понедельник, 26 марта 2018 г.

B2DR

B2DR Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует выкуп в 0.1-0.3 BTC, чтобы вернуть файлы. Оригинальное название: неизвестно. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .b2dr

Фактически используется составное расширение .bronmerkberpa1976@protonmail.com.b2dr 

Примеры зашифрованных файлов: 
.doc.bronmerkberpa1976@protonmail.com.b2dr 
.txt.bronmerkberpa1976@protonmail.com.b2dr
.asp.bronmerkberpa1976@protonmail.com.b2dr
.png.bronmerkberpa1976@protonmail.com.b2dr
.css.bronmerkberpa1976@protonmail.com.b2dr 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
All your files are encrypted.
Ask how to restore your files by email bronmerkberpa1976@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
!!!With any changes to the encrypted files, do not forget to backup files!!!
Your ID: ***

Перевод записки на русский язык:
Все ваши файлы зашифрованы.
Спросите, как восстановить файлы по email bronmerkberpa1976@protonmail.com
Используйте только gmail.com, yahoo.com, protonmail.com.
Сообщения, написанные из других почтовых сервисов, мы не получим.
!!!При любых изменениях зашифрованных файлов не забудьте сделать копии!!!
Ваш ID: ***

В ответном письме вымогатели предлагают расшифровать несколько файлов бесплатно и передать из через сервис бесплатных загрузок:
"Hey. Archive any three files no larger than 2 mb.
Archive upload to http://sendspace.com and send us a link to the archive.
We will decrypt the files. Thank you."




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
readme.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bronmerberpa1976@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 22 мая 2018: 
Пост в Твиттере >>
Расширение: .b4wq
Составное расширение: .setimichas1971@protonmail.com.b4wq
Записка: Readme.txt
Email: setimichas1971@protonmail.com
Tor-Email: setimichas1971@torbox3uiot6wchz.onion
Зашифрованный файл включает ID жертвы из записки о выкупе (base64) и на маркер файла ----BLOCK END---- на конце. 
Содержание записки о выкупе: 
Your files were encrypted with AES-256.
Ask how to restore your files by email setimichas1971@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
We always respond to messages. If there is no answer within 24 hours, then write us with another email service.
[OR]
If within 24 hours you have not received a response, you need to follow the following instructions:
a) Download and install TOR browser: https://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: setimichas1971@torbox3uiot6wchz.onion
ATTENTION: e-mail (setimichas1971@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion
################################
Any actions on your part over encrypted files can damage them. Be sure to make backups!
################################
In the message write us this ID:
[redacted 0x11B bytes in base64]






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 (victim in the topics of support)
 Andrew Ivanov
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton