вторник, 31 июля 2018 г.

Auuahk-Ouuohk

Auuahk-Ouuohk Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .RECOVERYOURFILES


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Бразилии. 

Записка с требованием выкупа называется: INSTRUCTIONS_RECOVER_FILES.txt
Содержание записки о выкупе:
--------------------- IMPORTANT INFORMATION ------------------------
ALL YOUR FILES ARE ENCRYPTED WITH RSA-2048 and AES-128 CIPHERS.
DECRYPTING OF YOUR FILES IS ONLY POSSIBLE WITH OUR KEY.
This is your ID:
ydgRhdi1hfj *** [redacted 800 alpha chars]
SEND MAIL TO RECOVER :
auuahk@yandex.com
ouuohk@eclipso.eu

Перевод записки на русский язык:
--------------------- ВАЖНАЯ ИНФОРМАЦИЯ ------------------------
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ с RSA-2048 и AES-128 ШИФРАМИ.
ДЕШИФРОВАНИЕ ВАШИХ ФАЙЛОВ ВОЗМОЖНО ТОЛЬКО С НАШИМ КЛЮЧОМ.
Это ваш ID:
ydgRhdi1hfj ***  [отредактировано 800 символов]
ОТПРАВЬТЕ ПОЧТУ ДЛЯ ВОССТАНОВЛЕНИЯ:
auuahk@yandex.com
ouuohk@eclipso.eu



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS_RECOVER_FILES.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
auuahk@yandex.com
ouuohk@eclipso.eu
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware ( n/a )
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 27 июля 2018 г.

Scarab-Barracuda

Scarab-Barracuda Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email или Jabber вымогателей, чтобы уплатить выкуп в # BTC и вернуть файлы. Оригинальное название: в заголовке записки написано BARRACUDA. См. генеалогию семейства Scarab Ransomware ниже. Написан на Delphi. Ранняя версия называлась Scarab-Rebus и файлы можно было дешифровать. 

© Генеалогия: Scarab >> Scarab-Amnesia > Scarab-Rebus > {update encryptor} > Scarab-Barracuda
Это изображение — логотип статьи. На нём скарабей с барракудой.
This image is the logo of the article. It depicts a scarab with barracuda.

К зашифрованным файлам добавляется расширение: .BARRACUDA

Сами файлы переименовываются с помощью Base64.

Примеры зашифрованных файлов:
rAdREdff=!KUrB+5EK=sYPIjuMWtwirIUv+HrU3gJTRwnKQCods.BARRACUDA
WcWOrIQVNHqPW1pPHAVFo+jD2mjlk9e4QfSQyItgFr+zPiQvMTeR.BARRACUDA
3qn9NLavEeSVb4IFjxk6G3FzCNTXBjmi1JIN9E6oH=ds3KajfOVLs+Q.BARRACUDA


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известны пострадавшие из Польши. 

Записка с требованием выкупа называется: BARRACUDA RECOVERY INFORMATION.TXT

Содержание записки о выкупе:
==================================================
BARRACUDA
==================================================
YOUR FILES ARE ENCRYPTED! 
Your personal ID
6A02000000000000***68D507
Your documents, photos, databases, save games and other important data was encrypted. 
Data recovery the necessary decryption tool. To get the decryption tool, should send an email to:
Mail us to; barracuda@airmail.cc & barracudahelp@protonmail.com
XMPP; barracudahelper@exploit.im
Letter must include Your personal ID (see the beginning of this document).
In the proof we have decryption tool, you can send us 1 file for test decryption.
Next, you need to pay for the decryption tool. 
In response letter You will receive the address of Bitcoin wallet which you need to perform the transfer of funds.
If you have no bitcoins
* Create Bitcoin purse: https://blockchain.info
* Buy Bitcoin in the convenient way
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- It doesn't make sense to complain of us and to arrange a hysterics. 
- Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.
 Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.
- Just contact with us, we will stipulate conditions of interpretation of files and available payment, 
in a friendly situation
- When money transfer is confirmed, You will receive the decrypter file for Your computer. 
Attention! 
* Do not attempt to remove a program or run the anti-virus tools 
* Attempts to decrypt the files will lead to loss of Your data 
* Decoders other users is incompatible with Your data, as each user unique encryption key
==================================================

Перевод записки на русский язык:
==================================================
BARRACUDA
==================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ID
6A02000000000000 *** 68D507
Ваши документы, фото, базы данных, сохранение игр и другие важные данные были зашифрованы.
Восстановления данных нужен инструмент дешифрования. Для получения инструмент дешифрования, надо отправить email по адресу:
Напишите нам; barracuda@airmail.cc & barracudahelp@protonmail.com
XMPP; barracudahelper@exploit.im
Письмо должно содержать ваш персональный ID (см. Начало этого документа).
В доказательство у нас есть инструмента дешифрования, вы можете отправить нам 1 файл для тестового дешифрования.
Затем вам нужно заплатить за инструмент дешифрования.
В ответном письме вы получите адрес биткоин-кошелька, который вам нужен для перевода средств.
Если у вас нет биткоинов
* Создать биткоин кошелек: https://blockchain.info
* Купить биткоин удобным способом
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (инструкция для новичков)
- Не имеет смысла жаловаться на нас и устраивать истерику.
- Жалобы, заблокировавшие email, лишают возможности других расшифровать компьютеры.
 Других людей, у которых компьютеры также зашифрованы, вы лишаете ЕДИНСТВЕННОЙ надежды расшифровать. НАВСЕГДА.
- Просто свяжитесь с нами, мы предусмотрим условия интерпретации файлов и доступных платежей,
в дружественной ситуации
- Когда денежный перевод подтвержден, вы получите файл decrypter для вашего компьютера.
Внимание!
* Не пытайтесь удалить программу или запустить антивирусные инструменты
* Попытки расшифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, так как у каждого пользователя уникальный ключ шифрования
==================================================



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Большинство типов файлов. Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BARRACUDA RECOVERY INFORMATION.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: barracuda@airmail.cc, barracudahelp@protonmail.com
Jabber (XMPP): barracudahelper@exploit.im
xxxx://exploit.im
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

➤ См. выше Историю семейства. 

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
*
*
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xlockr

Xlockr Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: Xlockr. На файлах написано: Extension.exe, Message.exe, Updater.exe

© Генеалогия: выясняется.
Изображение только логотип статьи

К зашифрованным файлам добавляется расширение: .xlockr


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.
Скриншоты процесса показа экрана и сообщений


Скриншот с текстом о выкупе

Содержание текста о выкупе:
Sorry! Your files have been encrypted!
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
If you want to decrypt all your files, you need to pay.
You only have 3 days to submit the payment. It will be increase $1 every minute.
Also, if you don't pay in 3 days, you won't be able to recover your files forever.
How Do I Pay?
Payment is accepted in Bitcoin only.
Please check the current price of Bitcoin and buy some bitcoins.
And send the correct amount to the address specified in this window.
After your payment, enter your transaction id and click <Check Payment>. Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a tweet that containing #xlockr hastag.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!
---
Current Value
$1002
---
Payment will be raised!
Time Left
00:12
---
If you don't pay
Your files will be lost!
Time Left
02:23:57:12
---
Send $100 worth of bitcoin to this address:
[                                   ] [Copy]
[Check Payment & Decrypt Files]

Перевод текста на русский язык:
Извините! Ваши файлы зашифрованы!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов не доступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время. Никто не может восстановить ваши файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени.
Если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы заплатить. Это будет расти на 1 доллар каждую минуту.
Кроме того, если вы не платите за 3 дня, вы не сможете восстановить ваши файлы никогда.
Как мне оплатить?
Оплата принимается только в биткоинах.
Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
После оплаты введите свой ID транзакции и нажмите <Проверить платеж>. Лучшее время для проверки: 9:00 - 11:00 по Гринвичу c понедельника по пятницу.
Как только платеж будет проверен, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте твит, содержащий #xlockr хэштег.
Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, она не сможет восстановить ваши файлы, даже если вы заплатите!
---
Текущая стоимость
$ 1002
---
Оплата будет повышена!
Время вышло
00:12
---
Если вы не платите
Ваши файлы будут потеряны!
Время вышло
02: 23: 57: 12
---
Отправьте биткоин на $100 на этот адрес:
[] [Копировать]
[Проверить платежи и расшифровать файлы]

Сайт распространитель: xxxx://www.yensaogiadinh.com/
Скриншот с сайта
Скриншот сообщения Norton Security об отражённой атаке



Технические детали

Распространяется и устанавливается как расширение для браузера Microsoft Edge. Используется его иконка. 
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3dm, .3fr, .3g2, .3gp, .7z, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .apk, .arch00, .arw, .as, .as3, .asf, .asp, .aspx, .asset, .asx, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .cas, .cdr, .cer, .cfr, .class, .config, .cpp, .cr2, .crt, .crw, .cs, .cs, .csproj, .css, .csv, .d3dbsp, .das, .dazip, .db, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m3u8, .m4a, .m4u, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mid, .mlx, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .msg, .ncf, .nef, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pk7, .pkpass, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .ra, .raf, .rar, .raw, .rb, .re4, .resx, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sdf, .settings, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slm, .sln, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .swf, .syncdb, .t12, .t13, .tax, .tif, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .zip, .ztmp (273  расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Extension.exe
Extension_6_.exe
Message.exe
Message.exe.config
Updater.exe
Extension.dat
<random>.exe - случайное название

Проект: 
Extension: Extension.pdb, Updater.pdb, Message.pdb

Особенности:
.NET Framework 4.6.1

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
https://ipinfo.io/ (216.239.36.21, США) - для определения IP, страны и пр.
xxxx://app.remaxgllobal.com/check.php
xxxx://www.yensaogiadinh.com/  - VT + NSW + Qu + Su
Redirect: yensaogiadinh.blogspot.com > www.yensaogiadinh.com

xxxx://yensaogiadinh.com/search/label/kia%EF%BF%BD%EF%BF%BDa%EF%BF%BD%EF%BF%BDa%EF%BF%BD%EF%BF%BDn+tha%EF%BF%BD%EF%BF%BDa%EF%BF%BD%EF%BF%BDa%EF%BF%BD%EF%BF%BDc  - VT
xxxx://silverandgold101.com/2010/06/11/nass= 
URL: xxxx://pakpandir.com/2017/09/cara-membuat-facebook-instant-articles.html
URL: xxxx://pakpandir.com/2017/09/penemuan-baru-fosil-dinosaurus-dari.html
URL: xxxx://pakpandir.com/2017/09/silakan-merokok-rokok-ternyata-banyak.html
IP сервера: 
216.239.32.21:80 (США) 
54.36.222.41:80 (Франция)
BTC: 1NTfUKuRM7ozht3PxNgzKW6Wb2m9Nu2G87
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ на Extension.exe (главный файл) >>
Hybrid анализ на Updater.exe >>
𝚺  VirusTotal анализ на Extension.exe >>
𝚺  VirusTotal анализ на Message.exe >>
𝚺  VirusTotal анализ на Updater.exe >>
🐞 Intezer анализ на Extension.exe >>
🐞 Intezer анализ на Updater.exe >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 26 июля 2018 г.

PyLocky, LockyLocker

LockyLocker Ransomware 

PyLocky Ransomware 

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью 3DES (режим CBC, 16-byte CRNG'd pass) + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Locky Locker. На файле написано: lock.exe.

© Генеалогия: результаты Intezer Analyze.
Это изображение логотип статьи: замочки на большом замке.
This image is logo of the article. Depicts small lockys on big lock.

К зашифрованным файлам добавляется расширение: .locky


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных, французских, итальянских и корейских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: LOCKY-README.txt

Содержание записки о выкупе:
Please be adviced:
All your files, pictures document and data has been encrypted with Military Grade Encryption RSA AES-256.
Your information is not lost. But Encrypted.
In order for you to restore your files you have to purchase Decrypter.
Follow this steps to restore your files.
1* Download the Tor Browser. ( Just type in google "Download Tor" ).
2* Browse to URL : xxxx://4wcgqlckaazugwzm.onion/index.php
3* Purchase the Decryptor to restore your files.
It is very simple. If you don't believe that we can restore your files, then you can restore 1 file of image format for free.
Be aware the time is ticking. Price will be doubled every 96 hours so use it wisely.
Your unique ID : #uid
CAUTION:
Please do not try to modify or delete any encrypted file as it will be hard to restore it.
SUPPORT:
You can contact support to help decrypt your files for you.
Click on support at xxxx://4wcgqlckaazugwzm.onion/support/

--------BEGIN BIT KEY---------

QsWlLWpOZaOhvxqWw*****
--------END BIT KEY-----------

------------------------------

BEGIN FRENCH
------------------------------
S'il vous plaît soyez avisé:
Tous vos fichiers, images, documents et données ont été cryptés avec Military Grade Encryption RSA AES-256.
Vos informations ne sont pas perdues. Mais chiffré.
Afin de vous permettre de restaurer vos fichiers, vous devez acheter Decrypter.
Suivez ces étapes pour restaurer vos fichiers.
1 * Téléchargez le navigateur Tor. (Il suffit de taper google "Télécharger Tor").
2 * Aller à l'URL: xxxx://4wcgqlckaazugwzm.onion/index.php
3 * Achetez le Decryptor pour restaurer vos fichiers.
C'est très simple. Si vous ne croyez pas que nous pouvons restaurer vos fichiers, alors vous pouvez restaurer 1 fichier de format d'image gratuitement.
Soyez conscient que le temps est compté. Le prix sera doublé toutes les 96 heures, alors utilisez-le à bon escient.
Votre ID unique: #uid
MISE EN GARDE:
N'essayez pas de modifier ou de supprimer un fichier crypté, car il sera difficile de le restaurer.
SOUTIEN:
Vous pouvez contacter le support pour aider à déchiffrer vos fichiers pour vous.
Cliquez sur support à #tor
------------------------------
END FRENCH
------------------------------

------------------------------

BEGIN ITALIAN
------------------------------
Si prega di essere avvisati:
Tutti i tuoi file, immagini, documenti e dati sono stati crittografati con Military Grade Encryption RSA AES-256.
Le tue informazioni non sono perse. Ma crittografato.
Per poter ripristinare i tuoi file devi acquistare Decrypter.
Seguire questa procedura per ripristinare i file.
1 * Scarica il Tor Browser. (Basta digitare su google "Download Tor").
2 * Passa a URL: xxxx://4wcgqlckaazugwzm.onion/index.php
3 * Acquista Decryptor per ripristinare i tuoi file.
È molto semplice Se non credi che possiamo ripristinare i tuoi file, puoi ripristinare 1 file di formato immagine gratuitamente.
Sii consapevole che il tempo stringe. Il prezzo sarà raddoppiato ogni 96 ore, quindi usalo saggiamente.
Il tuo ID univoco: #uid
ATTENZIONE:
Si prega di non provare a modificare o eliminare alcun file crittografato in quanto sarà difficile ripristinarlo.
SUPPORTO:
È possibile contattare l'assistenza per decrittografare i file per conto dell'utente.
Clicca sul supporto in #tor
------------------------------
END ITALIAN
------------------------------

------------------------------

BEGIN KOREAN
------------------------------
조언을 받으십시오 :
모든 파일, 사진 문서 및 데이터는 군용 등급 암호화 RSA AES-256으로 암호화되어 있습니다.
귀하의 정보는 손실되지 않습니다. 그러나 암호화.
파일을 복원하려면 Decrypter를 구입해야합니다.
이 단계에 따라 파일을 복원하십시오.
1 * Tor 브라우저를 다운로드하십시오. (구글에 "Tor 다운로드"만 입력하면됩니다.)
2 * URL 찾아보기 : xxxx://4wcgqlckaazugwzm.onion/index.php
3 * 파일을 복원하려면 Decryptor를 구입하십시오.
그것은 매우 간단합니다. 파일을 복원 할 수 있다고 생각지 않으면 이미지 형식의 파일 1 개를 무료로 복원 할 수 있습니다.
시간이 똑딱 거리고 있다는 것을 알아 두십시오. 가격은 96 시간마다 두 배가되므로 현명하게 사용하십시오.
고유 ID : #uid
주의:
암호화 된 파일을 수정하거나 삭제하지 마십시오. 복원하기가 어려울 수 있습니다.
지원하다:
지원 센터에 문의하여 파일의 암호를 해독하는 데 도움을받을 수 있습니다.
#tor에서 지원을 클릭하십시오.
------------------------------
END KOREAN
------------------------------

Перевод записки на русский язык:
Пожалуйста, посоветуйте:
Все ваши файлы, изображения документы и данные были зашифрованы шифрования военного класса RSA AES-256.
Ваша информация не потеряна. Но зашифрована.
Для восстановления ваших файлов вам надо приобрести Decrypter.
Выполните следующие действия, чтобы восстановить файлы.
1* Загрузите Tor-браузер. (Просто введите в Google "Download Tor").
2* Просмотр URL: xxxx://4wcgqlckaazugwzm.onion/index.php
3* Приобретите Decryptor для восстановления ваших файлов.
Это очень просто. Если вы не верите, что мы можем восстановить ваши файлы, вы можете бесплатно восстановить 1 файл формата изображения.
Помните, что время тикает. Цена будет удваиваться каждые 96 часов, поэтому используйте их с умом.
Ваш уникальный идентификатор: #uid
ВНИМАНИЕ:
Пожалуйста, не пытайтесь изменить или удалить любой зашифрованный файл, так как его будет сложно восстановить.
ПОДДЕРЖКА:
Вы можете обратиться в службу поддержки, чтобы помочь вам расшифровать ваши файлы.
Нажмите на поддержку на xxxx://4wcgqlckaazugwzm.onion/support/
***

Требования вымогателей также написаны на сайте оплаты. 



Содержание текста на сайте оплаты:
Unlock Your Files
In Minutes!
---
What Happends?
qrcode
Your files are encrypted using Locky Locker.
You have a chance to restore your files by Downloading Locky Decryptor. And restore all your files.
Be aware that no other decryptor will work for you. You can try but remember price double every 96 hour. So act fast.
LOCKY UNLOCKER.

Перевод текста на русский язык:
Разблок Ваших файлов
За Минуту!
---
Что происходит?
qrcode
Ваши файлы зашифрованы Locky Locker.
В можете вернуть ваши файлы, загрузив Locky Decryptor. И восстановить все ваши файлы.
Знайте, что никакой другой декриптор не будет работать для вас. Вы можете попробовать, но помните, что цена удваивается каждые 96 часов. Потому поторопитесь.
LOCKY UNLOCKER.




Технические детали

Распространяется с помощью email-спама и вредоносных вложений, таких как Facture_25.07.2018_991030.exe и им подобных. 

Может также распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bak, .bat, .bmp, .c, .cbr, .cer, .cfg, .cfm, .cgi, .class, .com, .cpp, .cs, .css, .csv, .dat, .db, .dbf, .dds, .deb, .dem, .dif, .doc, .docm, .docx, .dotm, .dotx, .eps, .flv, .fnt, .fon, .fpx, .gam, .ged, .ged, .gif, .gz, .h, .htm, .htm, .html, .html, .ics, .iff, .indd, .ini, .iso, .j2c, .j2k, .java, .jfif, .jif, .jp2, .jpeg, .jpg, .jpx, .js, .json, .jsp, .key, .keychain, .log, .lua, .m3u, .m4a, .m4v, .max, .mdb, .mht, .mhtml, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .msi, .nes, .obj, .ods, .odt, .old, .otf, .pages, .pcd, .pct, .pdf, .php, .pkg, .pl, .png, .pps, .ppt, .pptx, .prf, .prn, .ps, .psd, .py, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sh, .slk, .sln, .sql, .srt, .svg, .svg, .swf, .swift, .tar, .tex, .tga, .tgz, .thm, .tif, .tif, .tiff, .tiff, .tmp, .torrent, .ttf, .txt, .vb, .vcf, .vcxproj, .vob, .wav, .wma, .wmv, .wpd, .wps, .xhtml, .xla, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xml, .xps, .yuv, .zip, .zipx (167 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и другие изображения, музыка, видео, архивы, сохранения игр и пр.

В коде шифровальщика целевые расширения разделены на форматы и представлены следующим образом:
Общие форматы:
.dat, .keychain, .sdf, .vcf,
Форматы изображений:
.jpg, .png, .tiff, .tif, .gif, .jpeg, .jif, .jfif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .tiff, .yuv, .ai, .eps, .ps, .svg, .indd, .pct,
Видеоформаты:
.mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv,
Форматы документов:
.doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages, .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt, .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics,
Аудиоформаты:
.mp3, .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma,
Форматы программ:
.msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .htm, .html, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj,
Форматы игр:
.dem, .gam, .nes, .rom, .sav,
Форматы архивов:
.tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso,
Прочие: 

.ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent

Файлы, связанные с этим Ransomware:
LOCKY-README.txt
lock.exe
Facture_25.07.2018_991030.exe
Facture_25.07.2018_991030.tmp 
<random>.exe - случайное название
Locky Decryptor.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%\AppData\LOCKY-README.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://centredentairenantes.fr/ - C2
xxxx://domainechateaubreul.fr/
xxxx://www.desatascosbenidorm.es/
xxxx://weitblick-verlag.de/
xxxx://fsg-hammelburg.de/
xxxx://4wcgqlckaazugwzm.onion/index.php
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 23 августа 2018:
Пост в Тивттере >>
Пост в Твиттере >>
Расширения: .lockedfile и .lockymap
Записка: LOCKY-README.txt
Много пострадавших из Франции. 
URL: xxxx://pylockyrkumqih5l.onion/index.php
Скриншот записки (две части)

Файлы: lockyfud.exe и facture_4739149_08.26.2018.exe (email-вложение)
Дроппирует множество tmp-файлов.
Результаты анализов: HA + VT + IA + JSA


Обновление от 4 сентября 2018: 
Пост в Твиттере >>
Вымогатели взяли название PyLocky, придуманное для сервиса ID Ransomware.
Файлы: rsa.exe, lockyfud.exe
На файле rsa.exe написано: BulBa
URL/File: xxxx://www.lockysupport.club/rsa.exe***
Результаты анализов: VT + HA + IA + ARJSA




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as PyLocky)
 Write-up, Topic of Support
 * 
 Thanks: 
 Brad, Michael Gillespie
 Andrew Ivanov, GrujaRS
 MalwareHunterTeam, Rony
 Intezer Analyze, ANY.RUN
 

© Amigo-A (Andrew Ivanov): All blog articles.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton