вторник, 19 июня 2018 г.

JungleSec

JungleSec Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: JungleSec (указано в заголовке записки о выкупе). Вероятно, что предназначен только для Linux-систем. Как оказалось позже: для Windows, Linux и Mac.

© Генеалогия: выясняется.
Это изображение только логотип статьи

К зашифрованным файлам добавляется расширение: .jungle@anonymousspechcom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ENCRYPTED.md 

Содержание записки о выкупе:
───────────────────────────────────────────────────
JUNGLESEC
───────────────────────────────────────────────────
What happen to my data ?
-----------------------
Your data are encrypted. If you try to bruteforce, change the path, the name or do anything that can alterate a single byte of a file(s) will result
to a fail of the recovery process, meaning your file(s) will be loss for good. 
How can I retrieve them ?
-------------------------
- To known the process, you must first send 0.3 bitcoin to the following address : 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- Once the payment made, send your email address to junglesec@anonymousspeech.com, do not forget to mention the IP of server/computer
Will you send the process recovery once payment is made ?
--------------------------------------------------------
- We have no interest to not send you the recovery process if payment was made.
- Once the payment is made, you should receive the recovery process to decrypt your data in less 24 hours
By Jungle_Sec

Перевод записки на русский язык:
Что случилось с моими данными?
-----------------------
Ваши данные зашифрованы. Если вы попытаетесь выполнить команду brutforce, измените путь, имя или сделайте всё, что может изменить один байт файла (ов), это приведёт к сбою процесса восстановления, что означает, что ваш файл (ы) будет потерян для хорошего.
Как я могу их получить?
-------------------------
- Чтобы узнать о процессе, вы должны сначала отправить 0.3 биткойна на следующий адрес: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- После внесения платежа отправьте свой email-адрес на junglesec@anonymousspeech.com, не забудьте указать IP-адрес сервера / компьютера
Вы отправите процесс восстановления после того, как будет произведен платеж?
-------------------------------------------------- ------
- У нас нет интереса не отправлять вам процесс восстановления, если оплата была произведена.
- После того, как платеж будет произведён, вы должны получить процесс восстановления для дешифрования своих данных менее чем за 24 часа
Jungle_Sec



Технические детали

JungleSec заражает ПК через незащищенные карты IPMI (Intelligent Platform Management Interface). IPMI - это интерфейс управления, встроенный в материнские платы сервера или установленный как дополнительная карта, которая позволяет администраторам удаленно управлять компьютером, включать и выключать их, получать системную информацию и получать доступ к KVM, который предоставляет удаленный консольный доступ. Это полезно для управления серверами, особенно при аренде серверов у другой компании в удаленном центре размещения. Однако, если интерфейс IPMI настроен неправильно или использует пароли от производителя (по умолчанию), это может позволить злоумышленникам удаленно подключиться к вашим серверам и получить контроль над ними с использованием учетных данных по умолчанию.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует программу шифрования ccrypt. После загрузки ccrypt, злоумышленники вручную запускают его для шифрования файлов жертвы. Команда, используемая злоумышленниками, вроде следующей:
/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib

После ввода этой команды злоумышленник вводит пароль, который затем будет использоваться для шифрования файлов.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ENCRYPTED.md 
key.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: junglesec@anonymousspeech.com
BTC: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as JungleSec)
 Write-up, Topic of Support
 * 
Added later: 
JungleSec Ransomware... (add. December 26, 2018)
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать email / Follow by Email

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton