понедельник, 5 марта 2018 г.

Ladon

Ladon Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует на onion-сайте ввести Contact ID, заплатить выкуп в 200-300$ в BTC, чтобы вернуть файлы. Оригинальное название: Ladon Ransomware.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ladon

Образец этого крипто-вымогателя был найден в марте 2018 г. Прежде был обнаружен сайт в сети Tor. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. По данным сервиса Hybrid-Analysis распространяется из США. 

Записки с требованием выкупа называются: 
READ_ME.txt
READ_ME.html

Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола. 

Содержание записки о выкупе:
***нет данных***
Перевод записки на русский язык:
***нет данных***

Другим информатором жертвы выступает сайт вымогателей. 

Содержание веб-страниц на onion-сайте вымогателей:
  

Содержание текста со страницы readmore.php
What happened to my files?
Your files are encrypted with strong, military-grade encryption. In order to recover them you must pay a fee. This fee is not very large and can range from 200-300$. Failure to pay the fee will result in the loss of your files. There is no deadline for when you can pay.
How can I trust you?
Your files will be recovered immediately after our service detects that you have paid. In order to allow this, please allow our program to continue running so that it can retrieve your files. We can help and provide assistance in chat to those who need it. (NOTE: We do not respond to requests to lower the fee.)
How can I pay?
We only accept a form of digital currency known as Bitcoin. There are many guides on how to buy this online, which you can find from googling. If you want to buy bitcoin using paypal, giftcard, and other forms of payment, then http://www.paxful.com is a great and easy way.
Where is my CONTACTID?
Your CONTACTID should be written on your background or located in the file: READ_ME.txt which can be found on your desktop. Please retrieve it as this is necesary for payment in order to retrieve your files. This may require checking to see if your antivirus has deleted this file. If it has please recover it. Without this file, there is no hope to retriving your files. It is a good idea to store your contactid in a safe spot until your files are retrieved.
I have paid, how long will it take?
Once you pay, it depends on how long it takes for the transaction to verify. This can be 1 minute - 1 day.
How do I remove this program once I have retrieved my files?
The program will remove itself from your computer. You are welcome to try an antivirus or any other program to confirm our claim.
Is there any program or any other way to recover my files?
There is no possible way to recover your files without paying us. Any attempt to use any decryptors/tools may permanently damage your files!

Перевод текста на русский язык:
Что случилось с моими файлами?
Ваши файлы зашифрованы сильным, военным шифрованием. Чтобы восстановить их, вы должны заплатить сбор. Этот сбор не очень большой и может быть 200-300 долларов. Невыплата приведет к потере ваших файлов. У вас нет срока, когда вы можете заплатить.
Как я могу доверять тебе?
Ваши файлы будут восстановлены сразу же после того, как наш сервис обнаружит, что вы заплатили. Чтобы это разрешить, позвольте нашей программе продолжать работу, чтобы она могла вернуть ваши файлы. Мы можем помочь и оказать помощь в чате тем, кто в ней нуждается. (ПРИМЕЧАНИЕ. Мы не отвечаем на запросы о снижении платы.)
Как я могу заплатить?
Мы принимаем плату только в крипто-валюте, известной как биткоин. Есть много руководств о том, как купить его онлайн, которые вы можете найти в Интернете. Если вы хотите купить биткоин, используя PayPal, GiftCard и другие способы оплаты, то http://www.paxful.com - отличный и простой способ.
Где мой CONTACT ID?
Ваш CONTACT ID должен быть написан на вашем фоне или находится в файле: READ_ME.txt, который можно найти на вашем рабочем столе. Пожалуйста, извлеките его, поскольку это надо для оплаты, чтобы получить ваши файлы. Может потребуется проверить не удалил ли ваш антивирус этот файл. Если это так, пожалуйста, восстановите его. Без этого файла нет надежды на восстановление ваших файлов. Рекомендуется хранить ваш CONTACT ID в безопасном месте, пока ваши файлы не будут восстановлены.
Я заплатил, сколько времени это займет?
Когда вы заплатите это зависит от того, сколько времени уйдет на проверку транзакции. Это может быть 1 минута - 1 день.
Как удалить эту программу после получения моих файлов?
Программа удалит себя с вашего компьютера. Вы можете проверить антивирусом или любой другой программой, чтобы подтвердить наше утверждение.
Есть ли какая-то программа или какой-то иной способ восстановить мои файлы?
Невозможно восстановить файлы, не заплатив нам. Любая попытка использования любых декриптеров/инструментов может навсегда повредить ваши файлы!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Удаляет теневые копии файлов с помощью команды:
wmic.exe shadowcopy delete /nointeractive

Используется некая дурацкая надпись или картинка с этой надписью, которую иностранцы поспешили назвать русской: 
Cyka Blykat!

Как-то странно это вяжется с русским языком, если учесть, что доказан факт происхождения этого вымогателя из США. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ladon.exe
<random>.exe - случайное название
READ_ME.txt
image.png

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://api.ipify.org/ - сервис определения IP-адреса
Tor-сайты вымогателей: 
xxxx://cdmsxo25y4lfht6v.onion/***
xxxx://cdmsxo25y4lfht6v.onion.casa/***
xxxx://ns2yrncquekngvfe.onion.casa/login.php***
xxxx://vvrhhhnaijyj6s2m.onion.casa/ 
xxxx://ldqu4hxg2gx6af7j.onion.casa/t1245b.rar***
xxxx://gdcbghvjyqy7jclk.onion.casa/259a4fdc3766943
xxxx://gdcbghvjyqy7jclk.onion.casa/35af3b2dc37ba69e
xxxx://gdcbghvjyqy7jclk.onion.casa/b291d914ea16de90
xxxx://gdcbghvjyqy7jclk.onion.casa/23b0d1644a6ba2c
xxxxs://vvrhhhnaijyj6s2m.onion.casa/storage/cryptOutput/0.29182500
xxxxs://vvrhhhnaijyj6s2m.onion.casa/storage/cryptoutput/0.92915600%201512026521.jar 
xxxx://pidkdvfu7kfz7nbn.onion.direct/
xxxx://www.pidkdvfu7kfz7nbn.onion.direct/
xxxx://qbstdn6k7iivyki2.onion.direct/
xxxx://qbstdn6k7iivyki2.onion.direct/lending/bot.php
BTC: 13B4NWgvkK518z2GjoXPktVRVdhWhEB5fW
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA>>
VirusTotal анализ >>
 VirusBay образец >>
🐞 Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Ladon)
 Write-up, Topic of Support
 * 
 Thanks: 
 David Montenegro
 Catalin Cimpanu, Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton