среда, 29 ноября 2017 г.

WannaPeace

WannaPeace Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.08 BTC, чтобы вернуть файлы. Оригинальное название: WannaPeace. На файле написано: RzW и RzW.exe. Разработчик: @AnonymousBr.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: WannaCry > fake! > WannaPeace

К зашифрованным файлам добавляется приставка _enc к оригинальному расширению файла (между именем и расширением):
имя-файла_enc.расширение-файла
name_enc.extension

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
@AnonymousBr - WannaPeace
Desculpe.., seus arquivos foram encriptados!
Permita nos apresentar como Anonymous, e Anonymous apenas.
Nós somos uma idéia. Uma idéia que não pode ser contida, perseguida nem aprisionada.
Milhares de seres humanos estão nesse momento rufigiados. feridos, com fome e sofrendo...
Todos como vítimas de uma guerra que não é nem mesmo deles!!!
Mas infelizmente apenas palavras não mudarão a situação desses seres humanos...
NAO queremos os seus arquivos ou lhe prejudicar.... queremos apenas uma pequena contribuição...
Lembre-se... contribuindo você não vai estar apenas recuperando os seus arquivos...
...e sim ajudando a recuperar a dignidade dessas vitimas...
Envie a sua contribuição de apenas: 0.08 Bitcoins para carteira/endereço abaixo.
17W7XEfA6gVwCpUJghVFPTwTWwwDnnRJU5

Перевод записки на русский язык:
@AnonymousBr - WannaPeace
Извините, ваши файлы были зашифрованы!
Пожалуйста, принимайте нас как Anonymous, и только Anonymous.
Мы - идейные. Идея может содержаться, преследоваться или заключаться в тюрьму.
Тысячи людей сейчас брошены. ранены, голодные и страдающие ...
Все как жертвы войны, которая даже не их война!!!
Но, к сожалению, только слова не изменят положение этих людей ...
Мы НЕ хотим, чтобы ваши файлы были повреждены .... мы хотим только небольшой вклад ...
Помните ... вы вносите свой вклад не только в восстановление ваших файлов ...
... но помогая восстановить достоинство этих жертв ...
Пожалуйста, пришлите свой взнос только: 0.08 биткоины в портфолио / адрес ниже.
17W7XEfA6gVwCpUJghVFPTwTWwwDnnRJU5



Технические детали

Пока находится  в разработке и тестирует только папку C:/testes. Маскируется под приложение Adobe Reader XI. 

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RzW.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 17W7XEfA6gVwCpUJghVFPTwTWwwDnnRJU5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusBuy анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WannaPeace)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 28 ноября 2017 г.

MaxiCrypt

MaxiCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: MaxiCrypt (указано в записке). На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону .[maxicrypt@cock.li].maxicrypt
Сами файлы переименовываются. 


Активность этого крипто-вымогателя пришлась на конец ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How to restore your data.TXT

Содержание записки о выкупе:
MaxiCrypt
===
YOUR FILES ARE ENCRYPTED! 
Your personal ID
R0g000000015ulOw*****BfcY8liLDPY
Your documents, photos, databases, save games and other important data was encrypted. 
Data recovery the necessary decryption tool. To get the decryption tool, should send an email to:
maxicrypt@cock.li or maxidecrypt@protonmail.com
In a letter to include Your personal ID (see the beginning of this document).
In the proof we have decryption tool, you can send us 1 file for test decryption.
Next, you need to pay for the decryption tool. 
In response letter You will receive the address of Bitcoin wallet which you need to perform the transfer of funds.
If You have no bitcoins 
* Create a Bitcoin wallet: https://blockchain.info/ru/wallet/new 
* Purchase Bitcoin: https://localbitcoins.com/ru/buy_bitcoins or http://www.coindesk.com/information/how-can-i-buy-bitcoins (Visa/MasterCard, etc.)
When money transfer is confirmed, You will receive the decrypter file for Your computer. 
After starting the program-interpreter, all Your files will be restored.
Attention! 
* Do not attempt to remove a program or run the anti-virus tools 
* Attempts to decrypt the files will lead to loss of Your data 
* Decoders other users is incompatible with Your data, as each user unique encryption key
===

Перевод записки на русский язык:
MaxiCrypt
===
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ID
R0g000000015ulOw ***** BfcY8liLDPY
Ваши документы, фото, базы данных, сохранение игр и другие важные данные были зашифрованы.
Для восстановление данных нужен инструмент дешифрования. Чтобы получить инструмент дешифрования, надо отправить email по адресу:
maxicrypt@cock.li или maxidecrypt@protonmail.com
В письме укажите свой личный ID (см. начало этого документа).
В доказательстве у нас есть инструмент дешифрования, вы можете отправить нам 1 файл для тест-дешифрования.
Затем вам нужно заплатить за инструмент дешифрования.
В ответном письме вы получите адрес биткоин-кошелька, который вам нужен для перевода средств.
Если у вас нет биткоинов
* Создайте биткоин-кошелек: https://blockchain.info/ru/wallet/new
* Купите биткоины: https://localbitcoins.com/ru/buy_bitcoins или http://www.coindesk.com/information/how-can-i-buy-bitcoins (Visa / MasterCard и т.д.)
Когда денежный перевод будет подтвержден, вы получите файл декриптера для вашего компьютера.
После запуска программы-декриптера все ваши файлы будут восстановлены.
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные инструменты
* Попытки расшифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования
===



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to restore your data.TXT
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: maxicrypt@cock.li
maxidecrypt@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MaxiCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NETCrypton

NETCrypton Ransomware

Crypton.NET Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Фальш-имя: EaseUSDataRecovery. Оригинальное название: Crypton (указано в тексте о выкупе). 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: FKGware >> NETCrypton (Crypton.NET)

Этимология названия:
FKGware — от слов "fake" (англ. "фейк, ложный, фальшивый"), "keygen" - (англ. "генератор ключа, кейген") и "ware" (программа), фактически: Fake-Keygen Ransomware. Так как уже были подобные компрометации кейгенераторов, то я выделил в отдельную группу FKGware подобные шифровальщики, выдающие себя за кейгенераторы. 
Crypton - оригинальное название. Уже не раз использовалось в прошлом. 
Добавление NET означает, что вымогатель кодирован в .NET

К зашифрованным файлам добавляется расширение .encrptd

Распространяется под видом кейгена для программы EaseUS Data Recovery. 
Активность этого крипто-вымогателя пришлась на конец ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
OOPS!
Your files have been encrypted with Crypton. It was encrypted by generating and locking your files with a unique password.
To recover your files, you will have to pay a fee of $300 to the following bitcoin address:
1GU1RSECx6Ti4hjKdMYbqM2vPqi6hj2A6D

Перевод текста на русский язык:
УПС!
Ваши файлы были зашифрованы с Crypton. Шифрование сделано путем создания и блокировки ваших файлов с уникальным паролем.
Чтобы восстановить ваши файлы, вам придется заплатить $300 на следующий биткоин-адрес:
1GU1RSECx6Ti4hjKdMYbqM2vPqi6hj2A6D




Технические детали

Распространяется под видом кейгена для программы EaseUS Data Recovery.

Когда открывается, то спрашивает: "ARE YOU SURE YOU WANT TO EXECUTE THIS RANSOMWARE?" ("ВЫ ПРАВДА ХОТИТЕ ЗАПУСТИТЬ ЭТОТ RANSOMWARE?")

Если вы нажмете "No", то не будет работать и кейген тоже не запустится. 

Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
EaseUSDataRecovery.exe
<image>

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1GU1RSECx6Ti4hjKdMYbqM2vPqi6hj2A6D
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NETCrypton)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 27 ноября 2017 г.

HC6

HC6 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) и SHA256, а затем требует выкуп в $2500 в BTC за всю сеть предприятия, чтобы вернуть файлы. Оригинальное название. Написан на Python.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HC6 > HC7

К зашифрованным файлам добавляется расширение .fucku
Зашифрованные файлы и записка о выкупе


Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: recover_your_fies.txt

Содержание записки о выкупе (грамота сохранена):
ALL YOUR FILES WERE incript.
ORDER, TO RESTORE THIS FILE, YOU MUST SEND AT THIS ADDRESS
FOR $ 2500 BTC FOR ALL NETWORK
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv AFTER PAYMENT SENT EMAIL nullforwarding@qualityservice.com
FOR INSTALLATION FOR DECRIPT
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK

Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Заказ восстановления этот файл, вы должны отправить на этот адресу
Для $ 2500 btc для всей сети
1b8g2l24xbn1sdbpurungmxwzwfgvxuyqv после оплаты отправить на email nullforwarding@qualityservice.com
Для установки для дешифровки
Не выключать компьютер, если он не сломается

_
Английский текст записки настолько плох, что перевод пришлось немного подкорректировать, сохранив "грамоту" оригинала. 



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, но не исключено распространение с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .3gp, .7z, .accdb, .aes, .ai, .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, .docm, .docx, .DOT, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .exe, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gdb, .gho, .gpg, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .hwp, .ibank, .ibd, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpeg, .jpeg, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11 (Security copy), .MYD, .MYI, .ncf, .NEF, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, .ods, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .PAQ, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .SQLITE3, .SQLITEDB, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .syncdb, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor, .txt, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp (283 расширения). Замеченные дубли зачёркнуты и не считаются. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, файлы wallet.datфотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы интернет-банкинга, налоговые декларации и пр. пр.

Файлы, связанные с этим Ransomware:
recover_your_fies.txt
hc6.exe (<random>.exe)
PsExec.exe — утилита PsExec для удаленного выполнения команд

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nullforwarding@qualityservice.com
BTC: Для каждой жертвы биткоин-адрес выбирается случайным образом из следующих 14-ти жёстко закодированных адресов:
1B8yXW8mv2cXYHyXatTkVsek3BpNWdJqBk
1Mh1aVDXAF2ykzMgvwhWwmz7Gw8ttb2qzL
1DdLF32aXfjiURL6VWbsW3rWSuaLZUBfrN
1F4CuNNq58ghSp18e19eRGBqSeAdnbdS62
1ESfumREnY7dazgTtLysxHpLwEykNhGemG
1DuMyrXt64es6BenRSHy9LPubqEq9YR99m
1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
1NYaVPJGEFzwCzYsvp5swNTDiU2so1BvKx
1FEsU4nL3WBG4YWmzR9BwKtdn9ALqobWJ3
1G7sCE1rSKZh4kif6a8hLU1fSn3sxg8Yp5
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
1GHLUDpgBmZwVk4kAbNcJsYa3uvCBf6imC
1M4fMkihMBxS4sQQtfCTq5t2UjpdBEQMYe
1CR77rKXNkxGL13nZa1dFdYm2biqmqLjdf
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusBay >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 декабря 2017:
См. статью HC7 Ransomware >>
Шифрование: AES-256 CBC и SHA256
Файлы: hc7.exe, diskimagemounter.exe
Расширение: .gotya или .GOTYA
Email: m4zm0v@keemail.me
BTC: 1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6 и другие.
Сумма выкупа: $500-$700 за ПК, $5000 за всю сеть.
Записка: RECOVERY.TXT 
Результаты анализов: HA + VT + HA + VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
  Внимание!
  Для зашифрованных файлов есть декриптер
  Скачать hc6Decrypter для дешифровки >>
  *
 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as hc6, hc7)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 victims of Ransomware
 SDK
 Ido Naor
 Alex Svirid

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 25 ноября 2017 г.

StorageCrypter

StorageCrypter Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах с помощью AES/RSA, а затем требует выкуп от 0.2-0.4 BTC до 2 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: WinGame и WinGame.exe. Разработчик: zoom technology.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .locked


Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


⛳ Внимание!!! Данное название StorageCrypter дал этому крипто-вымогателю автор этого блога и раньше всех составил здесь его первое описание. Так информация вошла в поисковые системы. Её прочитали сотни тысяч людей (в блоге, в Твиттере, на форумах). Так StorageCrypter стал идентифицироваться в сервисе ID-Ransomware. Потом зачем-то другие люди переиначили его в StorageCrypt, и в таком виде веб-СМИ перепечатали искажённое название, выдавая за своё или ссылаясь на какой-то другой источник, не указавший ссылку на эту статью. 


Записка с требованием выкупа называется: _READ_ME_FOR_DECRYPT.txt

Содержание записки о выкупе:
Warning
    Your documents,photos,databases,important files have been encrypted by RSA-4096 and AES-256!
    If you modify any file, it may cause make you cannot decrypt!!!
    You have to pay for decryption in bitcoin
    Before paying you can send to us up to 2 files for free decryption
    and it can also prove that we have ability to decrypt.
    Please note that files must NOT contain valuable information
    and their total size must be less than 2Mb

    How to decrypt your files  ?

        To decrypt your files,please following the steps below
        1,Pay 0.4 bitcoin  to this address: 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq
            Pay To : 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq
            Amount : 0.4
        2,After you have finished paying,Contact us and Send us your Decrypt-ID via email
        3,Once we have confimed your deal,You can use the tool we sent to you to decrypt all your files.

    How to obtain bitcoin ?

        The easiest way to buy bitcoin is LocalBitcoins site.
        You have to register, click Buy bitcoins  and select the seller
        by payment method and price
        https://localbitcoins.com/buy_bitcoins
        https://paxful.com/buy-bitcoin
        http://bitcointalk.org/
    If you have any questions please do not hesitate to contact us
Contact Email    :    JeanRenoAParis@protonmail.com
Decrypt-ID        :
    CDwQ5HyOC0s+EM*****

Перевод записки на русский язык:
Предупреждение
    Ваши документы, фотографии, базы данных, важные файлы были зашифрованы RSA-4096 и AES-256!
    Если вы измените какой-то файл, это может привести к тому, что вы не сможете расшифровать !!!
    Вы должны заплатить за дешифрование в биткоинах
    Перед оплатой вы можете отправить нам до 2 файлов для бесплатного дешифрования
    и это также может доказать, что мы можем расшифровать.
    Обратите внимание, что файлы НЕ должны содержать ценную информацию
    и их общий размер должен быть меньше 2 Мб

    Как расшифровать ваши файлы?

        Чтобы расшифровать ваши файлы, выполните следующие действия:
        1, заплатите 0,4 биткоина по этому адресу: 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq
            Платите на: 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq
            Сумма: 0.4
        2, После того, как вы заплатили, свяжитесь с нами и отправьте нам ваш Decrypt-ID по email
        3. Как только мы подтвердим ваш платеж, вы сможете использовать инструмент, который мы отправим вам, чтобы дешифровать все ваши файлы.

    Как получить биткоины?

        Самый простой способ купить биткоины - сайт LocalBitcoins.
        Вам надо зарегистрироваться, нажать Buy bitcoins и выбрать продавца
        по способу оплаты и цене
        https://localbitcoins.com/buy_bitcoins
        https://paxful.com/buy-bitcoin
        http://bitcointalk.org/
    Если у вас есть какие-то вопросы, не стесняйтесь обращаться к нам
Контактный Email    :    JeanRenoAParis@protonmail.com
Decrypt-ID        :
    CDwQ5HyOC0s+EM*****




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
_READ_ME_FOR_DECRYPT.txt
<random>.exe
美女与野兽.exe
SMSS.EXE
REDIR.EXE
DOSX.EXE
<random>.dll
dntboot.bin
scs1.tmp
scs2.tmp
Autorun.inf
<random>.so
sambacry - предполагаемая связь с уязвимостью SambaCry
minerd32 - троян-майнер CoinMiner

Расположения:
C:\WINDOWS\TEMP\scs1.tmp
C:\WINDOWS\TEMP\scs2.tmp
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: JeanRenoAParis@protonmail.com
BTC: 1HUqiacJ6F6yLwTeGwohEdgWVuehibEegq

18QXmwbV1DCyTmqc2bScYKG4NLJMANt98X
URL: xxxx://45.76.102.45/sambacry
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ sambacry >>
VirusTotal анализ SO-файла >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




Почему это стало возможным?

  Киберкриминал использует специальные поисковые системы (Shodan и пр.) и инструменты (Nmap и пр.), которые в автоматическом режиме сканируют Интернет в поисках открытых сетевых портов, расшаренных и потенциально уязвимых сетевых ресурсов. Так, малопримечательный StorageCrypter распространяется через Интернет с помощью уязвимости в протоколе SMB, атакуя ПК пользователей через 139 и 445 открытые сетевые порты.

Чтобы надёжно защитить свои данные от StorageCrypter и его будущих последователей прочтите 5 простых советов по настройке NAS.

- Отключите в настройках NAS онлайн-доступ к файлам, оставьте доступ только из локальной сети. 
- Отключите в настройках NAS уязвимый протокол SMB, это есть в руководстве пользователя NAS.
- Регулярно обновляйте прошивку NAS, это позволит исправить уязвимости и обновить устройство.
- Закройте сетевые порты 139 и 445 с внешней стороны вашего домашнего роутера (маршрутизатора). 
- Установите на каждом домашнем сетевом устройстве надёжную современную защиту от вредоносов.  


Будьте в Безопасности!



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


По предположению специалистов для атаки в NAS используется уязвимость SambaCry. При этом файл sambacry загружается в папку /tmp и распаковывается. SambaCry позволяет злоумышленникам выполнять shell-команды и затем запускать шифровальщик. 


Я не могу гарантировать публикацию всех реальных вариантов Rw.
Я не могу гарантировать полной достоверности всех обновлений Rw. 

Обновление от 11 сентября 2018:
Топик на форуме >>
Расширение: .lock или .locked
Шифрует данные в NAS-хранилищах. 
Email: Leviathan13@protonmail.com
Записка: read_me_for_recover_your_files.txt
➤ Содержание записки (полный вариант): 
All your important files on this device have been encrypted.
No one can decrypt your files except us.
If you want to recover all your files. contact us via E-mail.
DON'T forget to send us your ID!!!
To recover your files,You have to pay 0.8 bitcoin.
Contact Email :  Leviathan13@protonmail.com
Your ID :
HOpwRNL4lAWz7eeb5/G5LsEMqAj*** - 0x200 bytes in base64
Free decryption as guarantee
If you can afford the specified amount of bitcoin,
you can send to us up to 2 files for demonstration.
Please note that files must NOT contain valuable information
and their total size must be less than 2Mb.

*| Мы не уверены в родстве этого вымогательства с описанным в основной статье. Но он также шифрует данные в NAS (Network Attached Storage) - сетевых (облачных) хранилищах данных. По этому признаку они точно "родня". 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (iD as StorageCrypter)
 Write-up, Topic of Support
 * 
Added later:
Write-up about SambaCry, added November 6, 2017
Критическая уязвимость SambaCry: как защититься 
StorageCrypt ransomware, a coinminer and more
 Thanks: 
 (victims in the topics of support)
 Michael Gillespie
 Andrew Ivanov
 Lawrence Abrams
 Bart

© Amigo-A (Andrew Ivanov): All blog articles.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton