понедельник, 26 марта 2018 г.

B2DR

B2DR Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует выкуп в 0.1-0.3 BTC, чтобы вернуть файлы. Оригинальное название: неизвестно. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .b2dr

Фактически используется составное расширение .bronmerkberpa1976@protonmail.com.b2dr 

Примеры зашифрованных файлов: 
.doc.bronmerkberpa1976@protonmail.com.b2dr 
.txt.bronmerkberpa1976@protonmail.com.b2dr
.asp.bronmerkberpa1976@protonmail.com.b2dr
.png.bronmerkberpa1976@protonmail.com.b2dr
.css.bronmerkberpa1976@protonmail.com.b2dr 

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
All your files are encrypted.
Ask how to restore your files by email bronmerkberpa1976@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
!!!With any changes to the encrypted files, do not forget to backup files!!!
Your ID: ***

Перевод записки на русский язык:
Все ваши файлы зашифрованы.
Спросите, как восстановить файлы по email bronmerkberpa1976@protonmail.com
Используйте только gmail.com, yahoo.com, protonmail.com.
Сообщения, написанные из других почтовых сервисов, мы не получим.
!!!При любых изменениях зашифрованных файлов не забудьте сделать копии!!!
Ваш ID: ***

В ответном письме вымогатели предлагают расшифровать несколько файлов бесплатно и передать из через сервис бесплатных загрузок:
"Hey. Archive any three files no larger than 2 mb.
Archive upload to http://sendspace.com and send us a link to the archive.
We will decrypt the files. Thank you."




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
readme.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bronmerberpa1976@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 22 мая 2018: 
Пост в Твиттере >>
Расширение: .b4wq
Составное расширение: .setimichas1971@protonmail.com.b4wq
Записка: Readme.txt
Email: setimichas1971@protonmail.com
Tor-Email: setimichas1971@torbox3uiot6wchz.onion
Зашифрованный файл включает ID жертвы из записки о выкупе (base64) и маркер файла ----BLOCK END---- на конце. 
Содержание записки о выкупе: 
Your files were encrypted with AES-256.
Ask how to restore your files by email setimichas1971@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
We always respond to messages. If there is no answer within 24 hours, then write us with another email service.
[OR]
If within 24 hours you have not received a response, you need to follow the following instructions:
a) Download and install TOR browser: https://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: setimichas1971@torbox3uiot6wchz.onion
ATTENTION: e-mail (setimichas1971@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion
################################
Any actions on your part over encrypted files can damage them. Be sure to make backups!
################################
In the message write us this ID:
[redacted 0x11B bytes in base64]----BLOCK END----


Обновление от 11 июня 2018: 
Пост в Твиттере >>
Расширение: .gw3w
Составное расширение: .reycarnasi1983@protonmail.com.gw3w
Записка: ScrewYou.txt
Email: reycarnasi1983@protonmail.com
➤ Содержание записки: 
Your files were encrypted with AES-256.
Ask how to restore your files by email reycarnasi1983@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
We always respond to messages. If there is no answer within 24 hours, then write us with another email service.
[OR]
If within 24 hours you have not received a response, you need to follow the following instructions:
a) Download and install TOR browser: https://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: reycarnasi1983@torbox3uiot6wchz.onion
ATTENTION: e-mail (reycarnasi1983@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion
################################
Any actions on your part over encrypted files can damage them. Be sure to make backups!
################################
In the message write us this ID:
[redacted base64] -----END KEY-----


Обновление от 13 июня 2018: 
Пост в Твиттере >>
Расширение: .b2fr
Составное расширение: .ssananunak1987@protonmail.com.b2fr
Записка: Readme.txt
Email: ssananunak1987@protonmail.com
➤ Содержание записки: 
Your files were encrypted with AES-256.
Ask how to restore your files by email ssananunak1987@protonmail.com
Use only gmail.com, yahoo.com, protonmail.com.
Messages written from other mail services we can not get.
We always respond to messages. If there is no answer within 24 hours, then write us with another email service.
[OR]
If within 24 hours you have not received a response, you need to follow the following instructions:
a) Download and install TOR browser: https://www.torproject.org/download/download-easy.html.en
b) From the TOR browser, follow the link: torbox3uiot6wchz.onion
c) Register your e-mail (Sign Up)
d) Write us on e-mail: ssananunak1987@torbox3uiot6wchz.onion
ATTENTION: e-mail (ssananunak1987@torbox3uiot6wchz.onion) accepts emails, only with e-mail registered in the TOR browser at torbox3uiot6wchz.onion
################################
Any actions on your part over encrypted files can damage them. Be sure to make backups!
################################
In the message write us this ID:
[redacted base64]----BLOCK END----




Обновление от 16 октября 2018:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .sg1e
Составное расширение: .passoamoma@keemail.me.sg1e
Записка: Readme.txt

Email: passoamoma1983@protonmail.com, passoamoma@keemail.me
В этом варианте используются маркер файла как у B2DR Ransomware и ID в записке как у B2DR. Хотя сама записка содержит текст, который очень похож на используемый в Ryuk Ransomware
➤ Содержание записки: 
Ladies and Gentlemen!
In the security system of your business a serious hole.
You are lucky that we are not students who sell private company data.
We helped keep your data confidential.
Now your files are crypted with the strongest millitary algorithms RSA and AES.
No one can help you to restore files without our special decoder.
Any public program for decrypting files will permanently damage your files.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files (max size 5 Mb each, non-archived and your files should not contain valuable information (Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Please do not forget to write your ID in the email.
You have to pay for decryption in Bitcoins.
The final price depends on how fast you write to us.
Every day of delay will cost you additional +0.1 BTC
As soon as we get bitcoins you'll get all your decrypted data back.
Moreover you will get instructions how to close the hole in security and how to avoid such problems in the future
+ we will recommend you special software that makes the most problems to hackers.
[Attention! Again.]
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
P.S. Remember! We are not scammers.
We do not need your data, but after 4 weeks, the keys for decrypting your files will be deleted automatically.
Write to us as soon as possible.
All data will be restored absolutely.
Your warranty - decrypted samples.
>>>> Did not receive an answer? <<<<
Check the SPAM folder.
>>>> Is the SPAM folder empty? <<<<
Write to us again.
contact emails
To:  passoamoma1983@protonmail.compassoamoma@keemail.me
Subject: Encrypted files
Message: YOUR ID and Your question
[YOUR ID]
IAAAAC/plQay3cg0dd9ciV89GipFnTzMVKaP296*****CFw6B/k=  [428 знаков]




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 (victim in the topics of support)
 Andrew Ivanov
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton