понедельник, 11 сентября 2017 г.

Paradise

Paradise Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Paradise Ransomware. Может продаваться как RaaS ("вымогатель как услуга" - Ransomware-as-a-Service). 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение .paradise по шаблону id-[affiliate_id].[affiliate_email].paradise

Примеры зашифрованных файлов: 
my-picture.pngid-3VwVCmhU.[info@decrypt.ws].paradise
my-photo.jpgid-3VwVCmhU.[info@decrypt.ws].paradise
my-document.docid-3VwVCmhU.[info@decrypt.ws].paradise

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Записка с требованием выкупа называется: #DECRYPT MY FILES#.txt
Информатором жертвы выступает также изображение, встающее на обои рабочего стола с кратким текстом (файл desk.bmp).
Paradise RansomwareParadise Ransomware

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: info@decrypt.ws
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 1Mb
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price
https://localbitcoins.com/buy_bitcoins
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблем безопасности
Если вы хотите их восстановить, напишите нам на e-mail: info@decrypt.ws
Вы должны заплатить за дешифрование в биткойнах. Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Обратите внимание, что файлы НЕ должны содержать ценную информацию, и их общий размер должен быть меньше 1 Мб
[КАК ПОЛУЧИТЬ БИТКОЙНЫ]
Самый простой способ купить биткойн - сайт LocalBitcoins.
Вам необходимо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных
Если вы не пишете по email 36 часов - ваш ключ будет удален, и вы не сможете расшифровать свои файлы



Еще один информатор жертвы — HTML-записка в обновлённой версии




Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#DECRYPT MY FILES#.txt
DP_Main.exe
VID495097072.exe
DecriptionInfo.auth - файл, который нужно отсылать вымогателям
desk.bmp
Failed.txt
Files.txt
id.dp

Расположения:
%UserProfile%\Desktop\DecriptionInfo.auth
%UserProfile%\AppData\Local\Temp\desk.bmp
%UserProfile%\Failed.txt
%UserProfile%\Files.txt

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\{ransom filename}_RASAPI32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\{ransom filename}_ RASMANCS
HKEY_CURRENT_USER\Control Panel\Desktop WallpaperStyle = "2"
HKEY_CURRENT_USER\Control Panel\Desktop Tile = "0"
HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper = "%User Temp%\desk.bmp"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://178.208.77.47/api/Encrypted.php
xxxx://decrypt.ws
Email: info@decrypt.ws
tankpolice@aolonline.top
edinstveniy_decoder@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на DP_Main.exe >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 3-10 января 2018:
Пост в Твиттере >>
Расширение: .paradise
Шаблон: [id-<id>].[<email>].paradise
Email: paradise@all-ransomware.info
Записка: #DECRYPT MY FILES#.html
Файл: DP_Main.exe
Результаты анализов: VT
<< Скриншот записки

Обновление от 16 января 2018:
Топик на форуме >>
Записка: KEY BACKUP.txt
Email: uqmv@protonmail.com
Файлы: DP_Main.exe и другие. 
<< Скриншот записки
Краткое содержание:
Hi!
I crypted all your important data 
Your documents, photos, databases, programs and other important data was encrypted. 
The only way to recover your files - contact us via "uqmv@protonmail.com"
I stored the crypted data in your hard disk.
If you want to become your data back, send me an email containing your ip address.
Your ip address: 100.100.100.100

Обновление от 13 марта 2018:
Пост в Твиттере >>
Расширение: .sell
Шаблон составного расширения: [id-<ID{8_chars}>].[support@all-ransomware.info].sell
Email: support@all-ransomware.info
Шаблон записки: #DECRYPT MY FILES#_<ID{8_chars}>.html
Пример записки: #DECRYPT MY FILES#_uqxptvsx.html




Обновление от 14 марта 2018:
Пост в Твиттере >>
Расширения: .ransom и .logger
Составное расширение-1 (шаблон): [id-<ID{8_chars}>].[<email>].ransom
Составное расширение-2 (шаблон): [id-<ID{8_chars}>].[<email>].logger
Email: paradise@all-ransomware.info
Примеры зашифрованных файлов: 
Document001.docx[id-cQZXBG0n].[paradise@all-ransomware.info].ransom
Document002.docx[id-cQZXBG0n].[paradise@all-ransomware.info].logger
Шаблон записки: #DECRYPT MY FILES# <ID>.html
Пример записки: #DECRYPT MY FILES# cQZXBG0n.html



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Paradise)
 Write-up, Topic of Support + Write-up
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton