xxxx://qmnmrba4s4a3py6z.onion/order/43e4593a-5dc7-11e7-8803-00163e417ea3***
BTC: 15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
Email: 17042102@tutamail.com
15010050@tutamail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 августа 2017:
Email: 43rgwe723E94@tutanota.com (новый)
Tor: gmnmrba4s4a3py6z.onion (не изменился)

Обновление от 21 мая 2018: 
Пост в Твиттере >>
Tor-URL: xxxx://xau4lkbipznut2ya.onion/***
Email: 1173022@protonmail.com
BTC: 3EQoU28BLTebRZUh1RevG5DWWXB8iTDpAe
 Скриншоты записки о выкупе и Tor-сайта вымогателей
➤ Содержание текста из записки:
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorythm.
Backups were either encrypted or deleted or backup disks were formatted.
No free decryption software is available in the public.
Do not reset or shutdown - files may be damaged.
Do not rename the encrypted and readme files.
Do not move the encrypted and readme files.
This may lead to the impossibility of recovery of the certain files.
To get info(pay-to-decrypt your files) contact us at:
1173022@protonmai1. com
If you haven't received any response within 24h since you wrote us visit your personal ransom page in TOR to get the alternative email address:
http://xau4lkbipznut2ya.onion/order/98aa2b7e-f63d-11e7-9f2f-00163e044792
Use TOR Browser to be able to view you personal ransom page
https://www.torproject.org/download/download-easy.html.en
KEY:AQIAAAFoAAAApAAAQGY73*****MEDd3usQQ=
➤ Содержание текста на Tor-сайте:
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorythm.
Backups were either encrypted or deleted or backup disks were formatted.
No free decryption software is available in the public.
Do not rename the encryted or informational text files. Do not move the encrypted or informational text files.
This may lead to the impossibility of recovery of the certain files.
• Your reference ID: 124
(we recommend to put the reference ID as the subject when contacting us)
• BTC wallet for payment:
***
3EQoU28BLTebRZUh1RevG5DWWXB8iTDpAe
you can check the status here: 
https://blockchain.info/address/3EQoU28BLTebRZUh1RevG5DWWXB8iTDpAe
• Contact email: 1173022@protonmail.com






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Bitpaymer)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Jakub Kroustek
 David Montenegro
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton