среда, 11 апреля 2018 г.

MauriGo

MauriGo Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей и корпоративных сетей с помощью AES-256 (режим CTR), а затем требует выкуп в 0.7-2.6 BTC, чтобы вернуть файлы. Оригинальное название. Написан на языке Go. Разработчик: mauri870.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: ранний Ransomware от mauri870 > MauriGo

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на середину марта - начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_TO_DECRYPT.txt 

Содержание записки о выкупе:
The important files on your computer have been encrypted with military grade AES-256 bit encryption.
Your documents, videos, images and other forms of data are now inaccessible, and cannot be unlocked without the decryption key.
This key is currently being stored on a remote server. 
To acquire this key, please follow the instructions below before the time runs out. (2018-04-19 12:34:51 - you have 7 days)
Prices to recover yoor files from :
1 machine on your network : 0.7 BTC
Half machines on your network (randomly chosen): 2.6 BTC
All machines on your network : 5 BTC
The BTC must be sent to this address : 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
Your hostname : trololol-PC
Your identification number (it is the same for all PC encrypted on your network): ***
After you've send payment to our address, please go to our website (via normal browser):
xxxx://ldqu4hxg2gx6af7j.onion.plus/id/***
xxxx://ldqu4hxg2gx6af7j.onion.link/id/***
xxxx://ldqu4hxg2gx6af7j.tor2web.ch/id/***
If it doesn't work please download Tor Browser on their official page and use this link instead: xxxx://ldqu4hxg2gx6af7j.onion/id/***
Once on the website, leave a simple comment to warn us.
After that we will reply with your decryption key(s) as soon as possible.
To demonstrate our sincerity, you can upload 2 encrypted file on the website and we will decrypt it.
Also please understand that we don't want to taint the reliability of your business. Make a reasonable choice.
Note that if you fail to take action within this time window (7 days), the decryption key will be destroyed and access to your files will be
permanently lost.
Where to buy bitcoins (BTC) ?
Bitcoin is a popular crypto-currency. We advise you to buy coins on https://localbitcoins.com/ because of its speed and anonymity.
You will can pay with Western Union. Wire Transfer...
Of course there are much other ways to get bitcoins (ex: Coinbase), simply type on google "how to buy bitcoins".

Перевод записки на русский язык:
Важные файлы на вашем компьютере были зашифрованы с шифрованием военного класса AES-256.
Ваши документы, видео, изображения и другие формы данных теперь недоступны и не могут быть разблокированы без ключа дешифрования.
Этот ключ в настоящее время хранится на удаленном сервере.
Чтобы получить этот ключ, следуйте приведенным ниже инструкциям до истечения времени. (2018-04-19 12:34:51 - у вас есть 7 дней)
Цены на восстановление ваших файлов от:
1 машина в вашей сети: 0.7 BTC
половина машин в вашей сети (случайно выбранная): 2.6 BTC
все машины в вашей сети: 5 BTC
BTC необходимо отправить по этому адресу: 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
Ваше имя: trololol-PC
Ваш идентификационный номер (он одинаков для всех ПК, зашифрованных в вашей сети): ***
После того как вы отправите платеж на наш адрес, перейдите на наш веб-сайт (через обычный браузер):
хххх://ldqu4hxg2gx6af7j.onion.plus/id/***
хххх://ldqu4hxg2gx6af7j.onion.link/id/***
хххх://ldqu4hxg2gx6af7j.tor2web.ch/id/***
Если он не работает, загрузите Tor-браузер на их официальной странице и используйте вместо этого ссылку: xxxx://ldqu4hxg2gx6af7j.onion/id/***
На веб-сайте оставьте простой комментарий, чтобы предупредить нас.
После этого мы ответим с вашим ключом дешифрования как можно быстро.
Чтобы продемонстрировать нашу искренность, вы можете загрузить 2 зашифрованных файла на веб-сайт, и мы расшифруем их.
Также, пожалуйста, поймите, что мы не хотим испортить надежность вашего бизнеса. Сделайте разумный выбор.
Обратите внимание: если вы не сможете принять меры в течение этого временного окна (7 дней), ключ дешифрования будет уничтожен, и доступ к вашим файлам будет потерян.
Где купить биткоины (BTC)?
Биткоин - популярная криптовалюта. Мы советуем вам покупать монеты на https://localbitcoins.com/ из-за его скорости и анонимности.
Вы можете оплатить с Western Union. Передача по проводам...
Конечно, есть много других способов получить биткоины (например: Coinbase), просто введите в google "how to buy bitcoins".



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ В систему также устанавливается майнер криптовалюты, который выполняет команду: 
wininiv.exe -o xmr.crypto-pool.fr:80 -u 48fVrHZuvLY8vFP19bVtqhD9yY3TL8HRqW8JM6MbtvvnTJ2icAQJogHCByJP6yPEKdewUKrKGS1ThJamQm6m5idLCiEkPVv -p x -k -B --donate-level=1 -t 2

 Возможно, что учебный проект от mauri870 был использован другими людьми, которые прикрутили к нему майнер. Или он сам доработал его таким образом. О пострадавших пока неизвестно. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wininiv.exe
xmrig.rar
<random>.exe - случайное название
ransomware.exe
server.exe
READ_TO_DECRYPT.txt 

Расположения:
\Desktop\ ->
\User_folders\ ->
%WINDIR%\Temp\wininiv.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://xmr.crypto-pool.fr/
xxxx://ldqu4hxg2gx6af7j.onion/id/
xxxx://ldqu4hxg2gx6af7j.onion.plus
xxxx://ldqu4hxg2gx6af7j.onion.link
xxxx://ldqu4hxg2gx6af7j.tor2web.ch
BTC: 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
xxxx://tejsqel5npztqnee.onion.link/fa1304fdec7f909d27de6ea97ce79da7/index.php
xxxx://ldqu4hxg2gx6af7j.onion.link/
xxxx://dstormer6em3i4km.onion.link/
xxxx://eowxgliaujppfl7m.onion.link/hj2gr/public/tsfUlOc.bin
xxxx://xiwayy2kn32bo3ko.onion.link/test/read.cgi/ura/1380576973/l50
XMR-кошелёк: 
48fVrHZuvLY8vFP19bVtqhD9yY3TL8HRqW8JM6MbtvvnTJ2icAQJogHCByJP6yPEKdewUKrKGS1ThJamQm6m5idLCiEkPVv
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA wininiv.exe >>
𝚺  VirusTotal анализ >>  VT wininiv.exe >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MauriGo)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton