пятница, 30 марта 2018 г.

H34rtBl33d

H34rtBl33d Ransomware

HeartBleed Ransomware

D3G1D5Crypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные сайтов и серверов, а затем требует выкуп в ~ 0.1337 BTC - 0.05 BTC, чтобы вернуть файлы. Оригинальное название: H34rtBl33d (упоминается в тексте вымогателей) и H34rtBl33d Ransomware. Выявлена связь с вымогателем (вымогателями), которые разрабатывали Halloware Ransomware. Разработчик-вымогатель или его посредник в данном случае имеет ник: D3g1d5 Cyber Crew (D3G1D5 Cyber Crew, D3G1D5CYBERCREW). Файл подписан: [!]DnThirteen™ D3G1D5 Cyber Crew. Страна: Индонезия. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: ранние проекты > HallowareKNTLCrypt, D3G1D5Crypt, H34rtBl33d, DnThirTeen (Dn13)ScorpionLocker

К зашифрованным файлам добавляются расширения 
.H34rtBl33d
.d3g1d5 
или новые.

Этимология названия:
В названии H34rtBl33d скрыты английские слова Heart Bleed. Это подтверждает своеобразный логотип, стилизованный под истекающую кровью фразу. 

Активность этого крипто-вымогателя пришлась на конец марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
H34rtBl33d.txt
H34rtBl33d.html
H34rtBl33d.bmp
Содержание текстовой записки о выкупе:
This Is Your Personal Key : RDNHMUQ1Q1lCRVJDUkVXUENQQ2FkbWluTVRjNFFrWkNSa1l3TURBek1EWkR*****
Pay Some Money To Recover Your Data, Zuahahahaha!


Содержание HTML записки о выкупе:
All Your File At Your Computer Has Been Encrypted By H34rtBl33d~
Contact Me For Decrypter Key : 
http://trl74246phm5t2gn.onion.to
Who Am I? :
[!]DnThirTeen - JCOder - WongTani

Содержание BMP записки о выкупе:
 
Скриншоты с Рабочего стола

Также используется BalloonTips — системная функция всплывающих подсказок в области уведомлений, которая показывает всплывающие "пузыри" с текстом вымогателей в панели уведомлений Windows.  

Содержание текстов из уведомлений:
Error! Your file could not be opened
Please Decrypt Your File Using H34rtBl33d Decrypter
-
Want Your Files Back? Click here
Find out here about H34rtBl33d Decrypter and how to return it click here
-
cheaper than wannacry!
H34rtBl33d very good ransomware in the world
-
Ransomware With Cheapest Ransom!
FACT! Ransomware that has infected your computer turned out RANSOMWARE WITH THE LOWEST CHOICE. Want your file back? Click here
-
Go Home Kidz, Zuahahaha!
-
Pay Some Money To Recover Your Data, Zuahahahaha!

Перевод текстов на русский язык:
Ошибка! Не удалось открыть файл.
Расшифруйте файл с помощью H34rtBl33d декриптер
-
Хотите вернуть свои файлы? Кликните сюда
Узнайте здесь о H34rtBl33d декриптере и о том, как вернуть это, здесь.
-
дешевле, чем wannacry!
H34rtBl33d лучший выкуп в мире
-
Ransomware с самым дешевым выкупом!
ФАКТ! Ransomware, заразивший ваш компьютер, оказался RANSOMWARE С САМЫМ НИЗКИМ ВЫБОРОМ. Хотите вернуть свой файл? Кликните сюда
-
Идите домой дети, Зуахахаха!
-
Заплатите немного денег, чтобы вернуть ваши данные, Зуахахахаха!


Скриншот с сайта вымогателей:
Содержание текста с сайта scorpionlocker.xyz:
(Уж не знаю, этот сайт был скомпрометирован или вымогатели сами себя так преподносят).
Your Data Have Been Encrpyted
                        /\
                        ||
                        ||
                        ||
                        ||                                               ~-----~
                        ||                                            /===--  ---~~~
                        ||                   ;'                 /==~- --   -    ---~~~
                        ||                (/ ('              /=----         ~~_  --(  '
                        ||             ' / ;'             /=----               \__~
     '                ~==_=~          '('             ~-~~      ~~~~        ~~~--\~'
     \\                (c_\_        .i.             /~--    ~~~--   -~     (     '
      `\               (}| /       / : \           / ~~------~     ~~\   (
      \ '               ||/ \      |===|          /~/             ~~~ \ \(
      ``~\              ~~\  )~.~_ >._.< _~-~     |`_          ~~-~     )\
       '-~                 {  /  ) \___/ (   \   |` ` _       ~~         '
       \ -~\                -<__/  -   -  L~ -;   \\    \ _ _/
       `` ~~=\                  {    :    }\ ,\    ||   _ :(
        \  ~~=\__                \ _/ \_ /  )  } _//   ( `|'
        ``    , ~\--~=\           \     /  / _/ / '    (   '
         \`    } ~ ~~ -~=\   _~_  / \ / \ )^ ( // :_  / '
         |    ,          _~-'   '~~__-_  / - |/     \ (
          \  ,_--_     _/              \_'---', -~ .   \
           )/      /\ / /\   ,~,         \__ _}     \_  "~_
           ,      { ( _ )'} ~ - \_    ~\  (-:-)       "\   ~ 
                  /'' ''  )~ \~_ ~\   )->  \ :|    _,       " 
                 (\  _/)''} | \~_ ~  /~(   | :)   /          }
                <``  >;,,/  )= \~__ {{{ '  \ =(  ,   ,       ;
               {o_o }_/     |v  '~__  _    )-v|  "  :       ,"
               {/"\_)       {_/'  \~__ ~\_ \\_} '  {        /~\
               ,/!          '_/    '~__ _-~ \_' :  '      ,"  ~ 
              (''`                  /,'~___~    | /     ,"  \ ~' 
             '/, )                 (-)  '~____~";     ,"     , }
           /,')                    / \         /  ,~-"       '~'
       (  ''/                     / ( '       /  /          '~'
    ~ ~  ,, /) ,                 (/( \)      ( -)          /~'
  (  ~~ )`  ~}                   '  \)'     _/ /           ~'
 { |) /`,--.(  }'                    '     (  /          /~'
(` ~ ( c|~~| `}   )                        '/:\         ,'
 ~ )/``) )) '|),                          (/ | \)                 
  (` (-~(( `~`'  )                        ' (/ '
   `~'    )'`')                              '
     ` ``
If You Need Your Data Back You Need To
Pay Us 0.1337 Bitcoins Hehehe
Contact: torbox3uiot6wchz.onion create a account here and email us blackpanda007@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data
////////////////////////////// All Hope Is Gone \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Heart Bleed
//////////////////////////////// [ Login ] \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

Перевод текста на русский язык:
Ваши данные были закодированы
Если вам нужны ваши данные назад, вам нужно
Заплатить нам 0.1337 биткоинов Хехехе
Контакт: torbox3uiot6wchz.onion создайте здесь учетную запись и напишите нам на blackpanda007@torbox3uiot6wchz.onion
Ваши данные безопасны, когда вы платите нам. Мы дадим вам ключ, и вы можете расшифровать ваши данные
/// Надежды больше нет \\\
Heart Bleed
/// [ Login ] \\\

Фон показался мне знакомым и я сравнил его с Halloware Ransomware. См. там текст с ошибками и блок обновлений, где страшный зайчик переместился на такой же фон. Более того, ошибки в словах оказались прежними: слова Encrpyted и Unencrpyt



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP (архивный файл помещается в корневую директорию, а затем открывается). Может также начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Имеется множество интересных функций: попытка заразить файлы, распространять их через P2P с помощью файлообменника Limewire, попытка добавлять копию Ransomware в RAR-файлы, использование BalloonTips (функция всплывающих подсказок в области уведомлений), отправка информации о заражении на 3 email-адреса, разговор с сервером...

➤ Не обходит UAC. Требуется разрешение на запуск. 

➤ Удаляет теневые копии файлов на всех локальных дисках, отключает функции восстановления и исправления Windows на этапе загрузки, добавляет пользователей D3g1d5 и Dwixtkj37 в группу пользователей, а затем добавляет D3g1d5 в группу администраторов, используя команды:
vssadmin delete shadows /for=c: /all /quiet
vssadmin delete shadows /for=d: /all /quiet
/C bcdedit /set {bootmgr} displaybootmenu no
/C Net localgroup Administrators D3g1d5 /add
/C Net user D3g1d5 Dwixtkj37 /add

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .BAK, .bak, .bat, .bmp, .brd, .config, .css, .doc, .gif,  .htm, .html, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .log, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .msi, .onetoc2, .pdb, .php, .phtml, .png, .pst, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sql, .sqlite3, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .txt, .wmv, .xml (75 расширения) и другие.
Это документы MS Office, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Файлы, связанные с этим Ransomware:
DnThirTeen.exe (DnThirteen или Dn13)
D3g1d5.zip
d3g1d5.exe
\H34rtBl33d\H34rtBl33d.exe
\H34rtBl33d\d3g1d5.zip
H34rtBl33d.exe
H34rtBl33d.html
H34rtBl33d.bmp
H34rtBl33d.txt
rar.exe
autorun.inf
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
%AppData%\H34rtBl33d\H34rtBl33d.exe
C:\Users\admin\AppData\Local\H34rtBl33d\H34rtBl33d.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
➤ URL: xxxx://scorpionlocker.xyz/ - главный сайт, который ранее принадлежал вымогателям, распространявшим ScorpionLocker Ransomware
xxxx://scorpionlocker.xyz/h34rtbl33d - поддиректория
xxxx://h34rtbl33d.scorpionlocker.xyz - C2
Tor-URL: xxxx://trl74246phm5t2gn.onion.to/
➤ Email на сайте: blackpanda007@torbox3uiot6wchz.onion
➤ Email-отправитель: h34rtbl33d@0day.today
Email-получатели: btc.fresh01@gmail.com
unixc47@gmail.com
d3g1d5@gmail.com
khiwosang@gmail.com
➤ Скомпрометированный сайт: xxxx://www.stevenahoy.esy.es/
Файлы имеют расширения .d3g1d5
➤ D3g1d5 Cyber Crew в Интернете: 
xxxxs://www.facebook.com/D3g1d5.Cyber.Crew/
xxxxs://www.instagram.com/explore/locations/1020398306/d3g1d5-cyber-crew/
xxxx://d3-g1d5.blogspot.com/2014/09/gta-iv-for-pc-full-crack.html
➤ сайт проекта KNTLCrypt (на индонезийском)
xxxx://vtqvjjoarqagdro7.onion/ - Konfirmasi Pembayaran KNTLCrypt
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


HallowareKNTLCrypt, D3G1D5Crypt, H34rtBl33d, DnThirTeen (Dn13), ScorpionLocker



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Stupid Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Andrew Ivanov
 ANY.RUN
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 29 марта 2018 г.

MOLE66 CryptoMix

MOLE66 CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: alpha.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix Revenge > MOLE66 CryptoMix 

К зашифрованным файлам добавляется расширение .MOLE66

Примеры зашифрованных файлов:
0B1A47E6049EE13363E17B2E07DFC223.MOLE66
0BE8F0E8365E948B73238DF8399D73DF.MOLE66
1EAEAD6426B4E36E2513E0342A7DBDDA.MOLE66

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTIONS_.TXT

Содержание записки о выкупе:
!!!All your files are encrypted!!!
What to decipher write on mail alpha2018a@aol.com
Do not move or delete files!!!!
---- Your ID: 5338f74a-3c20-****-****-f3a91818cea7 ----
!!! You have 3 days otherwise you will lose all your data.!!!

Перевод записки на русский язык:
!!!Все ваши файлы зашифрованы!!!
Для расшифровки пишите на email alpha2018a@aol.com
Не перемещайте и не удаляйте файлы!!!!
---- Ваш ID: 5338f74a-3c20-****-****-f3a91818cea7 ----
!!! У вас есть 3 дня, иначе потеряете все свои данные. !!!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Переде шифрованием проверяет кодировку и, найдя русскую, завершает работу. 

➤ Останавливает службу VSS, удаляет теневые копии файлов,  отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
C:\WINDOWS\system32\cmd.exe" /C sc stop VVS"
C:\WINDOWS\system32\cmd.exe" /C  sc stop wscsvc
C:\WINDOWS\system32\cmd.exe" /C  sc stop WinDefend
C:\WINDOWS\system32\cmd.exe" /C  sc stop wuauserv
C:\WINDOWS\system32\cmd.exe" /C  sc stop BITS
C:\WINDOWS\system32\cmd.exe" /C  sc stop ERSvc
C:\WINDOWS\system32\cmd.exe" /C  sc stop WerSvc
C:\WINDOWS\system32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet"
C:\WINDOWS\system32\cmd.exe" /C bcdedit /set {default} recoveryenabled No"
C:\WINDOWS\system32\cmd.exe" /C bcdedit /set {default} bootstatuspolicy ignoreallfailures"

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTIONS_.TXT
BC2D64A077.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
%AppData%\BC2D64A077.exe
C:\ProgramData\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
alpha2018a@aol.com
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.
*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018
Backup - май 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 27 марта 2018 г.

BansomQare Manna

BansomQareManna Ransomware

BansomQareManna-based Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: BansomQare Manna. Использует дизайн от известного шифровальщика WannaCry и иконку от мобильного приложения WhatsApp. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .bitcoin

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: bitcoin2018.txt

Содержание записки:
Send $100 worth of bitcoin to this address: 1DpYkoLa8wsadwgHs4ctkZMA83qMKHw5zD
Contact Us: MildredRLewis@teleworm.us

Перевод на русский язык:
Пришли $100 в биткоинах на этот адрес:
1DpYkoLa8wsadwgHs4ctkZMA83qMKHw5zD
Контакт с нами: MildredRLewis@teleworm.us

Другой запиской с требованием выкупа выступает экран блокировки, где написано больше текста с требованиями выкупа. 

Содержание записки о выкупе:
What Happened to My Computer?
Your important files are encryped.
Many of your documents,photo,video,databases and other files are no longer accessible because he have been encryped.Maybe you are busy looking for a way to recover your files,but do not wasteyour time. Nobody can recover your files without our decryption service.
Can I Recover My File?
Sure , We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free .
The bitcoin address will be saved to the "bitcoin2018.txt" file

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов теперь не доступны, потому что они зашифрованы. Может быть, вы ищете способ восстановления ваших файлов, но не теряете времени. Никто не может восстановить ваши файлы без нашей службы расшифровки.
Могу ли я восстановить мой файл?
Конечно, мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени.
Вы можете бесплатно расшифровать некоторые ваши файлы.
Биткоин-адрес будет сохранен в файле "bitcoin2018.txt"



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .dat, .dll, .exe, .gif, .html, .ini, .jpg, .mp3, .pdf, .png, .rar, .xml и другие. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Whatsapp.exe
<random>.exe - случайное название
GDIPFONTCACHEV1.DAT
bitcoin2018.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MildredRLewis@teleworm.us
BTC: 1DpYkoLa8wsadwgHs4ctkZMA83qMKHw5zD
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺 VirusTotal анализ >>
ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 20 апреля 2018:
Пост в Твиттере >>
Расширение: .trobibtc218
Записка: trobibtc218.txt
Файл: Audience Finder Pro 2018.exe
Фальш-имя: telegram
Результаты анализов: VT + VB
Скриншоты текстовой записки и экрана блокировки. 



Обновление от 27 апреля - 10 мая 2018:
Посты в Твиттере 1-й, 2-й >>
Самоназвание: ANDRZEJ DUPA Ransomware
Разработчик польского происхождения. 
Расширение: .CRAB
Записка: ZaszyfrowanePliki.txt
Email: ZaszyfrowanePliki@ZaszyfrowanePliki.us
BTC: 1PjzRWy213gxLoJsvKVAivQPEFfeD1mCfh
Файл: ZaszyfrowanePliki.exe
Результаты анализов: VT + VT
Скриншот экрана блокировки




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать 360 Ransomware Decryption Tools для дешифровки >>
***
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 Bart, ANY.RUN
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Please

Scarab-Please Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Scarab > Scarab семейство > Scarab-Please
© Genealogy: Scarab > Scarab Family > Scarab-Please

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension: 
.please

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note:
HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе Contents of ransom note:
Hello!
All your files have been encrypted!
Dont worry, you can return all your files!
If you want restore files write on e-mail
1. decry1@cock.li
2. decry2@cock.li (if first email unavailable)
Your ID:
6A02000000000000***A2E503
Send me your ID and 1-2 small encrypted files(The total size of files must be less than 1Mb (non archived)) for free decryption.
After that, I'll tell you the price for decryption all files.
Dont try to use other decryptor tools because it will destroy your files.

Перевод записки на русский язык:
Привет!
Все ваши файлы зашифрованы!
Не волнуйтесь, вы можете вернуть все свои файлы!
Если хотите восстановить файлы, пишите на email
1. decry1@cock.li
2. decry2@cock.li (если первый email недоступен)
Ваш ID:
6A02000000000000***A2E503
Отправьте мне ваш ID и 1-2 небольших зашифрованных файла (общий размер файлов должен быть меньше 1 Мб (неархивированный)) для бесплатного дешифрования.
После этого я скажу вам цену для дешифрования всех файлов.
Не пытайтесь использовать другие инструменты дешифрования, т.к. они уничтожат ваши файлы.



Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware Files of Rw:
wxmon.exe - самоназвание файла WXMon
<random>.exe - случайное название
HOW TO RECOVER ENCRYPTED FILES.TXT

Расположения:
\Desktop\ ->
\User_folders\ ->
\AppData\Roaming\Microsoft\wxmon.exe
%APPDATA%\Microsoft\wxmon.exe

Записи реестра, связанные с этим Ransomware Registry entries of Rw:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'WXMon' = '%APPDATA%\Microsoft\wxmon.exe'
См. ниже результаты анализов.

Сетевые подключения и связи URLs, contacts, payments:
Email-1. decry1@cock.li
Email-2. decry2@cock.li
См. ниже результаты анализов.

Результаты анализов Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 

Scarab-Rebus - май 2018 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Очень вероятно, что файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victim in the topics of support)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton