воскресенье, 30 декабря 2018 г.

С НОВЫМ ГОДОМ!!!

С НОВЫМ ГОДОМ!!! 

Пусть придёт Удача в дом,

Вместе со Счастьем и Добром!!!

А весёлый Пятачок

Денег принесёт мешок!!!

HAPPY NEW YEAR!!!
Let the luck will come to your house,
Together with happiness and kindness!!!
And cheerful Piglet 
Will bring a large bag of money !!!

HAPPY NEW YEAR!!!


 


© Amigo-A (Andrew Ivanov): All blog articles.

Unnamed Bin

Unnamed Bin Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.047831 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .bin


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
Hello, you or someone who are using this computer has downloaded a game/software illegally.
Unfortunately a malware has infected your computer and a large number of your files has been encrypted using a hybrid encryption scheme.
To recover your files your only option is to send the following amount of Bitcoin to the following address. Be careful, send the exact amount.
Amount (BTC): 0.047831
Address: bc1q7nr4m6vyxv9t0pcgs7fnd8sxuk78j3jh9g7vwy
Where to buy Bitcoins? https://localbitcoins.com/
Once the transaction will be confirmed by the network (up to 1hour), decryption of your files will start.

Перевод записки на русский язык:
Привет! Вы или кто-то, кто использует этот компьютер, незаконно загрузили игру / программу.
К сожалению, вредоносная программа заразила ваш компьютер, и большое количество ваших файлов было зашифровано с использованием гибридной схемы шифрования.
Чтобы восстановить ваши файлы, вы можете отправить следующую сумму биткоинов по следующему адресу. Будьте внимательны, пришлите точную сумму.
Сумма (BTC): 0.047831
Адрес: bc1q7nr4m6vyxv9t0pcgs7fnd8sxuk78j3jh9g7vwy
Где купить биткойны? https://localbitcoins.com/
Как только транзакция будет подтверждена сетью (до 1 часа), начнется расшифровка ваших файлов.

Проверка показала, что указанный в записке биткоин-адрес не существует или написан неправильно. Уплата выкупа бесполезна. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 victims in the topics of support
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 26 декабря 2018 г.

Snatch

Snatch Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .snatch


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme_Restore_Files.txt

Содержание записки о выкупе:
All your files are encrypted
Do not try modify files
My email imBoristheBlade@protonmail.com

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Не пытайтесь изменять файлы
Мой email imBoristheBlade@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme_Restore_Files.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: imBoristheBlade@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Snatch)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 25 декабря 2018 г.

Project57

Project57 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0 BTC, чтобы вернуть файлы. Оригинальное название: Project57 или другое. На файле написано: Project57.exe.

© Генеалогия: предыдущие проекты >> Project57

К зашифрованным файлам добавляется расширение: .костя баранин
Фактически используется .[ti_kozel@lashbania.tv].костя баранин

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
DECRYPT.HTML
DECRYPT.TXT

Содержание HTML-записки:
Файлы зашифрованы ,что делать?
К вашим файлам был потерян доступ и они больше не читаемы. Воу-воу постойте ка, они же зашифрованы, и они не читаются, но это можно исправить.
Что делать?
Для доступа к ним оплатите 0 биткойнов на кошелек который пришлем если Вы напишете нам: ti_kozel@lashbania.tv. Не забудьте идентификатор: eNqrLCotSMsLrQlw1q2EMi3NjM1BwMTc2NzEzMLcwszIzNTMwswcSBqZmZlZmlmaWwL5Fuam5nlANUbmBuYAAasS3w==
Информация
Мы в любом сдучае не советуем вам обращатся в антивирусные компании в надежду на помощь. ОНИ ВАМ НИ С ЧЕМ НЕ ПОМОГУТ! Надеюсь ,мы все вам сказали ,удачи!


Содержание TXT-записки:
Файлы зашифрованы ,что делать?
К вашим файлам был потерян доступ и они больше не читаемы. 
Воу-воу постойте ка, они же зашифрованы, и они не читаются, но это можно исправить.
Что делать?
Для доступа к ним оплатите 0 биткойнов на кошелек который пришлем если Вы напишете нам: ti_kozel@lashbania.tv
Не забудьте идентификатор: eNqrLCotSMsLrQlw1q2EMi3NjM1BwMTc2NzEzMLcwszIzNTMwswcSBqZmZlZmlmaWwL5Fuam5nlANUbmBuYAAasS3w==
Мы в любом сдучае не советуем вам обращатся в антивирусные компании в надежду на помощь. 
ОНИ ВАМ НИ С ЧЕМ НЕ ПОМОГУТ! Надеюсь ,мы все вам сказали ,удачи!

Также используется экран блокировки, в котором отображается список зашифрованных файлов и сначала виден только текст до идентификатора и сам идентификатор. 
При двойном клике по серому фону и 2 раза по заголовку "Ваши файлы заблокированы" появляется текст, направленный против автора GandCrab. 
Его же можно увидеть, если заглянуть в код веб-файла DECRYPT.HTML (строка 16). 

Грамотность автора текстов просто никакая. Ошибки почти в каждом предложении и друг на друге. Видимо тот, кто писал текст записки, "кодить и шкодить начал одновременно". Хотя, возможно, что эти ошибки сделаны намеренно. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Используется Delphi и PHP интерпретатор.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.HTML
DECRYPT.TXT
php5ts.dll

Sample.exe
Project57.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ti_kozel@lashbania.tv
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>> VT>> VT>> VT>>
🐞 Intezer анализ >>  IA>>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet 
 ID Ransomware (ID as Project57)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, GrujaRS, Petrovic
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 23 декабря 2018 г.

Tunca, KGDecrypt

Tunca Ransomware

KGDecrypt Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует 100€ или 115$ или эквиваленты других валют, а также предлагает пострадавшим бесплатную расшифровку, если он инфицирует 10 других ПК.. Оригинальное название: вероятно KGDecrypt (упоминается в тексте). На файле написано: Windows.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .tunca 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен во второй половине декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно ещё в разработке. Шифрует некоторые файлы. Работа нестабильна. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Ooops, it seems like all of your files have been encrypted with AESencryption algorithm.
Can I get my files back?
-Yes, you can. But you need this following software : KGDecrypt
-Without the software, no one can decrypt your files
How do I pay?
-Simply buy a 100€ Paysafecard
-Send a message with the Paysafecard PIN to this account:
Lockify@protonmail.com
-Wait for us to confrim your payment
-Get the decryptor
---
However, there is a way to get a free decryptor!
How to get the free decryptor?
-Create a link on grabify that will download your victim the ransomware
-With this, infect at least 10 people
-Send proof to: Lockify@protonmail.com
-Get your decryptor

Перевод записки на русский язык:
Ой, кажется, что все ваши файлы были зашифрованы с помощью алгоритма AES шифрование.
Могу ли я вернуть свои файлы?
-Да, можешь. Но тебе нужно эта следующая программа: KGDecrypt
-Без программы никто не сможет расшифровать твои файлы
Как мне оплатить?
-Просто купить Paysafecard 100 €
-Отправить сообщение с PIN-кодом Paysafecard на этот счет:
Lockify@protonmail.com
-Подождать нас, чтобы подтвердить твой платеж
-Получить расшифровщик
---
Однако есть способ получить бесплатный расшифровщик!
Как получить бесплатный расшифровщик?
-Создать ссылку на grabify, которую загрузит ваша жертва вымогателя
-При этом заразить не менее 10 человек
-Отправить подтверждение: Lockify@protonmail.com
-Получить декриптор



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Примечательно, что вымогатель предлагает пострадавшим бесплатную расшифровку, если он инфицирует 10 других ПК.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: lockify@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 21 декабря 2018 г.

QP Ransomware

QP Ransomware

qpqpqpqp Ransomware

(шифровальщик-вымогатель, 7zip-вымогатель)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: предыдущие 7zip-вымогатели7zipper и другие >> QP Ransomware




К зашифрованным файлам добавляется расширение: .aes
Фактически сначала файлы помещаются в архив с паролем (по данным Майкла Джиллеспи это 7zip-архив), а потом расширение переименовывается на .aes
Согласно известной технологии, при архивации с паролем файлы защищены шифрованием AES-256. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Среди пострадавших пользователи из России, но текст записки на английском языке.  

Записка с требованием выкупа называется: INFORMATION.HTA

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. 
If you want to restore them, write us to the e-mail qpqpqpqp@rape.lol
Write this ID in the title of your message 796803309
In case of no answer in 24 hours write us to this e-mail: qpqpqpqp@firemail.cc
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee!
Before paying you can send us up to 4 files for free decryption. The size of each file must be less than 2Mb, and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.
Если вы хотите восстановить их, напишите нам на email qpqpqpqp@rape.lol
Напишите этот ID в заголовке вашего сообщения 796803309
При отсутствии ответа в течение 24 часов напишите нам на этот email : qpqpqpqp@firemail.cc
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы напишите нам. После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия!
Перед оплатой вы можете отправить нам до 4 файлов для бесплатной расшифровки. Размер каждого файла должен быть менее 2 МБ, и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т.д.)
Как получить биткоины
Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные сторонними программами, это может привести к необратимой потере данных.
Расшифровка ваших файлов с помощью третьих лиц может увеличить цену (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INFORMATION.HTA
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: qpqpqpqp@rape.lol, qpqpqpqp@firemail.cc
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as QP Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov, Michael Gillespie
 *
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 19 декабря 2018 г.

Cossy, Grafimatriux

Cossy Ransomware

Grafimatriux Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 50 рублей BTC, чтобы вернуть файлы. Оригинальное название: Cossy. На файле написано: Cossy и Cossy.exe

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .Защищено RSA-2048

При этом exe-файлы меняют расширение на .lnk.Защищено RSA-2048
Пример: Setup.exe > Setup.lnk.Защищено RSA-2048

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Как все эту шалашкину контору расшифровать.txt

Содержание записки о выкупе:
Привет дорогой друг! Да, я скупой жадина но я должен это сказать...
прости...
но.......
все твои файлы___
ЗАШИфРоВаНЫ!1!!11!!11!1 :DDDDDDDDD
Алгоритм RSA! 2048 бит! 4096 лень!
Он на простых числах базируется он.
Сейчас расскажу вам просто.
Пишите на grafimatriux72224733@protonmail.com.
Мы предоставляем: Бесплатную расшифровку. Платную расшифровку (и Договорную расшифровку)*
Договорная расшифровка - это если Вы имеете файлы старой давности, которые копили много лет, то дешифратор предоставляется бесплатно.
Платная расшифровка стоит - 50 рублей в биткоинах, кошелек сделаем для Вас уникальным.*
Бесплатно расшифровать можно 5 файлов с размером 5 или меньше МБ.
Я не обманываю Вас, + даю при оплате советы по улучшению безопасности и инструкции по дешифровке."
* - Услуги предоставляются если Вы для нас напишете письмо с файлом Крайне важная инфа.RSA-2048 файл

Перевод записки на русский язык:
Уже сделан вымогателем. 

При этом в тексте записки и названиях файлов есть ошибки, характерные для "юного дарования", немного недоучившегося в школе. Радует, что совесть у этого "юного дарования" ещё осталась и он просит не так много и в... рублях. Хотя, это всё может быть просто показное и эти микро-деньги ему не нужны. Ему важно показать себя творцом этого и всех предыдущих Ransomware, которые он сделал и запустил. 

📢 Но, дорогой друг, Ransomware — это не творческая забава, а опасные игры, а брошенная граната может задеть и того, кто её бросил. Так что, пока не поздно, переходи на серьёзные вещи — пиши полезные программы и найдёшь больше пользователей, которые это оценят.  



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cossy.exe
Как все эту шалашкину контору расшифровать.txt
Крайне важная инфа.RSA-2048 файл
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: grafimatriux72224733@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Cossy)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton