понедельник, 5 ноября 2018 г.

Aperfectday2018

Aperfectday2018 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп шведскими кронами SEK в переводе на BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.


В качестве выкупа вымогателю нужны 1000 шведских крон

К зашифрованным файлам добавляется приставка (enc)
Пример зашифрованного файла: (enc)my-documents.docx

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: aboutYourfiles.txt

Содержание записки о выкупе:
 Hi. Thank you for using my program. If you're reading this, a lot of your files have been encrypted. To decrypt them, you need my decryption program. For this, I want 25 000 sek, I want them in bitcoin. Email me when you've paid with details about the transaction. I'll give you two days.
If you have not paid in two days(from the day you received the email), It will cost 1000 sek more per day.  
If I have not heard from you after five days (from the day you received the email), I assume your files are not that
important to you. So I'll delete your decryption-key, and you will never see your files again.
After the payment, email me the following information:
* the bitcoin address you sent from (important, write it down when you do the transaction)
* the ID at the bottom of this document (this is important!! Otherwise I don't know which key belongs
to you).
Then I will send you the decryption-program and provide you with instructions of how to remove
the virus if you have not already figured it out.
Email:
aperfectday2018@protonmail.com
Bitcoin adress:  
1LX3tBkW161hoF5DbGzbrm3sdXaF6XHv2D
Make sure to get the bitcoin adress right, copy and paste and double check. If you send the bitcoin
to the wrong adress, it will be lost forever. You cant stop or regret a bitcoin transaction.
IMPORTANT:  
Do not loose this document. You also have a copy of it on your desktop.
Do NOT change any filenames!!! !!!
Thank you for the money, it means a lot to me.  
ID: 3456789012345

Перевод записки на русский язык:
Привет. Спасибо за использование моей программы. Если вы читаете это, многие ваши файлы зашифрованы. Чтобы расшифровать их, вам нужна моя программа дешифрования. Для этого я хочу 25 000 sek, я хочу их в биткоине. Напишите мне на email, когда оплатите, детали транзакции. Я дам вам два дня.
Если вы не заплатили за два дня (с того дня, как вы получили письмо), он будет стоить 1000 sek в день.
Если я не услышал вас через пять дней (с того дня, как вы получили письмо), я предполагаю, что ваши файлы не так важны для вас. Поэтому я удалю ваш ключ дешифрования, и вы больше никогда не увидите свои файлы.
После оплаты напишите мне следующую информацию:
* биткоин-адрес, с которого вы отправили (важно, запишите его, когда вы сделаете транзакцию)
* ID внизу документа (это важно! Иначе случае я не узнаю, какой ключ принадлежит тебе).
Затем я пришлю вам программу дешифрования и предоставлю вам инструкции по удалению если вы еще этого не поняли.
Email:
aperfectday2018@protonmail.com
Биткоин-адрес:
1LX3tBkW161hoF5DbGzbrm3sdXaF6XHv2D
Убедитесь, что биткоин-адрес правилен, скопируйте и вставьте и дважды проверьте. Если вы отправите биткоины на неправильный адресу, он будет потерян навсегда. Вы не остановите или пожалеет о транзакции биткоинов.
ВАЖНО:
Не теряйте этот документ. У вас также есть копия на вашем рабочем столе.
НЕ меняйте имена файлов !!! !!!
Спасибо за деньги, это много значит для меня.
ID: 3456789012345

25 000 sek - это 25000 шведских крон.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
aboutYourfiles.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: aperfectday2018@protonmail.com
BTC: 1LX3tBkW161hoF5DbGzbrm3sdXaF6XHv2D
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

13 комментариев:

  1. https://www.hybrid-analysis.com/sample/37f5b68321a9645814569cfdbfa08c363f0e19b077c3b0174e578eff40a69f3b

    94% - PHP Devel Studio 3.0
    6% - WinRAR SFX

    ОтветитьУдалить
    Ответы
    1. Из результатов анализа ясно, что это не относится к данной статье и это совершенно другой Ransomware. Не обнаружил никакой записки. Есть ли у него название?

      Удалить
    2. Да, называется Scroboscope, тестировал я этот семпл и я смог увидеть шифровку.

      Удалить
    3. + там чтобы шифровало во время теста там надо было только ОК нажать

      Удалить
    4. Может быть не Scroboscope, а Stroboscope? Получается, что это тест-шифровальщик, раз не шифрует сам и выкупа не просит.

      Удалить
    5. У меня семпл почему то шифрует

      Удалить
    6. Вы же сказали после нажатия на кнопку ОК - шифрует.
      Вы не ответили насчет названия. Scroboscope или Stroboscope? Я нигде не нашел.

      Удалить
    7. Ну он шиФрует сам автоматически но окей тут это ошибки открытия. Scroboscope называется.

      Удалить
    8. Для Scroboscope нужно скриншот шифратора и текста с требованиями, если есть. Статья готова, а визуального идентификатора нет.

      Удалить
  2. Sample #GrujaRSorium #Ransomware / Семпл #GrujaRSorium #Ransomware
    VirusTotal analysis / VirusTotal анализ: https://www.virustotal.com/ru/file/bb874581179b62e4b6db0c5ba4cd7b651c9728be7007989d74e13864fdd9bfe0/analysis/1541933011/
    Hybrid Analysis / Гибридный анализ: https://www.hybrid-analysis.com/sample/bb874581179b62e4b6db0c5ba4cd7b651c9728be7007989d74e13864fdd9bfe0

    ОтветитьУдалить
  3. Тот образец плохой я скину другой

    ОтветитьУдалить
  4. https://www.hybrid-analysis.com/sample/c4777f0019ab390313e02f8b0d4655245fae832c16ead6c3f3a223a8f5bc3ed7/5be817ae7ca3e145926ef9f7
    https://www.virustotal.com/ru/file/c4777f0019ab390313e02f8b0d4655245fae832c16ead6c3f3a223a8f5bc3ed7/analysis/1541937085/

    ОтветитьУдалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton