воскресенье, 7 июля 2019 г.

Eris

Eris Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20 + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке написано ERIS RANSOMWARE. На файле написано: нет данных. Написан на языке Go. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Обнаружения: 
DrWeb -> Trojan.Encoder.28779
Malwarebytes -> Ransom.Eris
BitDefender -> Gen:Variant.Nebuler.12
ESET-NOD32 -> A Variant Of Generik.GGUKEUL
Symantec -> ML.Attribute.HighConfidence

К зашифрованным файлам добавляется расширение: .ERIS


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: @ READ ME TO RECOVER FILES @.txt

Содержание записки о выкупе: 
***                                                                                  ***
*** READ THIS FILE CAREFULLY TO RECOVERY YOUR FILES ***
***                                                                                  ***
ALL OF YOUR FILES HAVE BEEN ENCRYPTED BY "ERIS RANSOMWARE"!
USING STRONG ENCRYPTION ALGORITHM.
Every your files encrypted with unique strong key using "Salsa20" encryption algorithm:
https://en.wikipedia.org/wiki/Salsa20
Which is protected by RSA-1024 encryption algorithm:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
shadow copy, F8 or recuva and other recovery softwares cannot help you, but cause Irreparable damage to your files!
Technically no way to restore your files without our help.
we only accept cryptocurrency Bitcoin (BTC) as payment method! for cost of decryption service.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
For speed and easily, please use localbitcoins website to purchase Bitcoin:
https://localbitcoins.com
* WE OFFER YOU 1 FREE FILE DECRYPTION (<1024 KB) WITHOUT ANY COST! TO TRUST OUR HONESTY BEFORE PAYMENT.
  THE SIMPLE FILE MUST NOT BE ARCHIVED!
-----BEGIN ERIS IDENTIFICATION-----
22deCbsMqoTVKmPJ5UrVqKYNC5ptPwaiCxbcnUqQGfMwnfeKSNb65ui3P63iFtVU
iqHBap7sVVsprktGspqZHqVuQiG4XptG9AFWMbBm7gZPr41aLgTxCZsyTVE5cGUr
izcB2fL2otEouPEk1Bx799FPxWwsN68uYB6tEdLTkedvcRyuok8331XR1Mh1kR7R
**********
-----END ERIS IDENTIFICATION-----
=================================================================
   (Decryption Instructions)
1. Send your "ERIS IDENTIFICATION" with one simple of your encrypted files (<1024 KB) to our email address:
   limaooo@cock.li
2. Wait for reply from us.
   (usually in some hour)
3. Confirm your simple files are decrypted correct and ask us how to pay to decrypt all your files.
4. We will send you payment instructions in Bitcoin.
5. You made payment and send us TXID of Bitcoin transfer.
6. After we confirm the payment, you will soon get decryption package and everything back to normal.
* IN CASE OF FOLLOWING OUR INSTRUCTION,
  FAST AND EASILY EVERYTHING IS BACK TO NORMAL LIKE THAT NEVER HAPPENED!
  BUT IF YOU USE OTHER METHODS (THAT NEVER EVER HELPS) YOU JUST DESTROY EVERYTHING FOR GOODNESS!
  BE A SMART AND SAVE YOUR FILES! NOT A FOOL!
=================================================================
===============================
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT MOVE ENCRYPTED FILES
* DO NOT USE RECOVERY SOFTWARES
===============================
=================================================================
(Frequently Asked Questions)
Q: I can not pay for it, what I do now?
A: Format your hard disk, re-install your softwares and start everything from begin!
Q: What a guarantee I can recovery my files after payment?
A: There is no any reason for us to do not give you decryption software and your special key.
   The only our goal is help you not hurt!
=================================================================

Перевод записки на русский язык:
*** ***
*** ПРОЧТИТЕ ЭТОТ ФАЙЛ ВНИМАТЕЛЬНО, ЧТОБЫ ВОССТАНОВИТЬ ФАЙЛЫ ***
*** ***
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ "ERIS RANSOMWARE"!
ИСПОЛЬЗОВАН СИЛЬНЫЙ АЛГОРИТМ ШИФРОВАНИЯ.
Все ваши файлы зашифрованы уникальным ключом с алгоритмом шифрования "Salsa20":
https://en.wikipedia.org/wiki/Salsa20
Который защищен алгоритмом шифрования RSA-1024:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Shadow Copy, F8 или Recuva и другие программы восстановления не помогут вам, но нанесут непоправимый ущерб вашим файлам!
Технически нет способа восстановить ваши файлы без нашей помощи.
Мы принимаем только криптовалюту Биткоин (BTC) как способ оплаты! за стоимость услуги дешифрования.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
Для скорости и простоты, пожалуйста, используйте сайт localbitcoins для покупки биткоинов:
https://localbitcoins.com
* МЫ ПРЕДЛАГАЕМ ВАМ БЕСПЛАТНУЮ РАСШИФРОВКУ 1 ФАЙЛА (<1024 КБ) БЕЗ ОПЛАТЫ! КАК ДОВЕРИЕ НАШЕЙ ЧЕСТНОСТИ ДО ОПЛАТЫ.
  ПРОСТОЙ ФАЙЛ НЕ ДОЛЖЕН БЫТЬ В АРХИВЕ!
----- НАЧАЛО ERIS ИДЕНТИФИКАЦИИ -----
22deCbsMqoTVKmPJ5UrVqKYNC5ptPwaiCxbcnUqQGfMwnfeKSNb65ui3P63iFtVU
iqHBap7sVVsprktGspqZHqVuQiG4XptG9AFWMbBm7gZPr41aLgTxCZsyTVE5cGUr
izcB2fL2otEouPEk1Bx799FPxWwsN68uYB6tEdLTkedvcRyuok8331XR1Mh1kR7R
**********
----- КОНЕЦ ERIS ИДЕНТИФИКАЦИИ -----
================================================== ===============
   (Инструкция по расшифровке)
1. Отправьте свою "ERIS ИДЕНТИФИКАЦИЮ" с одним простым из ваших зашифрованных файлов (<1024 КБ) на наш email-адрес:
   limaooo@cock.li
2. Ждите ответа от нас.
   (обычно через час)
3. Убедитесь, что ваши простые файлы расшифрованы правильно и спросите нас, как оплатить расшифровку всех ваших файлов.
4. Мы вышлем вам инструкции по оплате в биткоинах.
5. Вы произвели оплату и отправили нам TXID перевода биткоина.
6. После подтверждения оплаты вы вскоре получите пакет для расшифровки и все вернется в норму.
В СЛУЧАЕ СЛЕДОВАНИЯ НАШЕЙ ИНСТРУКЦИИ,
   БЫСТРО И ЛЕГКО ВСЕ ПРИХОДИТ В НОРМУ, ТАКОГО НИКОГДА НЕ БЫЛО!
   НО ЕСЛИ ВЫ ИСПОЛЬЗУЕТЕ ДРУГИЕ МЕТОДЫ (КОТОРЫЕ НИКОГДА НЕ ПОМОГУТ), ВЫ ПРОСТО УНИЧТОЖИТЕ ВСЕ ЦЕННОЕ!
   БУДЬ УМНЫМ И СОХРАНИ СВОИ ФАЙЛЫ! НЕ ДУРИ!
================================================== ===============
===============================
* НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
* НЕ ПЕРЕМЕЩАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
* НЕ ИСПОЛЬЗУЙТЕ ПРОГРАММЫ ДЛЯ ВОССТАНОВЛЕНИЯ
===============================
================================================== ===============
(Часто задаваемые вопросы)
Q: Я не могу заплатить за это, что мне делать сейчас?
О: Отформатируйте жесткий диск, переустановите программы и начните все с начала!
В: Какую гарантию, что я восстановлю мои файлы после оплаты?
О: У нас нет никаких причин не предоставлять вам программу для дешифрования и ваш специальный ключ.
   Единственная наша цель - помочь вам не навредить!
================================================== ===============



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@ READ ME TO RECOVER FILES @.txt
Server.exe
dev_man.exe
<random>.exe - случайное название вредоносного файла
eris.was
l.bat
00000000.pky
00000000.eky

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\eris.was
C:\Windows\00000000.pky
C:\ProgramData\00000000.pky
C:\ProgramData\00000000.eky
C:\dev_man.exe
C:\l.bat

Маркер файлов: 
Оставляет файловый маркер "_FLAG_ENCRYPTED_", добавленный к файлам.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: limaooo@cock.li
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.


Примечательно, что в раннем варианте, представленном выше email начинался с маленькой буквы "l", а потом его заменили на большую букву "L". limaooo@cock.li - > Limaooo@cock.li

Результаты анализов:
Hybrid analysis >> (файл упакован PECOMPACT)
𝚺  VirusTotal analysis >> 
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Eris)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Petrovic
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton