понедельник, 14 августа 2017 г.

MMM

MMM Ransomware v.0

TripleM Ransomware v.1

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью сочетания RSA + AES + HMAC, а затем требует выкуп в 1.2 BTC, чтобы вернуть файлы. Оригинальное название: MMM и TripleM (т.е. три MMM). 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения:
0-я версия: .0x009d8a
1-я версия: .triple_m
2-я версия: .MMM

Активность первоначальной версии этого крипто-вымогателя пришлась на начало августа 2017 г. Другая версия была замечена в конце декабря 2017-го. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
На август пришлась 0-я версия, в конце декабря - 1-я версия. 

Записка с требованием выкупа в ранней версии называется: RESTORE_0x009d8a_FILES.html

Содержание записки о выкупе:
YOUR UNIQ IDENTIFICATOR: QRM2TR6***
What happend with my files?
All your databases corrupted. All your files has been locked ( encrypted) with Ransomware
 For encrypting we using strong cryptographic algorithm AES256+RSA-2048 .Do not attempt to recover the files yourself.
 You might corrupt your files. We also rewrite all old blocks on HDD and you don`t recover your files with Recuva and other... 
 YOU HAVE ONLY 6 DAYS FOR BUY YOUR DECRYPTION TOOL 
 It is not advised to use third party tools to decrypt,if we find them you ,you will forever lose your files. 
How i can restore my files?
Go to BTC exchange services and buy 1,2 Bitcoin 3) Send it to address 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT and write us email to address unransom@mail.com for giving your key and decryption tool. In subject write your Unique ID 
BTC Guide:
Top BTC exchange sites: LocalBitcoins (We recomend), Coinbase, BTC-E, 
Online wallets: BlockchainInfo, Block.io 

Перевод записки на русский язык:
ВАШ УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР: QRM2TR6 ***
Что случилось с моими файлами?
Все ваши базы данных повреждены. Все ваши файлы заблокированы (зашифрованы) с помощью Ransomware
  Для шифрования мы используем сильный криптографический алгоритм AES256 + RSA-2048. Не пытайтесь самостоятельно восстановить файлы.
  Вы можете повредить свои файлы. Мы также переписываем все старые блоки на HDD, и вы не восстанавливаете свои файлы с помощью Recuva и других ...
  У ВАС ЛИШЬ 6 ДНЕЙ ДЛЯ ПОКУПКИ ИНСТРУМЕНТА ДЕШИФРОВАНИЯ
  Не рекомендуется использовать сторонние инструменты для дешифрования, если мы их найдем, вы навсегда потеряете свои файлы.
Как я могу восстановить мои файлы?
Перейдите на службы обмена BTC и купите 1,2 Bitcoin 3) Отправьте их на адрес 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT и напишите нам на email-адрес unransom@mail.com для предоставления ключа и дешифрования. В теме укажите свой уникальный идентификатор
Руководство по BTC:
Лучшие сайты обмена BTC: LocalBitcoins (We recomend), Coinbase, BTC-E, 
Онлайн-кошельки: BlockchainInfo, Block.io 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
MMM.exe (triple_m.exe)
RESTORE_0x009d8a_FILES.html - в 0-й версии
RESTORE_triple_m__FILES.html - в 1-й версии

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC-1: 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT - в 0-й версии
BTC-2: 35iCvpMMnUWcSWrYtLJLXqe9xo5CYEWRhw - в 1-й версии
Email: unransom@mail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 декабря 2017:
Шифрование: AES128 + RSA-2048
Пост в Твиттере >>
Название: TripleM (MMM) Ransomware v.1
Версия файла: 1.3.3.9
Расширение: .triple_m
Файл ключа шифрования: *.info
Файлы: MMM.exe, temp_1.bat, reco.bat, bcedit.bat, _ReadMe_.txt.info, _ReadMe_.txt.triple_m
Записка: RESTORE_triple_m__FILES.html
Email: unransom@mail.com
BTC: 35iCvpMMnUWcSWrYtLJLXqe9xo5CYEWRhw
Результаты анализов: VT + HA
Удаляет теневые копии файлов командой: vssadmin delete shadows /all /quiet

 
Скриншот записки и файлов

Обновление от 5 мая 2018:
Пост в Твиттере >>
Расширение: .MMM
GET_YOUR_FILES_BACK.html
BTC: 1MMMSA9WJvM7BjhEqy4cQ4gjUXgKKTJcK3



Обновление от 26 декабря 2018:
Пост в Твиттере >>
Самоназвание: MMM Reborn
Записка: IF_YOU_NEED_FILES_READ_ME.html
Email: mmm_reborn@tutamail.com
BTC: 18NYQLduStwnBS9XiLr8MuHvsmUx6RRQhK 
Файлы зашифрованы в hex-формате и сопровождаются XML-файлом с зашифрованным ключом *.info. Имя файла зашифровано. 
➤ Содержание записки: 
NOT YOUR LANGUAGE? Use Google Translate
What happened to your files?
 All of your files were encrypted by a strong encryption with RSA2048
How did this happen? •Specially for your PC was generated personal RSA2048 Key, both public and private.
•ALL YOUR FILES were encrypted with the public key, which has been transferred to your PC via the Internet.
•Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our Server
What do I do? 
So,there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW and restore your data easy way. 
If you have really valuable data, your better not waste your time, because there is no other way to get your files, except payment. 
Your personal ID: [redacted 8 lowercase alphanum].[redacted 3 lowercase alphanum] 
Your personal wallet adress:  18NYQLduStwnBS9XiLr8MuHvsmUx6RRQhK 
 Your price start from 222 BTC , after week he is 333 BTC , after 3 week he is 444 BTC. 10 January your secret key has been deleted. 
Instruction: 
---- Buy Bitcoin on btc exchange sites (Coinbase,Localbitcoins, Coinmama and another).For buy Bitcoin you need confirm your Identify. 
---- Buy Bitcoin offline in ATM or from seller (watch https://coinatmradar.com/blog/how-to-buy-bitcoins-with-bitcoin-atm/ ) 
2)send Bitcoins to  18NYQLduStwnBS9XiLr8MuHvsmUx6RRQhK 
3)Write us to email mmm_reborn@tutamail.com 
4)After we confirm payment - we send you decryption software and Private Key for decrypt your files. 

Обновление от 23-26 марта 2019:
Топик на форуме >>
Пост в Твиттере >>
Подробности об этой версии на форуме BC >>
В этой версии используется встроенный RSA-2048 открытый ключ для защиты уникальных безопасно сгенерированных 16-битных AES-128 и IV 16-битных ключей для каждого файла. Имя файла зашифровано. 
Самоназвание: MMM REBORN V4 ( 4.0.1.6), Copyright © 2018-2019 TRIPLEM
Записка: DECRYPT_FILES.txt
Email: mmm_reborn@tutamail.com
BTC: 1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
Файл EXE: RebornMMM.exe
Другие файлы: wrlvdtte.5g4.txt, ecorp.bat
Результаты анализов: VT + IA + AR

➤ Содержание записки:
TRIPLEM(MMM) REBORN RANSOMWARE v4
What happened to your files?
Your stupid IT Dept. not secure your systems and all of your files were encrypted.
Your files were encrypted by a strong encryption with RSA2048.
What do I do?
So,there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW and restore your data easy way.
If you have really valuable data, your better not waste your time, because there is no other way to get your files, except payment.
You can send to mmm_reborn@tutamail.com 2-3 random files < 2mb and we decrypt it for free.
!!!DO NOT TRY RESTORE YOUR FILES.
!!!DO NOT USING DIFFERENT DECRYPTION SOFTWARE. 
!!!FILES MAY BE DECRYPTED ONLY WITH OUR SOFTWARE.
YOUR PERSONAL DETAILS
YOUR DECRYPTION PRICE: 
IF YOU PAY WITHIN 7 DAY - 8 BITCOIN 
IF YOU NOT PAY WITHIN 7 DAY - 12 BITCOIN 
WALLET ADRESS:1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
UNIQ USER ID: wrlvdtte.5g4
INSTRUCTION
1) Buy Bitcoin on btc exchange sites (Coinbase, Localbitcoins, Coinmama and another).
For buy Bitcoin you need confirm your Identify.
Buy Bitcoin offline in ATM or from seller https://coinatmradar.com/ 
2) Send BITCOIN to your personal wallet adress 
1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
3) Write us to email mmm_reborn@tutamail.com in subject write your UNIQ USER ID
4) After we confirm payment - we send you  decryption software and Private Key for decrypt your files. 
TRIPLEM(MMM) REBORN RANSOMWARE v4





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы в некоторых случаях можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
****
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as MMM)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 A Shadow
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton