пятница, 29 июня 2018 г.

AnimusLocker

AnimusLocker Ransomware
Animus Locker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XTEA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Animus Locker. На файле написано: Ransom.exe.

© Генеалогия: AuroraGeneric Malware > AnimusLocker

К зашифрованным файлам добавляется расширение: .animus


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину - конец июня 2018 г. (штамп времени на файле: 19-Jun-2018 13:01:33). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
ANIMUS_RESTORE.txt
ANIMUS_RESTORE2.txt
ANIMUS_RESTORE3.txt
Они аналогичны по содержанию. 
AnimusLocker note

Содержание записки о выкупе:
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit),
We strongly RECOMMEND you not to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price,
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
j0ra@protonmail.com
########
!ATTENTION!
Attach file is 000000000.key from %appdata% to email message,
Without it we will not be able to decrypt your files
########
And pay 100$ on 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH wallet
If someone else offers you files restoring, ask him for test decryption,
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>

Перевод записки на русский язык:
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
ПРОСТИ! Ваши файлы зашифрованы.
Содержимое файла зашифровывается случайным ключом.
Случайный ключ зашифровывается открытым ключом RSA (2048 бит),
Мы очень рекомендуем вам не использовать "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене,
Если вы хотите расшифровать свои файлы, вы должны получить закрытый ключ RSA.
Чтобы получить секретный ключ, напишите сюда:
j0ra@protonmail.com
########
!ВНИМАНИЕ!
Прикрепите файл 000000000.key из %appdata% к email-сообщению,
Без него мы не сможем расшифровать ваши файлы
########
И заплатите 100$ на 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH кошелек
Если кто-то еще предлагает вам восстановление файлов, запросите у него тест расшифровку,
  Только мы можем успешно расшифровать ваши файлы; знайте, это может защитить вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.db, .doc, .docx, .js, .jpg, .png, .xls, .xlsx, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ANIMUS_RESTORE.txt
ANIMUS_RESTORE2.txt
ANIMUS_RESTORE3.txt
Ransom.exe
996E.exe
<random>.exe - случайное название
000000000.key

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Temp\EB93A6\996E.exe
C:\Users\User\AppData\Roaming\000000000.key

Записи реестра, связанные с этим Ransomware:
HKEY_USERS\\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run\MSFEEditor
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\996E.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: j0ra@protonmail.com 
BTC: 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Aurora Ransomware - май 2018
Animus Locker Ransomware - с расширением .animus - июнь 2018

Animus Locker Ransomware с расширением .desu - июль 2018
ONI Ransomware - август 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 20 июля 2018:
Пост в Твиттере >>
Статус: Файлы можно расшифровать!
Расширение: .desu
Записки: @_DECRYPT_@.txt, @_DECRYPT2_@.txt, @_DECRYPT3_@.txt
Сумма выкупа: $200
Email: j0ra@protonmail.com
BTC: 1ARDXRQsvnsYiM5jZczFagtCrAzSFC1Qmy
Результаты анализов: VT
Вероятно, делает попытку перезаписать MBR, чтобы показать свой текст на чёрном фоне.



Обновление от 30 тюля 2018:
Расширение: .desu
Файлы переменовываются в HEX. 
Файлы записок: ©_RESTORE_PC_1.txt, ©_REST0RE_PC_2.txt, ©_REST0RE_PC_3.txt
Email-1: UnlockAlexKingman@protonmail.com
Email-2: hellstaff@india.com
Статус: файлы можно дешифровать. 
Файл: BadRansomware.exe и варианты
Результаты анализов: VT + VT + VMRay






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Скачайте дешифровщик по этой ссылке >>
***
Это общий дешифровщик для Aurora, AnimusLocker, ONI.
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID under Aurora)
 Write-up, Topic of Support
 🎥 Video review >>
  - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov, GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton