Если вы не видите здесь изображений, то используйте VPN.

суббота, 26 августа 2017 г.

BTCWare-Nuclear

BTCWare-Nuclear Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что угодно.
BTCWare-Nuclear Ransomware
This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-Nuclear 

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].nuclear

В августе это были:
.[black.world@tuta.io].nuclear
.[asdqwer123@cock.li].nuclear

Активность этого крипто-вымогателя пришлась на первую август-сентябрь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

ВАЖНО!!! Разработчики этого варианта испортили шифрование файлов размером более 10 Мб и не смогут их расшифровать. Такое же поведение наблюдалось и в других файлах случайных размеров. Поэтому уплата выкупа не рекомендуется в любом случае, т.к. скорее всего многие ваши файлы не будут расшифрованы.

Записка с требованием выкупа называется: HELP.hta
 
Примеры записки о выкупе BTCWare-Nuclear Ransomware

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail black.world@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
• Do not rename encrypted files. 
• Do not try to decrypt your data using third party software, it may cause permanent data loss. 
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на email black.world@tuta.io
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование как гарантия
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 1 Мб (не архивирован), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

BTCWare-Nuclear шифрует файлы только до 0xA00000 байт. Более 10 Мб файлы вообще необратимо повреждаются. Уплата выкупа бесполезна. 

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP.hta
payload.exe
_ReadMe_.txt

Расположения:
%APPDATA%\HELP.hta

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Связанный открытый ключ Nuclear RSA-1024:
Открыть:
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDMwl0XpgillW5xCvuTbug+U+bVtZTaS0SRM+gNgaegG9PwsUXsxaqOLBg1zBxUxPcsJvUcQ/SKYWNsA49SIaMtSG2/b5rby2cnS8J4wwqkF0hDUFurF+t1o1TO6NDomgVMyak6nteJuR9ZAPUAmT3s4HqbhbL9Mh6h08iEl7jCbQIDAQAB
-----END PUBLIC KEY-----

Сетевые подключения и связи:
URL: ocsp.comodoca4.com
maps.googleapis.com
localbitcoins.com
stats.g.doubleclick.net
ocsp.pki.goog
cdn.mxpnl.com
js-agent.newrelic.com
maps.gstatic.com
bam.nr-data.net
api.mixpanel.com
csi.gstatic.com

Email: black.world@tuta.io
asdqwer123@cock.li
assistance@firemail.cc и 2ndsupport@protonmail.com
decr@cock.li
kod.zapuska@tuta.io
cryptozlo@cock.li
varginfo@tuta.io
goldwave@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 сентября 2017:
Расширение: .nuclear
Составное расширение: .[assistance@firemail.cc].nuclear
Email: assistance@firemail.cc и 2ndsupport@protonmail.com
Файл: Underkeeper2.exe
Результаты анализов: HA + VTVT

Обновление от 15 сентября 2017:
Расширение: .nuclear
Составное расширение: .[yasomoto@tutanota.com].nuclear
Email: yasomoto@tutanota.com

Обновление от 25 сентября 2017: 
Расширение: .nuclear
Новое составное расширение: .[goldwave@india.com]-id-<id>.nuclear" 
Email: goldwave@india.com

Обновление от 27 сентября 2017:
Расширение: .nuclear
Новое составное расширение: .[varginfo@tuta.io].nuclear
Email: varginfo@tuta.io
Результаты анализов: VT

Другие обновления октября 2017:

Расширение: .nuclear
Записки: HELP.hta, HELP.hta, HELP.hta
Составное расширение: .[<email>].nuclear
Email: assistance@firemail.cc + 2ndsupport@protonmail.com
Составное расширение: .[<email>].nuclear
Email: mail@gryphon.bz
Составное расширение: .[<email>]-id-x.nuclear
Email: nuclear@cryptmaster.info

Обновление от 15 февраля 2018:
Расширение: .nuclear
Составное расширение: .[black.world@tuta.io]-id-<id>.nuclear
Email: black.world@tuta.io
Tor: cr7icbfqm64hixta.onion
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile
Более новые варианты BTCWare-Nuclear имеют в функционале серьезную 
ошибку, которая необратимо уничтожает некоторые файлы. Посмотрите на 
зашифрованный файл в Hex-редакторе, если он не имеет в начале ничего, 
кроме 0x00 байт, то он необратимо повреждён. В таком случае даже 
вымогатели с нужным ключом дешифрования не смогут его восстановить. 
Уплата выкупа бесполезна!
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under Gryphon)
 Write-up, Topic of Support
🎥 Video review 

 Thanks: 
 Michael Gillespie, JakubKroustek
 Lawrence Abrams
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *