WhiteRose Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. 🔓 Статус: файлы можно дешифровать.
DrWeb -> Trojan.Encoder.25053, Trojan.Encoder.25064
BitDefender -> Trojan.GenericKD.30515346, Generic.Ransom.Hiddentear.A.A3A73378
ALYac -> Trojan.Ransom.WhiteRose
© Генеалогия: InfiniteTear (modified) > BlackRuby > WhiteRose
К зашифрованным файлам добавляется расширение .WHITEROSE
Название зашифрованного файла переименовывается в случайное с добавлением между новым названием и новым расширением фразы _ENCRYPTED_BY
В итоге получается составное расширение: _ENCRYPTED_BY.WHITEROSE
Примеры зашифрованных файлов:
BT2cJMtNeYlaKJHP_ENCRYPTED_BY.WHITEROSE
0VAZ5EHP7SDdG1vp_ENCRYPTED_BY.WHITEROSE
Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HOW-TO-RECOVERY-FILES.TXT
В записке о выкупе есть изображение розы в ASCII.
В записке используется созданное в ASCII изображение белой розы.
Это изображение в знаках ASCII предшествует основному тексту записки. Далее идет следующий текст.
Содержание записки о выкупе:
=====================[PersonalKey]=====================
PpWh3f536r******SaUaaV+fAc/hCqLtHujsZ18SdiNH6FzINtYaAOK
9ctyI8AGYf3ltM/XQiZm9LKVT5tyGHuIaKjjg0wxTvJvv**********
7scZINf8zL9+hPThPy/62rKdEbGrEczf0mBMw7z78lKZs**********
6wxZCI=
=====================[PersonalKey]=====================
The singing of the sparrows, the breezes of the northern mountains and smell of the earth that was raining in the morning filled the entire garden space. I'm sitting on a wooden chair next to a bush tree, I have a readable book in my hands and I am sweating my spring with a cup of bitter coffee. Today is a different day.
Behind me is an empty house of dreams and in front of me, full of beautiful white roses.
To my left is an empty blue pool of red fish and my right, trees full of spring white blooms.
I drink coffee, I'll continue to read a book from William Faulkner. In the garden environment, peace and quiet. My life always goes that way. Always alone without even an intimate friend.
I have neither a pet, nor a friend or an enemy; I am a normal person with fantastic wishes among the hordes of white rose flowers. Everything is natural. I'm just a little interested in hacking and programming. My only electronic devices in this big garden are an old laptop for do projects and an iPhone for check out the news feeds for malware analytics on Twitter without likes posts.
Believe me, my only assets are the white roses of this garden.
I think of days and write at night: the story, poem, code, exploit or the accumulation of the number of white roses sold and I say to myself that the wealth is having different friends of different races, languages, habits and religions, Not only being in a fairly stylish garden with full of original white roses.
Today, I think deeply about the decision that has involved my mind for several weeks. A decision to freedom and at the worth of unity, intimacy, joy and love and is the decision to release white roses and to give gifts to all peoples of the world.
I do not think about selling white roses again. This time, I will plant all the white roses of the garden to bring a different gift for the people of each country. No matter where is my garden and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter if you are the west of the world or its east, it's important that the white roses are endless and infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow.
Wait for good days with White Rose.
I hope you accept this gift from me and if it reaches you, close your eyes and place yourself in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension.
Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.
///////////////////////////////////////////////////
[Recovery Instructions]
I. Download qTox on your computer from [https://tox.chat/download.html]
II. Create new profile then enter our ID in search contacts
Our Tox ID: "6F548F21789***".
III. Wait for us to accept your request.
IV. Copy '[PersonalKey]' in "HOW-TO-RECOVERY-FILES.TXT" file and send this key with one encrypted file less size then 2MB for trust us in our Tox chat.
IV.I. Only if you did not receive a reply after 24 hours from us,
send your message to our secure tor email address "TheWhiteRose@Torbox3uiot6wchz.onion".
IV.II. For perform "Step IV.I" and enter the TOR network, you must download tor browser
and register in "http://torbox3uiot6wchz.onion" Mail Service)
V. We decrypt your two files and we will send you.
VI. After ensuring the integrity of the files, We will send you payment info.
VII. Now after payment, you get "WhiteRose Decryptor" Along with the private key of your system.
VIII.Everything returns to the normal and your files will be released.
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
What is encryption?
In cryptography, encryption is the process of encoding a message or information in such a way that only authorized parties can access it, and those who are not authorized cannot. Encryption does not itself prevent interference, but denies the intelligible content to a would-be interceptor. In an encryption scheme, the intended information or message, referred to as plaintext, is encrypted using an encryption algorithm – a cipher – generating ciphertext that can be read only if decrypted.
For technical reasons, an encryption scheme usually uses a pseudo-random encryption key generated by an algorithm.
It is in principle possible to decrypt the message without possessing the key, but, for a well-designed encryption scheme, considerable computational resources and skills are required.
An authorized recipient can easily decrypt the message with the key provided by the originator to recipients but not to unauthorized users.
in your case “WhiteRose Decryptor” software for safe and complete decryption of all your files and data.
Any other way?
If you look through this text in the Internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.
Перевод записки на русский язык:
***Поэтичный рассказ вымогателя о себе и том, как он проводит время и как хочет подарить всем белые розы.***
///////////////////////////////////////////////////
[Инструкции по восстановлению]
I. Загрузите qTox на свой компьютер с [https://tox.chat/download.html]
II. Создайте новый профиль, затем введите наш идентификатор в поиске контактов
Наш Tox ID: "6F548F21789 ***".
III. Подождите, пока мы примем ваш запрос.
Скопируйте '[PersonalKey]' из файла "HOW-TO-RECOVERY-FILES.TXT" и отправьте этот ключ с одним зашифрованным файлом меньше 2 МБ, чтобы доверять нам в нашем чате Tox.
IV.I. Только если вы не получили ответ через 24 часа от нас,
отправьте свое сообщение на наш безопасный email-адрес
"TheWhiteRose@Torbox3uiot6wchz.onion".
IV.II. Для выполнения "Шага IV.I" и входа в сеть TOR вы должны загрузить Tor-браузер и зарегистрироваться в почтовом сервисе "http://torbox3uiot6wchz.onion")
V. Мы расшифруем два ваших файла, и мы отправим вам.
VI. После обеспечения целостности файлов мы отправим вам информацию об оплате.
VII. Теперь после оплаты вы получаете "WhiteRose Decryptor" вместе с закрытым ключом вашей системы.
VIII. Все вернётся в нормальное состояние и ваши файлы будут освобождены.
Что такое шифрование?
В криптографии шифрование - это процесс кодирования сообщения или информации таким образом, что только авторизированные стороны могут получить к нему доступ, а те, кто не авторизован, не могут. Шифрование само по себе не допускает вмешательство, но не позволяет узнать содержание потенциальному перехватчику. В схеме шифрования предполагаемая информация или сообщение, называемое открытым текстом, зашифровывается с использованием алгоритма шифрования - шифровального текста, генерируемого шифрованием, который может быть прочитан только при расшифровке.
По техническим причинам схема шифрования обычно использует псевдослучайный ключ шифрования, генерируемый алгоритмом.
В принципе, возможно расшифровать сообщение без наличия ключа, но для хорошо продуманной схемы шифрования требуются значительные вычислительные ресурсы и навыки.
Авторизованный получатель может легко расшифровать сообщение с помощью ключа, предоставленного отправителем получателю, но неавторизованные пользователи не могут.
в вашем случае "WhiteRose Decryptor" для безопасного и полного дешифрования всех ваших файлов и данных.
Любым другим путем?
Если вы просматриваете этот текст в Интернете и понимаете, что что-то не так с вашими файлами, но у вас нет никаких инструкций по восстановлению ваших файлов, обратитесь в поддержку вашего антивируса.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
WhiteRose выполняет следующие деструктивные команды (удаление тенвых копий файлов, отключает функции восстановления и исправления Windows на этапе загрузки, очищает журналы работы приложений, журналы безопасности и системы, чтобы они не могли быть использованы для анализа и проведения расследований, командами:
cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System
Список файловых расширений, подвергающихся шифрованию:
.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .ARC, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk, .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .ora, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .PAQ, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip (433 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Пропускаются и не шифруются файлы в следующих директориях:
Windows
Program Files
$Recycle.Bin
Microsoft
Файлы, связанные с этим Ransomware:
White.exe (WhiteRose.exe)
<random>.exe - случайное название
HOW-TO-RECOVERY-FILES.TXT
WhiteRose Decryptor.exe
Perfect.sys
Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Perfect.sys
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-email: TheWhiteRose@Torbox3uiot6wchz.onion
xxxxs://tox.chat/download.html
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
Обновление от 5 июля 2019:
Пост в Твиттере >>
Расширение .WHITEROSE
Составное расширение: _ENCRYPTED_BY.WHITEROSE
Пример зашифрованого файла: 07A3lpMWHSDcuLLu_ENCRYPTED_BY.WHITEROSE
Результаты анализов: VT + VMR
Вероятно, это старый вариант, известный с марта 2018.
Внимание! Файлы можно дешифровать! Если всё получится, то здесь будет ссылка..* Пока рекомендую обращаться в топик поддержки или к Майклу Джиллеспи по ссылке >>
Read to links: Tweet on Twitter ID Ransomware (ID as WhiteRose) Write-up, Topic of Support *
Added later: Write-up Write-up
Thanks: Michael Gillespie MalwareHunterTeam * *
© Amigo-A (Andrew Ivanov): All blog articles.
Здравствуйте.
ОтветитьУдалитьЕсть шансы на расшифровку?
Да есть шансы, другой шифровальщик - Zenis Ransomware из этого же семейства удалось расшифровать. Надо подождать.
Удалитьhttp://id-ransomware.blogspot.ru/2018/03/zenis-ransomware.html
Добрый день, сохранились ли шансы на расшифроку?
ОтветитьУдалитьШансы есть всегда. Но пока нет публичного дешифровщика.
УдалитьБудем ждать лекарство...
ОтветитьУдалитьЕсли хот какой-нибудь вариант или только ждать?
Специалисты обещали помочь, загляните после выходных. Не будем спешить с публичным средством. Возможно сначала придется дешифровать в частном порядке. Ссылка на топик поддержки и твит Майкла есть в блоке "Read to links" выше.
УдалитьКто нибудь может кинуть exe файл которым все зашифровалось, если вдруг нашли?
ОтветитьУдалитьНа форуме поддержки Dr.Web могут расшифровать файлы, зашифрованные этим шифровальщиком. За плату, если не пользовались их антивирусными программами в момент вирусной атаки.
УдалитьУ нас образца, кроме указанного по ссылке на VirusTotal нет. Антивирусные компании могут брать файлы оттуда.
Чат с White Rose...
ОтветитьУдалитьХочет большие деньги (BTC), как не удивительно.)
НО, всё таки зашифровал 1 шифрованный файл.
Как писал(а) в ТХТ файле.
Дата и время файла создался как новый.
Большое спасибо за информацию.)
Будем ждать новостей.
Так есть же уже новости!!! См. выше блок ссылок с зелёным замком. Майкл помогает расшифровывать файлы от WhiteRose.
Удалитьвыслали дешифратор и ключ, файлы расшифровал, но к сожалению часть файлов вирус просто удалил, процентов 15 самое обидное базы 1с не работают куча файлов нет
ОтветитьУдалитьВ блоке с зелёным замком, наверху, есть ссылка на Майкла. Обратитесь к нему.
УдалитьДобрый день, такая же беда , где можно взять дешифратор и ключ ?
ОтветитьУдалитьСм. выше === БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
УдалитьРядом с зелёным замком есть рекомендация.
Пока вымогательская инфекция активна решено не делать публичных дешифровщиков.
Удалить