среда, 30 мая 2018 г.

Scarab-Rebus

Scarab-Rebus Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Rebus (указано в заголовке записки о выкупе). См. генеалогию семейства Scarab Ransomware ниже. Написан на Delphi. 

© Генеалогия: Scarab >> Scarab Family >> Scarab-AmnesiaScarab-Rebus > {update encryptor} > Scarab-Barracuda
Это изображение — логотип статьи. На нём скарабей с ребусом.
This image is the logo of the article. It depicts a scarab with rebus.

К зашифрованным файлам добавляется расширение  / Appends to encrypted files the extension:
.REBUS

Сами файлы переименовываются с помощью Base64. 

Примеры зашифрованных файлов / Examples of encrypted files:
z21Csbl0Vu35UD9yrom9e4Y35VMvA79EQfSQ3c3vF4LAzPipeQvk0MT.REBUS
WcWOrIQVNHqPW1pPHAVFo+jD2mjlk9e4QfSQyItgFr+zPiQvMTeRvk0.REBUS
3qn9NLavEeSVb4IFjxk6G3FzCNTXBjmi1JIN9E6oH=ds3KajfOVLs+QP1.REBUS

Активность этого крипто-вымогателя пришлась на конец мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известны пострадавшие из Польши. 

Записка с требованием выкупа называется Name of ransom note
REBUS RECOVERY INFORMATION.TXT

Содержание записки о выкупе / Contents of ransom note:
==============================
REBUS
==============================
YOUR FILES ARE ENCRYPTED! 
Your personal ID
[redacted hex]
Your documents, photos, databases, save games and other important data was encrypted. 
Data recovery the necessary decryption tool. To get the decryption tool, should send an email to:
rebushelp@airmail.cc or rebushelp@protonmail.com
If you dont get reply in 24 hours use jabber:
rebushelper@exploit.im 
Letter must include Your personal ID (see the beginning of this document).
In the proof we have decryption tool, you can send us 1 file for test decryption.
Next, you need to pay for the decryption tool. 
In response letter You will receive the address of Bitcoin wallet which you need to perform the transfer of funds.
If you have no bitcoins
* Create Bitcoin purse: https://blockchain.info
* Buy Bitcoin in the convenient way
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- It doesn't make sense to complain of us and to arrange a hysterics. 
- Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.
 Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.
- Just contact with us, we will stipulate conditions of interpretation of files and available payment, 
in a friendly situation
- When money transfer is confirmed, You will receive the decrypter file for Your computer. 
Attention! 
* Do not attempt to remove a program or run the anti-virus tools 
* Attempts to decrypt the files will lead to loss of Your data 
* Decoders other users is incompatible with Your data, as each user unique encryption key
==============================

Перевод записки на русский язык:
==============================
REBUS
==============================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный ID
[hex]
Ваши документы, фото, базы данных, сохранения игр и другие важные данные были зашифрованы.
Восстановить данные нужен инструмент дешифрования. Для получения инструмента надо отправить email на адрес:
rebushelp@airmail.cc или rebushelp@protonmail.com
Если вы не получите ответ в течение 24 часов, используйте jabber:
rebushelper@exploit.im
Письмо должно содержать ваш личный идентификатор (см. начало этого документа).
В доказательство мы имеем инструмент дешифрования, вы можете прислать нам 1 файл для тест-дешифрования.
Затем вам нужно заплатить за инструмент дешифрования.
В ответном письме вы получите адрес биткоин-кошелька, который нужен для перевода средств.
Если у вас нет биткоинов
* Создайте биткоин-кошелек: https://blockchain.info
* Купите биткоин удобным способом
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- Не имеет смысла жаловаться на нас и устраивать истерику.
- Жалобы, заблокировавшие email, лишают возможности других расшифровывать компьютеры.
  Других людей, чьи компьютеры также зашифрованы, вы лишаете ЕДИНСТВЕННОЙ надежды расшифровать. НАВСЕГДА.
- Просто свяжитесь с нами, мы предусмотрим условия интерпретации файлов и доступных платежей, в дружественной ситуации
- Когда денежный перевод будет подтвержден, вы получите файл декриптер для вашего компьютера.
Внимание!
* Не пытайтесь удалить программу или запустить антивирусные инструменты
* Попытки расшифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, т.к. каждый пользовательский ключ шифрования уникален
==============================



Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Большинство типов файлов. Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
REBUS RECOVERY INFORMATION.TXT
<random>.exe - случайное название

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email-1: rebushelp@airmail.cc
Email-2: rebushelp@protonmail.com
Jabber: rebushelper@exploit.im 
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


➤ См. выше Историю семейства. 

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptGh0st

CryptGh0st Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0.03 BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: нет данных. Целевые системы: Windows x64

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cryptgh0st

Файлы переименовываются с base64.

Шаблон зашифрованного файла <base64>.cryptgh0st

Активность этого крипто-вымогателя пришлась на конец мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_TO_DECRYPT.html

Содержание записки о выкупе:
<pre>
!!! THIS ISNT A JOKE !!!
!!! ALL YOUR COMPANY DATA GOT ENCRYPTED !!!
!!! READ THE TEXT !!!
 YOUR FILES HAVE BEEN ENCRYPTED USING A STRONG AES-256 ALGORITHM.
YOUR IDENTIFICATION IS
[redacted 32 bytes]
SEND 0,03 BTC TO THE FOLLOWING WALLET
1DYshktcRhJ9B8cpiuFquffjKWnxdGWMsf
AND AFTER PAY CONTACT cryptgh0st@protonmail.com
SENDING YOUR IDENTIFICATION TO RECOVER THE KEY NECESSARY TO DECRYPT YOUR FILES
IF YOU ARE NOT PAYING IN THE NEXT 48H 
ALL YOUR FILES WILL BE REMOVED FOR EVER
!!! THIS ISNT A JOKE !!!
!!! ALL YOUR COMPANY DATA GOT ENCRYPTED !!!
!!! READ THE TEXT !!!
</pre>

Перевод записки на русский язык:
!!! Это не шутка !!!
!!! Все данные вашей компании зашифрованы !!!
!!! Прочитай текст !!!
Ваши файлы были зашифрованы с помощью сильного алгоритма AES-256.
Ваша идентификация
[redacted 32 bytes]
Отправьте 0,03 BTC на следующий кошелек
1DYshktcRhJ9B8cpiuFquffjKWnxdGWMsf
И после оплаты пишите на cryptgh0st@protonmail.com
Отправка вашей идентификации для восстановления ключа, необходима для дешифрования файлов
Если вы не заплатите за 48 часов, все ваши файлы будут удалены навсегда
!!! Это не шутка !!!
!!! Все данные вашей компании зашифрованы !!!
!!! Прочитай текст !!!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_TO_DECRYPT.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 25 июля 2018:
Расширение: .FileEncrypted
Файлы переименовываются с base64, получая вид: <base64>.FileEncrypted
Записка: READ_TO_DECRYPT.html
Другой вариант записки: FILES_ENCRYPTED.html
Email: 160505@tt3j2x4k5ycaa5zt.onion
BTC: 1EATMEBVDRmUPjaBeN9hsoj2ffFiUKArma
➤ Содержание записки:
   <pre>
    YOUR FILES HAVE BEEN ENCRYPTED USING A
    STRONG ALGORITHM.
    YOUR IDENTIFICATION IS
    <b>[redacted 32 hex]</b>
    SEND <b>1 BTC</b> TO THE FOLLOWING BITCOIN WALLET ADDRESS
    <b>1EATMEBVDRmUPjaBeN9hsoj2ffFiUKArma</b>
    AND AFTER PAY SEND EMAIL TO <b>160505@tt3j2x4k5ycaa5zt.onion</b>
    SENDING YOUR IDENTIFICATION AND BITCOIN TRANSACTION ID
    TO RECOVER THE KEY NECESSARY TO DECRYPT YOUR FILES
   </pre>


Обновление от 28 августа 2018:
Расширение: .kvllyatprotonmaildotch
Записка: READ_TO_DECRYPT.html
Email: kvlly@protonmail.ch
BTC: 1Lqe4XsfHBQ2YtA91k9nTWJWNev4JkPXqo
➤ Содержание записки:
<pre>
    YOUR FILES HAVE BEEN ENCRYPTED USING A
    STRONG AES-256 ALGORITHM.
    YOUR IDENTIFICATION IS
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    SEND 0.02 BTC TO THE FOLLOWING WALLET
    1Lqe4XsfHBQ2YtA91k9nTWJWNev4JkPXqo
    AND AFTER PAY CONTACT kvlly@protonmail.ch
    SENDING YOUR IDENTIFICATION TO RECOVER
    THE KEY NECESSARY TO DECRYPT YOUR FILES
IF YOU CAN'T PAY WITH BTC EMAIL ME, AND MAYBE WE CAN WORK SOMETHING OUT!
ALSO I CAN HELP YOU SECURE YOUR SERVER SO YOU DONT GET HACEKD ANYMORE! :)
GREETINGS,KVLLY!
    </pre>





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptGh0st)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 29 мая 2018 г.

LittleFinger

LittleFinger Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: mpsigeng и mpsigeng.exe. Фальш-копирайт: HP Inc. 2018

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно, пока находится в разработке. 

Записки с требованием выкупа в текстовом виде нет. Текст есть в консоле. 

Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED YOUR FINGERPRINT: FF88-CA7D-C465-1B64-D112-B0D5-9ED4-CDE7
SEND 0.01 BTC to address: 1LjKnoJed8F6TiF4QwuHUD6EUMwcRUp9oy
SEND TRANSACTIONS <TXID> AND FINGERPRINT to decryptmefinger@gmail.com
YOU RECEIVE DECRYPTOR INBOX

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ ВАШ ОТПЕЧАТОК: FF88-CA7D-C465-1B64-D112-B0D5-9ED4-CDE7
ОТПРАВЬТЕ 0.01 BTC по адресу: 1LjKnoJed8F6TiF4QwuHUD6EUMwcRUp9oy
ОТПРАВЬТЕ <TXID> ОПЕРАЦИИ И ОТПЕЧАТОК на decryptmefinger@gmail.com
ВЫ ПОЛУЧИТЕ ДЕКРИПТОР НА ПОЧТУ



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Маркер файлов: 0x3737451845184518

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decryptmefinger@gmail.com
BTC: 1LjKnoJed8F6TiF4QwuHUD6EUMwcRUp9oy
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LittleFinger)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 28 мая 2018 г.

Backup CryptoMix

Backup CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

© Генеалогия: CryptoMix >> Backup CryptoMix

К зашифрованным файлам добавляется расширение .BACKUP

Примеры зашифрованных файлов: 
52FB83A70F6CE102D118EFF90F92C4E2.BACKUP
25E567772B10D6BB09C2E4572DB1BA6F.BACKUP
B770F215305FA1102E5538DB329B84C4.BACKUP

Активность этого крипто-вымогателя пришлась на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
backuppc@tuta.io
backuppc@protonmail.com
backuppc1@protonmail.com
b4ckuppc1@yandex.com
b4ckuppc2@yandex.com
backuppc1@dr.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Внимание! Все ваши данные были зашифрованы!
Для получения дополнительной информации отправьте нам электронное письмо с идентификационным номером:
backuppc@tuta.io
backuppc@protonmail.com
backuppc1@protonmail.com
b4ckuppc1@yandex.com
b4ckuppc2@yandex.com
backuppc1@dr.com
Пожалуйста, отправьте письмо на все электронные адреса! Мы поможем вам как можно скорее!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ НИКАКИЕ ПУБЛИЧНЫЕ ПРОГРАММЫ! ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШИ ДАННЫЕ НАВСЕГДА!
DECRYPT-ID-[id] номер



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Останавливает службу VSS, удаляет теневые копии файлов,  отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
C:\WINDOWS\system32\cmd.exe" /C sc stop VVS"
C:\WINDOWS\system32\cmd.exe" /C  sc stop wscsvc
C:\WINDOWS\system32\cmd.exe" /C  sc stop WinDefend
C:\WINDOWS\system32\cmd.exe" /C  sc stop wuauserv
C:\WINDOWS\system32\cmd.exe" /C  sc stop BITS
C:\WINDOWS\system32\cmd.exe" /C  sc stop ERSvc
C:\WINDOWS\system32\cmd.exe" /C  sc stop WerSvc
C:\WINDOWS\system32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet"
C:\WINDOWS\system32\cmd.exe" /C bcdedit /set {default} recoveryenabled No"
C:\WINDOWS\system32\cmd.exe" /C bcdedit /set {default} bootstatuspolicy ignoreallfailures"

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
BACKUP.EXE (backup.exe)
BC2D64A077.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%Profiles%\Videos\BACKUP.EXE
%AppData%\BC2D64A077.exe
C:\ProgramData\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: backuppc@tuta.io
backuppc@protonmail.com
backuppc1@protonmail.com
b4ckuppc1@yandex.com
b4ckuppc2@yandex.com
backuppc1@dr.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 27 мая 2018 г.

Aurora

Aurora Ransomware
OneKeyLocker Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XTEA, а затем требует выкуп в $100-500 BTC, чтобы вернуть файлы. Оригинальное название: Aurora Ransomware. На файле проекта написано: One key locker.

© Генеалогия: Aurora >> AnimusLocker, ONI

К зашифрованным файлам добавляется расширение .Aurora

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на конец мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа разбрасывается в 6 экземплярах и называется:
HOW_TO_DECRYPT_YOUR_FILES.txt
HOW_TO_DECRYPT_YOUR_FILES2.txt
HOW_TO_DECRYPT_YOUR_FILES3.txt
HOW_TO_DECRYPT_YOUR_FILES4.txt
HOW_TO_DECRYPT_YOUR_FILES5.txt
HOW_TO_DECRYPT_YOUR_FILES6.txt
Содержание записки о выкупе:
===# aurora ransomware #===
Aurora Ransomware
---
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
anonimus.mr@yahoo.com
And pay 500$ on 3CwxawqJpM4RBNididvHf8LhFA2VfLsRjM wallet
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
===# aurora ransomware #===

Перевод записки на русский язык:
===# aurora ransomware #===
Aurora Ransomware
---
ПРОСТИ! Ваши файлы зашифрованы.
Содержимое файла зашифровано случайным ключом.
Случайный ключ зашифрован открытым ключом RSA (2048 бит).
Мы ОЧЕНЬ РЕКОМЕНДУЕМ вам НЕ использовать "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, сделав восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый ключ RSA.
Чтобы получить закрытый ключ, пишите сюда:
anonimus.mr@yahoo.com
И заплатите 500$ на кошелек 3CwxawqJpM4RBNididvHf8LhFA2VfLsRjM
Если кто-то предлагает вам восстановление файлов, спросите у него тест-расшифровку.
  Только мы можем успешно расшифровать ваши файлы; знайте, это защитит вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
===# aurora ransomware #===



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ На заражённых сайтах определяется JSCoinminer, проводится веб-атака на компьютеры посетителей. 

➤ Проверяются IP-адреса компьютеров, чтобы определить, какой из ПК имеет российский IP. Мы по понятным причинам не проверяли работу шифровальщика на ПК с российскими IP, т.к. это не отменяет вредоносности данного шифровальщика. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_YOUR_FILES.txt
HOW_TO_DECRYPT_YOUR_FILES2.txt
HOW_TO_DECRYPT_YOUR_FILES3.txt
HOW_TO_DECRYPT_YOUR_FILES4.txt
HOW_TO_DECRYPT_YOUR_FILES5.txt
HOW_TO_DECRYPT_YOUR_FILES6.txt
List.exe
hack.exe
decryptonefile.exe - декриптор для расшифровки одного файла
<random>.exe - файл со случайным названием..

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Файлы проекта: 
%USERPROFILE%\Desktop\One key locker\MKL\Release\Ransom.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: anonimus.mr@yahoo.com
Email-2: lenboza@protonmail.ch
BTC-1: 3CwxawqJpM4RBNididvHf8LhFA2VfLsRjM
BTC-2: 172fqoLfYkMQXk6tmEqGH3y43gQwAzSSFJ
IP ID: www.geoplugin.net (178.237.36.10:80) - проверка IP
C&C: xxxx://host1681251.hostland.pro (185.26.122.70:80)
C&C: xxxx://host1676568.hostland.pro/hack.exe***
 
Сайты на hostland.pro уже заблокированы. 

Внимание заражённые сайты!
xxxx://kak-pravilno-budet.ru/kak-pravilno-delat/kak-pravilno-delat-vodochnyj-kompress.html - заражённый шифровальщиком сайт + JSCoinminer
xxxx://sovetuem-beremennym.ru/beremennost-posle - заражённый шифровальщиком сайт + JSCoinminer
xxxx://zdorovajasemja.ru/ - заражённый шифровальщиком сайт + JSCoinminer

Подробности по этим фальшивым "российским" сайтам. 
 

Эти сайты относятся к некому хостеру-посреднику ardis.ru, который сам хостуется у hostland.ru и под таким прикрытием управляет кучей вредоносных и опасных сайтов. 
Кто такие Ardis.ru? Адрес в Калининграде, шведское личное имя в названии, представитель компании из Нидерландов... Автоответчик техподдержки говорит, что они работают с 9 утра, но если звонить позже, то они и позже не работают. Странная компания и совершенно НЕ российская. 
Антивирусная защита Norton Security сразу блокирует доступ к этим сайтам:
***kak-pravilno-budet.ru/kak-pravilno-delat/*** - VT анализ
***sovetuem-beremennym.ru/beremennost-posle/*** - VT анализ
***zdorovajasemja.ru/*** - VT анализ
Я поставил вокруг адресов "звёздочки, чтобы поисковики не считали этот адрес. 
Яндекс показывает, что наиболее популярным по запросам пользователей является сайт kak-pravilno-budet.ru
 Информация по этим вредоносным сайтам уже есть у Google и Яндекса. 

☎ Роскомнадзору или Управлению "К" МВД впору заинтересоваться этими сайтами и выяснить, что это за "неправильные" русские сайты и почему они распространяют шифровальщик Aurora и Coinminer под прикрытием ardis.ru


Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>  AR>>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇  MalShare анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Aurora Ransomware - май 2018
Animus Locker Ransomware - с расширением .animus - июнь 2018

Animus Locker Ransomware с расширением .desu - июль 2018
ONI Ransomware - август 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 29 мая 2018:
Результаты анализов: HA + VT + VMRay

Обновление от 6 июня 2018:
Пост в Твиттере >>
Расширение .Aurora
Записка: #RECOVERY-PC#.txt
Email: big.fish@vfemail.net
BTC: 1GSbmCoKzkHVkSUxqdSH5t8SxJQVnQCeYf
Сумма выкупа: 200$ 
Скриншот записки >>
Содержание записки о выкупе: 
==========================# aurora ransomware #==========================
SORRY! Your files are encrypted.
File contents are encrypted with random key.
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
big.fish@vfemail.net
And send me your id, your id:
***
And pay 200$ on 1GSbmCoKzkHVkSUxqdSH5t8SxJQVnQCeYf wallet
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
==========================# aurora ransomware #==========================

Обновление от 7 июня 2018:
Результаты анализов: HA + VT

Обновление от 12-14 июня:
Специалисты из CERT-GIB сообщили, что заблокированы вредоносные домены:  
xxxx://kak-pravilno-budet.ru/kak-pravilno-delat/
xxxx://sovetuem-beremennym.ru/
xxxx://zdorovajasemja.ru/
Контакты CERT-GIB Россия: 
Телефон: +7 (495) 988-00-40
Email: response@cert-gib.ru
http://www.cert-gib.ru/

Обновление от 27 июня 2018:
Пост в Твиттере >>
Расширение: .Aurora
Email: oktropys@protonmail.com
BTC: 1DVrBzv6hb1D217NNqbjaForF3eG3HXc7a
Записок три, с разными названиями: 
!-GET_MY_FILES-!.txt
#RECOVERY-PC#.txt
@_RESTORE-FILES_@.txt
Содержание записок одинаково: 
==========================# YOUR PC BLOCK #==========================                                                                                                                              
SORRY! Your files are encrypted.
File contents are encrypted with random key.
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
oktropys@protonmail.com
And send me your id, your id:
-XXXXXXXXX
And pay 50$ on 1DVrBzv6hb1D217NNqbjaForF3eG3HXc7a wallet
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
==========================# YOUR PC BLOCK #==========================





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Скачайте дешифровщик по этой ссылке >>
***
Это общий дешифровщик для Aurora, AnimusLocker, ONI.
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Aurora)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton