Если вы не видите здесь изображений, то используйте VPN.

пятница, 13 сентября 2019 г.

Is, EvaRichter

Is Ransomware

EvaRichter Ransomware

(фейк-шифровальщик, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью AES, а затем требует выкуп в 1500$ в BTC (в ~0.147 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Is.exe. Фальш-копирайт: (C) 2007-2015 Xiaomi.

Обнаружения:
DrWeb -> Trojan.Encoder.29521
BitDefender -> Trojan.GenericKD.32440367
Symantec -> Trojan.Gen.MBT
Avira (no cloud) -> TR/AD.MalwareCrypter.lxp
Kaspersky -> Trojan.Win32.Yakes.zanc
Tencent -> Win32.Trojan.Raas.Auto

© Генеалогия: Ordinypt >> Is (EvaRichter)
Изображение — только логотип статьи "Is Eva Richter" :)

К фейк-зашифрованным файлам добавляется случайное расширение: .<random{5}>

Например: 
.1Alba
.wkaTs
.Jddkt

Это расширение потом используется в названии записки о выкупе. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую полоивну августа 2019 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру. Наиболее активен в Германии и соседних странах. 

Записка с требованием выкупа называется по шаблону: <random{5}>_how_to_decrypt.txt

Примеры: 
1Alba_how_to_decrypt.txt
wkaTs_how_to_decrypt.txt



Содержание записки о выкупе:
============================ WELCOME ============================
============== DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAS BEEN RECOVERED! ==============
All of your files have been encrypted and now have the file extension: .1Alba
The only way to recover your files is to purchase our decrypter software, which will only work for your PC.
For further instructions how to decrypt your files, please download the TOR Browser
=================================================
=======
1. Download Tor Browser from: https://www.torproject.org
2. Install and open TOR Browser
3. Navigate to the following url: http://2u6gynsdszbd7ey3.onion/
4. Enter your access code
Your access code:
VVNFUi1QQw==|YWRtaW4=|MUFsYmE=|9UIsLJkGUDPqAQ***
Copy & Paste it into the access code field
========================================================
Warning:
DO NOT MODIFY ANY OF THE ENCRYPTED FILES OR TRY OTHERWISE TO DECRYPT THEM YOURSELF
YOU RISK DAMAGING THE FILES AND YOU WILL LOOSE YOUR FILES FOREVER!

Перевод записки на русский язык:
============================ ДОБРО ПОЖАЛОВАТЬ ===================== =======
============== НЕ УДАЛЯЙТЕ ДАННЫЙ ФАЙЛ ПОКА ВСЕ ДАННЫЕ НЕ БУДУТ ВОССТАНОВЛЕНЫ! ==============
Все ваши файлы были зашифрованы и теперь имеют расширение: .1Alba
Единственный способ восстановить ваши файлы - это приобрести нашу программу для дешифрования, которое будет работать только на вашем ПК.
Для дальнейших инструкций о том, как расшифровать ваши файлы, пожалуйста, скачайте TOR браузер
=================================================
=======
1. Загрузите Tor браузер с: https://www.torproject.org
2. Установите и откройте TOR браузер
3. Перейдите по следующему адресу: http://2u6gynsdszbd7ey3.onion/
4. Введите свой код доступа
Ваш код доступа:
VVNFUi1QQw == | YWRtaW4 = | MUFsYmE = | 9UIsLJkGUDPqAQ ***
Скопируйте и вставьте его в поле кода доступа
========================================================
Предупреждение:
НЕ ИЗМЕНЯЙТЕ НИ ОДИН ИЗ ЗАШИФРОВАННЫХ ФАЙЛОВ И НЕ ПЫТАЙТЕСЬ РАСШИФРОВАТЬ ИХ САМОСТОЯТЕЛЬНО.
ВЫ РИСКУЕТЕ ПОВРЕДИТЬ ФАЙЛЫ И ПОТЕРЯЕТЕ ИХ НАВСЕГДА!

---
Другим информатором жертвы является изображение, заменяющее обои Рабочего стола. Текст краткий. 


Подробная информация по оплате представлена на Tor-сайте вымогателей:
Содержание страницы сайта:
Time left until private key is destroyed: ***
All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.
What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer. The price for the software is $1,500. Payment can be made in Bitcoin only.
What happens when the timer runs out?
The private key that is required to recover your files will be deleted from our servers and your files will be lost forever!
What guarantees do I have?
There's no guarantees, but this is our business, it would be bad for our business if we do not stick to our word. We assure you, you will be able to decrypt all of your files after payment. The only guarantee we give you is that you WILL NOT be able to recover your files without our help.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Bitcoin. Many of our customers have reported these sites to be fast and reliable:
    Coinmama - https://www.coinmama.com
    Bitpanda - https://www.bitpanda.com
Payment information
Amount:
    0.1473766 BTC
Address:
    1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
The decrypter will become available for download once your transfer has received 2 confirmations on the Bitcoin network.

Перевод на русский язык:
Оставшееся время до уничтожения закрытого ключа: ***
Все ваши файлы были зашифрованы
Ваш компьютер был заражен вирусом-вымогателем. Ваши файлы были зашифрованы и вы не сможете расшифровать их без нашей помощи.
Что я могу сделать, чтобы вернуть мои файлы?
Вы можете купить нашу специальную программу для расшифровки, эта программа позволит вам восстановить все ваши данные и удалить вымогателей с вашего компьютера. Цена на программу составляет 1500 долларов. Оплата может быть произведена только в биткойнах.
Что произойдет, когда закончится отсчет таймера?
Закрытый ключ, нужный для восстановления ваших файлов, будет удален с наших серверов, и ваши файлы будут потеряны навсегда!
Какие гарантии у меня есть?
Нет никаких гарантий, но это наш бизнес, будет плохо для нашего бизнеса, если мы не будем придерживаться своего слова. Уверяем вас, вы сможете расшифровать все свои файлы после оплаты. Единственная гарантия, которую мы вам даем, заключается в том, что вы НЕ сможете восстановить ваши файлы без нашей помощи.
Как оплатить, где взять биткойны?
Покупка Биткойнов зависист от страны, вам лучше всего сделать быстрый поиск в Google, чтобы узнать, как купить Биткойны. Многие из наших клиентов сообщили, что эти сайты работают быстро и надежно:
    Coinmama - https://www.coinmama.com
    Bitpanda - https://www.bitpanda.com
Платежная информация
Количество:
    0,1473766 BTC
Адрес:
    1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
Дешифровщик станет доступен для загрузки после того, как ваш перевод получит 2 подтверждения в сети Биткойн.



Технические детали

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок. Внутри zip-файла вложен файл "Eva Richter Bewerbung und Lebenslauf.pdf.exe", который выглядит как резюме в формате PDF. После запуска загружается и устанавливается вредоносное ПО Ordinypt, который делает вид, что шифрует, а на самом деле повреждает файлы с целью получения выкупа. Поврежденные файлы получают случайное расширение и внешне выглядит как зашифрованные. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Все файлы популярных форматов, кроме тех, что в белом списке. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений:
.adv, .ADV, .ani, .ANI, .bat, .BAT, .bin, .BIN, .cab, .CAB, .cmd, .CMD, .com, .COM, .cpl, .CPL, .cur, .CUR, .deskthemepack, .DESKTHEMEPACK, .diagcab, .DIAGCAB, .diagcfg, .DIAGCFG, .diagpkg, .DIAGPKG, .dll, .DLL, .drv, .DRV, .exe, .EXE, .hlp, .HLP, .hta, .HTA, .icl, .ICL, .icns, .ICNS, .ico, .ICO, .ics, .ICS, .idx, .IDX, .ldf, .lnk, .LNK, .lock, .LOCK, .mod, .MOD, .mpa, .MPA, .msc, .MSC, .msi, .MSI, .msp, .MSP, .msstyles, .MSSTYLES, .msu, .MSU, .nls, .NLS, .nomedia, .NOMEDIA, .ocx, .OCX, .prf, .PRF, .psl, .PSL, .rom, .ROM, .rtp, .RTP, .scr, .SCR, .shs, .SHS, .spl, .SPL, .sys, .SYS, .theme, .THEME, .themepack, .THEMEPACK, .wpx, .WPX (92 расширения с дублями в верхнем регистре). 

Белый список файлов:
autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, bootmgr, bootnxt, thumbs.db

Белый список директорий (папок):
windows
recycle.bin
mozilla
google
boot
application data
appdata
program files
program files (x86)
programme
programme (x86)
programdata
perflogs
intel
msocache
system volume information

Файлы, связанные с этим Ransomware:
Eva Richter Bewerbung und Lebenslauf.pdf.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://2u6gynsdszbd7ey3.onion/
Email: - 
BTC (генерируется для каждой жертвы): 
В нашем примере: 1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myTweet + other Tweet 
 ID Ransomware (ID as ***)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Tomas Meskauskas (PCrisk), Emmanuel_ADC-Soft
 Andrew Ivanov (author)
 Lawrence Abrams and others
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *