Если вы не видите здесь изображений, то используйте VPN.

среда, 30 мая 2018 г.

Scarab-Rebus

Scarab-Rebus Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Rebus (указано в заголовке записки о выкупе). См. генеалогию семейства Scarab Ransomware ниже. Написан на Delphi. 

© Генеалогия: Scarab >> Scarab Family >> Scarab-AmnesiaScarab-Rebus > {update encryptor} > Scarab-Barracuda
Это изображение — логотип статьи. На нём скарабей с ребусом.
This image is the logo of the article. It depicts a scarab with rebus.

К зашифрованным файлам добавляется расширение  / Appends to encrypted files the extension:
.REBUS

Сами файлы переименовываются с помощью Base64. 

Примеры зашифрованных файлов / Examples of encrypted files:
z21Csbl0Vu35UD9yrom9e4Y35VMvA79EQfSQ3c3vF4LAzPipeQvk0MT.REBUS
WcWOrIQVNHqPW1pPHAVFo+jD2mjlk9e4QfSQyItgFr+zPiQvMTeRvk0.REBUS
3qn9NLavEeSVb4IFjxk6G3FzCNTXBjmi1JIN9E6oH=ds3KajfOVLs+QP1.REBUS

Активность этого крипто-вымогателя пришлась на конец мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известны пострадавшие из Польши. 

Записка с требованием выкупа называется Name of ransom note
REBUS RECOVERY INFORMATION.TXT

Содержание записки о выкупе / Contents of ransom note:
==============================
REBUS
==============================
YOUR FILES ARE ENCRYPTED! 
Your personal ID
[redacted hex]
Your documents, photos, databases, save games and other important data was encrypted. 
Data recovery the necessary decryption tool. To get the decryption tool, should send an email to:
rebushelp@airmail.cc or rebushelp@protonmail.com
If you dont get reply in 24 hours use jabber:
rebushelper@exploit.im 
Letter must include Your personal ID (see the beginning of this document).
In the proof we have decryption tool, you can send us 1 file for test decryption.
Next, you need to pay for the decryption tool. 
In response letter You will receive the address of Bitcoin wallet which you need to perform the transfer of funds.
If you have no bitcoins
* Create Bitcoin purse: https://blockchain.info
* Buy Bitcoin in the convenient way
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- It doesn't make sense to complain of us and to arrange a hysterics. 
- Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.
 Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.
- Just contact with us, we will stipulate conditions of interpretation of files and available payment, 
in a friendly situation
- When money transfer is confirmed, You will receive the decrypter file for Your computer. 
Attention! 
* Do not attempt to remove a program or run the anti-virus tools 
* Attempts to decrypt the files will lead to loss of Your data 
* Decoders other users is incompatible with Your data, as each user unique encryption key
==============================

Перевод записки на русский язык:
==============================
REBUS
==============================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный ID
[hex]
Ваши документы, фото, базы данных, сохранения игр и другие важные данные были зашифрованы.
Восстановить данные нужен инструмент дешифрования. Для получения инструмента надо отправить email на адрес:
rebushelp@airmail.cc или rebushelp@protonmail.com
Если вы не получите ответ в течение 24 часов, используйте jabber:
rebushelper@exploit.im
Письмо должно содержать ваш личный идентификатор (см. начало этого документа).
В доказательство мы имеем инструмент дешифрования, вы можете прислать нам 1 файл для тест-дешифрования.
Затем вам нужно заплатить за инструмент дешифрования.
В ответном письме вы получите адрес биткоин-кошелька, который нужен для перевода средств.
Если у вас нет биткоинов
* Создайте биткоин-кошелек: https://blockchain.info
* Купите биткоин удобным способом
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- Не имеет смысла жаловаться на нас и устраивать истерику.
- Жалобы, заблокировавшие email, лишают возможности других расшифровывать компьютеры.
  Других людей, чьи компьютеры также зашифрованы, вы лишаете ЕДИНСТВЕННОЙ надежды расшифровать. НАВСЕГДА.
- Просто свяжитесь с нами, мы предусмотрим условия интерпретации файлов и доступных платежей, в дружественной ситуации
- Когда денежный перевод будет подтвержден, вы получите файл декриптер для вашего компьютера.
Внимание!
* Не пытайтесь удалить программу или запустить антивирусные инструменты
* Попытки расшифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, т.к. каждый пользовательский ключ шифрования уникален
==============================



Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Большинство типов файлов. Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
REBUS RECOVERY INFORMATION.TXT
<random>.exe - случайное название

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email-1: rebushelp@airmail.cc
Email-2: rebushelp@protonmail.com
Jabber: rebushelper@exploit.im 
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


➤ См. выше Историю семейства. 

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptGh0st

CryptGh0st Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик) 

Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0.03 BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: нет данных. Целевые системы: Windows x64. Файлы не зашифрованы!

Обнаружения: 
BitDefender -> Trojan.Ransom.CryptGhost.A
Emsisoft -> Trojan.Ransom.CryptGhost.A (B)
ALYac -> Trojan.Ransom.CryptGh0st

© Генеалогия: CryptGh0st > более новые варианты ( в этой статье)

К фейк-зашифрованным файлам добавляется расширение .cryptgh0st
Новые варианты с другими расширениями и записками смотрите после статьи в разделе обновлений. 

Файлы переименовываются с помощью base64.

Шаблон фейк-зашифрованного файла <base64>.cryptgh0st

Активность раннего варианта этого крипто-вымогателя пришлась на конец мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_TO_DECRYPT.html



Содержание записки о выкупе:
<pre>
!!! THIS ISNT A JOKE !!!
!!! ALL YOUR COMPANY DATA GOT ENCRYPTED !!!
!!! READ THE TEXT !!!
 YOUR FILES HAVE BEEN ENCRYPTED USING A STRONG AES-256 ALGORITHM.
YOUR IDENTIFICATION IS
[redacted 32 bytes]
SEND 0,03 BTC TO THE FOLLOWING WALLET
1DYshktcRhJ9B8cpiuFquffjKWnxdGWMsf
AND AFTER PAY CONTACT cryptgh0st@protonmail.com
SENDING YOUR IDENTIFICATION TO RECOVER THE KEY NECESSARY TO DECRYPT YOUR FILES
IF YOU ARE NOT PAYING IN THE NEXT 48H 
ALL YOUR FILES WILL BE REMOVED FOR EVER
!!! THIS ISNT A JOKE !!!
!!! ALL YOUR COMPANY DATA GOT ENCRYPTED !!!
!!! READ THE TEXT !!!
</pre>

Перевод записки на русский язык:
!!! ЭТО НЕ ШУТКА !!!
!!! ВСЕ ДАННЫЕ ВАШЕЙ КОМПАНИИ ЗАШИФРОВАНЫ !!!
!!! ПРОЧИТАЙ ТЕКСТ !!!
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ С ПОМОЩЬЮ СИЛЬНОГО АЛГОРИТМА AES-256.
ВАША ИДЕНТИФИКАЦИЯ
[redacted 32 bytes]
ОТПРАВЬТЕ 0,03 BTC НА СЛЕДУЮЩИЙ КОШЕЛЕК
1DYshktcRhJ9B8cpiuFquffjKWnxdGWMsf
И ПОСЛЕ ОПЛАТЫ ПИШИТЕ НА cryptgh0st@protonmail.com
ОТПРАВКА ВАШЕЙ ИДЕНТИФИКАЦИИ ДЛЯ ВОССТАНОВЛЕНИЯ КЛЮЧА, НЕОБХОДИМА ДЛЯ ДЕШИФРОВАНИЯ ФАЙЛОВ
ЕСЛИ ВЫ НЕ ЗАПЛАТИТЕ ЗА 48 ЧАСОВ, ВСЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ НАВСЕГДА
!!! ЭТО НЕ ШУТКА !!!
!!! ВСЕ ДАННЫЕ ВАШЕЙ КОМПАНИИ ЗАШИФРОВАНЫ !!!
!!! ПРОЧИТАЙ ТЕКСТ !!!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_TO_DECRYPT.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Вариант с расширением .cryptgh0st - конец мая 2018
Вариант с расширением .FileEncrypted - июль 2018
Вариант с расширением .kvllyatprotonmaildotch - август 2018
Вариант с расширением .rencrypted  - июль 2019, марта 2023
По всей видимости, продолжает распространяться. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 25 июля 2018:
Расширение: .FileEncrypted
Файлы переименовываются с base64, получая вид: <base64>.FileEncrypted
Записка: READ_TO_DECRYPT.html
Другой вариант записки: FILES_ENCRYPTED.html
Email: 160505@tt3j2x4k5ycaa5zt.onion
BTC: 1EATMEBVDRmUPjaBeN9hsoj2ffFiUKArma
➤ Содержание записки:
   <pre>
    YOUR FILES HAVE BEEN ENCRYPTED USING A
    STRONG ALGORITHM.
    YOUR IDENTIFICATION IS
    <b>[redacted 32 hex]</b>
    SEND <b>1 BTC</b> TO THE FOLLOWING BITCOIN WALLET ADDRESS
    <b>1EATMEBVDRmUPjaBeN9hsoj2ffFiUKArma</b>
    AND AFTER PAY SEND EMAIL TO 160505@tt3j2x4k5ycaa5zt.onion
    SENDING YOUR IDENTIFICATION AND BITCOIN TRANSACTION ID
    TO RECOVER THE KEY NECESSARY TO DECRYPT YOUR FILES
   </pre>


Обновление от 28 августа 2018:
Расширение: .kvllyatprotonmaildotch
Записка: READ_TO_DECRYPT.html
Email: kvlly@protonmail.ch
BTC: 1Lqe4XsfHBQ2YtA91k9nTWJWNev4JkPXqo
➤ Содержание записки:
<pre>
    YOUR FILES HAVE BEEN ENCRYPTED USING A
    STRONG AES-256 ALGORITHM.
    YOUR IDENTIFICATION IS
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    SEND 0.02 BTC TO THE FOLLOWING WALLET
    1Lqe4XsfHBQ2YtA91k9nTWJWNev4JkPXqo
    AND AFTER PAY CONTACT kvlly@protonmail.ch
    SENDING YOUR IDENTIFICATION TO RECOVER
    THE KEY NECESSARY TO DECRYPT YOUR FILES
IF YOU CAN'T PAY WITH BTC EMAIL ME, AND MAYBE WE CAN WORK SOMETHING OUT!
ALSO I CAN HELP YOU SECURE YOUR SERVER SO YOU DONT GET HACEKD ANYMORE! :)
GREETINGS,KVLLY!
    </pre>


Обновление от 20 июля 2019:
Этот вариант идентифицируется в ID-Ransomware как DataFrequency.
Топик на форуме >>
Расширение: .rencrypted
Файлы переименовываются с base64.
Примеры таких переменованных файлов: SU1HXzQ3OTQuanBn.rencrypted
Tm9kYWxpanVtc18wMTAwOTE1NjE5Ni5wZGY=.rencrypted
Файлы не зашифрованы! 
Записка: READ_TO_DECRYPT.html
Email: iohw634@gmail.com
Файл списка зашифрованных файлов: FILES_ENCRYPTED.html


Обычная версия файла записки


Просмотр html-кода файла записки

➤ Содержание записки: 

YOUR FILES HAVE BEEN ENCRYPTED USING A
STRONG AES-256 ALGORITHM.
NO ONE CAN DECRYPT THEM EXCEPT US!! BECAUSE WE HAVE YOUR DECRYPTION KEY AND ID
IF YOU ARE TRYING DECRYPT WITH A WRONG KEY YOUR FILES WILL BE DECRYPTED WITH BROKEN CONTENT IRRETRIEVABLY, SO DON'T TRY IT RANDOMLY
BECAUSE AFTER THAT OUR KEY AND ID WILL NOT WORK ON YOUR PC AND YOU SHOULD SAY "GOOD BYE" TO ALL OF YOUR DATA
YOU CAN SEARCH IN GOOGLE TO SEE HOW STRONG IS AES-256 ALGORITHM FROM CRACKING
AND ALSO YOU CANT RECOVER YOUR FILE WITH RECOVERY TOOLS BECAUSE WE DIDN'T DELETE THEM WE JUST ENCRYPTED THEM!!
SO IF YOU WANT TAKE YOUR FILES BACK TO NORMAL SITUATION, FOLLOW BELOW
YOUR IDENTIFICATION IS
7be9d0a3d67b8219abc5b32052be7db9
SEND 0.040 BTC TO THE FOLLOWING WALLET
1F5zzecF83o1X6ezv4hNqAAH9PX1SZUrXG
AND TURN YOUR PC ON AND CONNECT IT TO INTERNET AND WAIT FOR CONFIRMATION FROM BLOCKCHAIN NETWORKE
AND AFTER YOUR TRANSACTION GETS CONFIRMED BY BITCOIN BLOCKCHAIN (IT WILL TAKE LIKE 30 MIN UP TO 1 HOUR)
IMMEDIATELY YOUR FILE WILL BE DECRYPT AUTOMATICALLY THEN YOUR FILE WILL BE IN NORMAL SITUATION
THEN YOU SHOULD DISCONNECT YOUR PC FROM INTERNET THEN GET BACKUP OF YOUR FILES AND INSTALL NEW OS
BE AWARE AFTER THAT YOU MUST DON'T INSTALL OR RUN ANY UNSOURCED SOFTWARE IN YOUR NEW OS FOR YOUR SECURITY
AFTER THAT IF YOU WANT ANY FURTHER ASSISTANCE ,SEND EMAIL TO "iohw634@gmail.com" WITH SUBJECT AS YOUR ID.
FOR MORE CERTAINTY ABOUT OUR DECODE PROCESS , YOU CAN SEND ONE OF YOUR ENCRYPTED FILE(BE AWARE JUST ONE FILE) TO
US THROUGH EMAIL AND WITH SUBJECT AS YOUR ID.
AND WE WILL DECRYPT THAT FILE AND SEND IT TO YOU FOR FREE TESTING
WE DON'T OPEN EMAILS WITHOUT ID
GOOD LUCK


*** возможно, были другие варианты, но мы их не видели ***


=== 2023 ===

Вариант от 26 марта 2023 или раньше:
Сообщение на форуме >>
Расширение: .rencrypted
Имена файлов кодируются в base64 один или два раза. 
Фактически расширения добавляются по формату <base64>.rencrypted или <base64>.encrypted
Записка: READ_TO_DECRYPT.docx
Email: privateassistant@mailhost.work
Telegram: t.me/privateassistant
URL: ihwb7wlgrt7bicyigwnytxkbdhrlfyqlwxltb2urll2uk65xaodehdqd.onion
➤ Скриншоты записки в docx-формате. 




---
Как вернуть файлы: 
1-й пример. Надо сначала пропустить через декодер на сайте base64decode.org название файла, например, взяв из файла 
WkdWemEzUnZjQzVwYm1rPS5lbmNyeXB0ZWQ=.rencrypted набор символов без расширения и знака '=' мы получаем файл ZGVza3RvcC5pbmk=.encrypted
Пропускаем это имя тоже без расширения и знака '=' через декодер и получаем реальное имя файла desktop.ini
Полученное имя возвращаем файлу и открываем его обычным способом. 

Вот эта схема: 
WkdWemEzUnZjQzVwYm1rPS5lbmNyeXB0ZWQ=.rencrypted => ZGVza3RvcC5pbmk=.encrypted => desktop.ini

2-й пример. Берем из файла MUMg0J_RgNC10LTQv9GA0LjRj9GC0LjQtS5sbms=.rencrypted только название 
MUMg0J_RgNC10LTQv9GA0LjRj9GC0LjQtS5sbms и пропускаем его через декодер base64, в результате получаем название исходного файла 1C Предприятие.lnk

А вот что там с самими файлами? Зашифрованы или закодированы? 
Это можно узнать, только если открыть сами файлы. 
Прежде в этой программе-вымогателе файлы не шифровались. Но со временем это могло измениться. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptGh0st, DataFrequency)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 29 мая 2018 г.

LittleFinger

LittleFinger Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: mpsigeng и mpsigeng.exe. Фальш-копирайт: HP Inc. 2018

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно, пока находится в разработке. 

Записки с требованием выкупа в текстовом виде нет. Текст есть в консоле. 

Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED YOUR FINGERPRINT: FF88-CA7D-C465-1B64-D112-B0D5-9ED4-CDE7
SEND 0.01 BTC to address: 1LjKnoJed8F6TiF4QwuHUD6EUMwcRUp9oy
SEND TRANSACTIONS <TXID> AND FINGERPRINT to decryptmefinger@gmail.com
YOU RECEIVE DECRYPTOR INBOX

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ ВАШ ОТПЕЧАТОК: FF88-CA7D-C465-1B64-D112-B0D5-9ED4-CDE7
ОТПРАВЬТЕ 0.01 BTC по адресу: 1LjKnoJed8F6TiF4QwuHUD6EUMwcRUp9oy
ОТПРАВЬТЕ <TXID> ОПЕРАЦИИ И ОТПЕЧАТОК на decryptmefinger@gmail.com
ВЫ ПОЛУЧИТЕ ДЕКРИПТОР НА ПОЧТУ



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Маркер файлов: 0x3737451845184518

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decryptmefinger@gmail.com
BTC: 1LjKnoJed8F6TiF4QwuHUD6EUMwcRUp9oy
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LittleFinger)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 28 мая 2018 г.

CryptoMix-Backup

CryptoMix-Backup Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: backup.exe или что попало.

© Генеалогия: CryptoMix >> CryptoMix-Backup

К зашифрованным файлам добавляется расширение .BACKUP

Примеры зашифрованных файлов: 
52FB83A70F6CE102D118EFF90F92C4E2.BACKUP
25E567772B10D6BB09C2E4572DB1BA6F.BACKUP
B770F215305FA1102E5538DB329B84C4.BACKUP

Активность этого крипто-вымогателя пришлась на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
backuppc@tuta.io
backuppc@protonmail.com
backuppc1@protonmail.com
b4ckuppc1@yandex.com
b4ckuppc2@yandex.com
backuppc1@dr.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Внимание! Все ваши данные были зашифрованы!
Для получения дополнительной информации отправьте нам электронное письмо с идентификационным номером:
backuppc@tuta.io
backuppc@protonmail.com
backuppc1@protonmail.com
b4ckuppc1@yandex.com
b4ckuppc2@yandex.com
backuppc1@dr.com
Пожалуйста, отправьте письмо на все электронные адреса! Мы поможем вам как можно скорее!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ НИКАКИЕ ПУБЛИЧНЫЕ ПРОГРАММЫ! ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШИ ДАННЫЕ НАВСЕГДА!
DECRYPT-ID-[id] номер



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Останавливает службу VSS, удаляет теневые копии файлов,  отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
C:\WINDOWS\system32\cmd.exe" /C sc stop VVS"
C:\WINDOWS\system32\cmd.exe" /C  sc stop wscsvc
C:\WINDOWS\system32\cmd.exe" /C  sc stop WinDefend
C:\WINDOWS\system32\cmd.exe" /C  sc stop wuauserv
C:\WINDOWS\system32\cmd.exe" /C  sc stop BITS
C:\WINDOWS\system32\cmd.exe" /C  sc stop ERSvc
C:\WINDOWS\system32\cmd.exe" /C  sc stop WerSvc
C:\WINDOWS\system32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet"
C:\WINDOWS\system32\cmd.exe" /C bcdedit /set {default} recoveryenabled No"
C:\WINDOWS\system32\cmd.exe" /C bcdedit /set {default} bootstatuspolicy ignoreallfailures"

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
BACKUP.EXE (backup.exe)
BC2D64A077.exe
BC5CF152C7.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%Profiles%\Videos\BACKUP.EXE
%AppData%\BC2D64A077.exe
C:\ProgramData\<random>.exe

PUBLIC KEY: 
См. по ссылке в Hybrid-анализе.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: backuppc@tuta.io
backuppc@protonmail.com
backuppc1@protonmail.com
b4ckuppc1@yandex.com
b4ckuppc2@yandex.com
backuppc1@dr.com
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Ещё не было обновлений этого варианта. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *