Идентификация

ID-Ransomware.RU

Как узнать какой шифровальщик зашифровал файлы?

Как идентифицировать вымогателя, который заблокировал или зашифровал файлы?

1 способ  

ID-Ransomware.RU — это краткое название сайта, где вы сейчас находитесь. 

Здесь можно в общем списке по названию программы-вымогателя или её элементам определить какой шифровальщик зашифровал файлы. Для это здесь собраны визуальные идентификаторы (VID), проще говоря, видимые элементы вымогательства: записки, которые оставляют вымогатели после атаки и шифрования файлов, контакты для связи, файлы с добавленными расширениями, самоназвания, написанные в записках, на сайтах вымогателей или вписанные в код программы. 

2 способ  

Если у вас есть зашифрованные файлы и файл записки с требованием выкупа, то вы можете воспользоваться еще одним сайтом ID-Ransomware. 

Разработчиком ID Ransomware (IDR) является Майкл Джиллеспи (Michael Gillespie aka Demonslay335). 

Для это нужно перейти на сайт ID Ransomware, выбрать свой язык в правом верхнем углу, далее с помощью кнопок "Выберите файл" выбрать на своем ПК два файла:
- записку о выкупе, оставленную вымогателями, если она есть;
- один зашифрованный файл, который теперь не открывается. 

И нажать там вот такую красную кнопку "Загрузить".

Прямая ссылка ID Ransomware на русском языке

1) После загрузки файлы будут проверены по базе известных программ-вымогателей, а вы получите результат в виде информации о Ransomware, в виде ссылки на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. 

Иногда могут быть ссылки на мои статьи, но из-за каких-то проблем, ссылки получают неправильный адрес, поэтому разработчик стал делать ссылки на сообщение в Твиттере или на сайте BleepingComputer. 

Если IDR не может определить вымогателя, то вам будет предложено создать новую тему на форуме BleepingComputer.com для того, чтобы вам оказали помощь специалисты по крипто-вымогателям. Форум на английском языке, но можно описать свою проблему на любом языке. Кроме того я тоже там есть и, возможно, совместно нам удастся вам помочь и выпустить дешифровщик, как это было уже много раз. В любом случае я помогу, чем смогу или привлеку других специалистов. 

2) Вымогатели часто копируют записки из других Ransomware. Потому для большей точности нужно загружать в IDR файлы трижды:
- сначала только записку без файла;
- потом зашифрованный файл без записки;
- потом записку и зашифрованный файл. 

Если результаты совпадут, то идентификация правильная. 
Если же результаты разные, то потребуется исследование.
Скопируйте код и URL-адреса результатов и напишите нам.

Или пришлите нам записку (записки) и несколько разных зашифрованных файлов. В таком случае мы сами проведём нужные действия и проанализируем все результаты. 

Вы можете свериться с каждой идентификацией и найти описания шифровальщиков по алфавиту в данном блоге. См. "Список".

См. также мои статьи:
Шифровальщики — чума Интернета
FAQ по Ransomware: Это важно знать!!!
10 способов защиты от шифровальщиков-вымогателей
Генеалогия вымогателей (объяснение родства)
Глоссарий блога (слова, которые нужно пояснить)

Вопросы и ответы

Для чего предназначен ID Ransomware?
1) для постоянной идентификации Ransomware, т. к. база идентификаторов ежедневно пополняется, а вымогательские проекты могут оставаться активны долгое время или видоизменяться до неузнаваемости;

2) для временной идентификации Ransomware, т. к. порой создаётся временная группа, а после изучения образцов разные идентификации могут быть объединены или разделены;
3) для сбора поступающих образцов, указания на тему поддержки, на дополнительный источник информации, на отсутствие или наличие способа расшифровки файлов. 

Почему в ID Ransomware (IDR) названия некоторых вымогателей выделяются жирным шрифтом?
Это изначально задумка автора, Майкла Джиллеспи, чтобы показать общественности какие вредоносы добавились в список в последнюю неделю или обновились. 

Почему в ID Ransomware (IDR) и у вас некоторые названия различаются? 
Я работаю с IDR и беру название оттуда, если оно там появилось раньше и согласую его с разработчиком IDR по необходимости. 
Если я описал вредонос раньше, чем он появился в IDR или ещё кем-то был описан, то даю название, которое точнее характеризует этот вымогатель, или оригинальное, если оно ещё никаким вымогателем в списке статей не занято. 
Иногда я даю 2-3 названия в заголовке, чтобы по ошибке не дублировать. Поисковики Google и Яндекс считывают информацию и передают на выдачу результатов. Я добавляю в заголовок варианты названий и псевдонимы, а конце статьи указываю название, под которым Ransomware идентифицируется в IDR. В ранних статьях этого не было. 

Как даются названия в IDR и в ваших статьях? 
Когда обнаружен новый крипто-вымогатель, не имеющий каких-то самоназваний, находящихся в поле видимости, или использующий чужое, более известное название, то порой непросто найти подходящее для него название. В таких случаях мы используем названия и строки, найденные в исполняемых файлах, в коде зашифрованных файлов, на сайтах уплаты выкупа, даже в обновлённых версиях вредоноса. Иногда используется добавляемое расширение или логин почты вымогателей. В других случаях вредонос даёт нам подсказки, как его назвать, используя маркер зашифрованных файлов или мьютекс. Так удобнее описывать и идентифицировать ransomware.  

Почему в ID Ransomware (IDR) на официальном сайте меньше вымогателей, чем у вас в списке?
Причин несколько:
а) в IDR записаны только те шифровальщики, которые идентифицируются по названию текстовой записки о выкупе, по коду исполняемого файла, по расширению, по контактам вымогателей (email, BTC, Jabber, Telegram, Discord, Tor-сайту и Tor-почтe), маркеру файлов и ряду других признаков, а если нет текстовой записки и никакое расширение к файлам не добавляется, то такой шифровальщик в IDR может не пройти идентификацию; 
б) в списке IDR находятся только реальные крипто-вымогатели (шифровальщики), если файлы не шифруются, то их тоже нет в этом списке, а у меня в списке есть ещё фейк-шифровальщики, проекты RaaS, тест-проекты, "обучатели", гибрид-вымогатели и блокировщики-вымогатели, получившие развитие как шифровальщики; 
в) в IDR только те, которые опознаны как новые шифровальщики, но если по ряду признаков и программному коду идёт повтор (новая итерация) уже известных, то идентификация в IDR группируется в один более ранний или получивший наибольшую известность шифровальщик, а в результатах IDR даётся ссылка на тему поддержки на форуме BleepingComputer; 
г) статьи в этом блоге пишутся ежедневно, в хронологическом порядке, если у вредоносного ПО появляются обновления, то в конце статьи я добавляю эти сведения, а не пишу статью про каждую новую копию; 
д) исключение из пункта "г" составляют новые вариации крипто-вымогателей, для описания которых требуется отдельная статья с подробной информацией (признаки, записки, контакты, скриншоты и пр.), и часто заранее неизвестно о том, что это новая вариация уже описанного вымогателя; в таких случаях потом выручает пункт "Генеалогия"; 
е) некоторые идентификации в IDR сгруппированы, например под HiddenTear там идентифицируется множество однотипных шифровальщиков, основанных на HiddenTear; в других тоже сгруппированы "родственники": CryptoMix, Scarab, GlobeImposter. 
ё) великое множество крипто-вымогателей и фейк-шифровальщиков ещё не описано из-за отсутствия подробной информации или же они настолько повторяют друг друга, благодаря крипто-конструкторам и крипто-строителям, что не нуждаются в отдельной идентификации в IDR и в описании у меня в блоге; если они будут отличаться, то будут отдельная идентификация и отдельное описание. 

Почему у вас в списке вымогателей нет ряда известных шифровальщиков из 2015 года и более ранних годов? 
Ранее было немало шифровальщиков, но тогда я не вёл этот блог. Будет необходимость, я добавлю описание в предыдущие годы. По возможности я выстрою для них хронологию и генеалогию. Я регулярно добавляю информацию о старых шифровальщиках, но не сообщаю об этом. 

Почему у вас в списке вымогателей нет статей для ряда шифровальщиков, которые есть в IDR? 
На некоторые шифровальщики из IDR вообще нет информации и образцов, есть только название записки и расширения. В IDR в таком виде добавить можно, а мне рассказать нечего. Некоторые в таком виде уже описаны, в надежде добавить информацию. Другие я описывал ранее в другом месте сети, там остались мои ранние описания и ссылки. Можно найти их в поиске под другим моим ником - SNS-amigo, но информация там давно устарела. Периодически я обновляю статьи здесь.

Как формируется описание в ваших статьях?
Не сразу, но со временем, мне удалось создать подобие шаблона, который позволяет дополнять информацию за меньшее время. Ранее я писал всю статью полностью, что занимало больше времени, но тогда было меньше вымогательских программ. Да и гораздо лучше для подписчиков и читателей, когда они видят привычный уклад текста, по которому они находят нужную им информацию, даже, если не знают русского языка.  

Что означает сокращение (n/a) у вас в ссылках на идентификацию?
Запись ID Ransomware (n/a) у меня в статьях блога означает:
No able identifiable - "невозможно определить";
ID not available - "идентификатор недоступен";
ID not applicable - "идентификатор не указан". 
Какой ни напиши, смысл одинаковый. 

Что означает HT в названиях?
Это указание на происхождение из HiddenTear. Добавляется в тех случаях, когда уже есть вымогатель с таким названием, или используется более известное название, примеры: Facebook HT, Cyber Police HT и пр. Может быть следовало добавлять HT и ко всем названиями, основанным на HiddenTear, но их уже столько было, что на правку ранних статей уйдёт много ненужного времени. 

Как с вами связаться и задать вопрос? 
Задать вопросы можно в комментариях или через форму обратной связи ниже. Или через страницу Contact. 
Мой email: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net и увидишь email для контакта. 


© Amigo-A (Andrew Ivanov): All blog articles.

Terms of Use

Условия использования информации (Terms of Use)

Блоги "Шифровальщики-вымогатели" (ШВ), "Дешифровщики файлов" (ДФ), "Проект Anti-Ransomware" (AR) — это свободные проекты, независимые от антивирусных компаний. 

На сайтах есть функции "Горячее уведомление" и "Быстрое реагирование на инциденты". Поэтому большинство статей являются самым первым источником информации в сети Интернет на русском и английском (с помощью Google Translate) языках. Для этого в подзаголовках статей находится слово (первоисточник). Подписчики получают уведомления о новых статьях ежедневно, если Google периодически это не отключает. 

Информация на этих блог-сайтах защищена авторским правом. 
При любом использовании информации и цитировании ссылка на сайты и автора обязательна. 

Информация об авторских правах:
© Шифровальщики-вымогатели, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Дешифровщики файлов, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Проект Anti-Ransomware, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Авторское право на все статьи в блогах. При любом использовании и цитировании ссылка на блог и автора обязательна.  
© Amigo-A (Andrew Ivanov): All blog articles. At any use and quoting reference to the blog and the author is obligatory.

Информацию сайтов-блогов ШВ, ДФ, AR допускается использовать следующими способами: 

– читать и распространять информацию о блоге, как источнике полезной информации;

– находить, изучать и присылать мне новую информацию для обобщения и публикации;

– общаться с другими людьми, включая форму для ответов и комментариев, ЛС и email;

– приобретать опыт и делиться своими знаниями и навыками с автором и собеседниками.

Я учитываю все пожелания, комментарии, чтобы сделать блоги лучше, полезнее и информативнее. 

Это способствует общению, позволяет легко и быстро делиться информацией с другими участниками. 
В конце каждой статьи есть ссылки на источники, статьи, результаты анализов и прочее. Сверяйтесь. 

При любой републикации материалов из вышеназванных блогов следует использовать правило: 

а) активная ссылка на блог + название блога, автор блога; 

б) или активная ссылка на блог + название блога; 

в) или активная ссылка на блог + автор блога. 

Ссылки на мои блоги, полученные при их регистрации: 

1. Блог "Шифровальщики-вымогатели"

https://id-ransomware.blogspot.com

http://id-ransomware.blogspot.com

https://id-ransomware.blogspot.ru

http://id-ransomware.blogspot.ru

Баннер 468x60:

2. Блог "Дешифровщики файлов"
https://decryptors.blogspot.com
http://decryptors.blogspot.com
https://decryptors.blogspot.ru
http://decryptors.blogspot.ru
Баннер 468x60:

3. Проект "Anti-Ransomware"
https://anti-ransomware.blogspot.com
http://anti-ransomware.blogspot.com
https://anti-ransomware.blogspot.ru
http://anti-ransomware.blogspot.ru
Баннер 468x60:

Соглашение 
по использованию информации блогов
 "Шифровальщики-вымогатели", Дешифровщики файлов", 
"Проект Anti-Ransomware"

Незнание и игнорирование этого соглашения не снимает ответственности!

Разрешается свободно ссылаться на блог, его автора и информацию, находящуюся на страницах блога, при соблюдении следующих положений и условий. 

Любой веб-сайт (форум, блог, ЖЖ и пр.), ссылающийся на блог-сайт ("Шифровальщики-вымогатели", "Дешифровщики файлов", "Проект Anti-Ransomware"):

– соглашается соблюдать все пункты данного соглашения по использованию, описанные ниже и волен выбрать любой из блогов;
– может свободно изучать все материалы блогов, в том числе архивные; 

– может свободно ссылаться на материалы блога, но не копировать их в полном объеме (разрешено не больше 30% текста), не искажать содержание и суть;

– не должен сообщать вводящую в заблуждение или ложную информацию о блоге, его авторе, читателях и подписчиках;

– не должен искажать взаимосвязь блога-сайта и деловых партнёров автора-администратора, в том числе в прошлом;

– не должен провоцировать своих пользователей на конфликт с автором блога, его читателями и подписчиками;

– не должен использовать материалы блога, чтобы негативно влиять на отношение своих пользователей к блогу, автору, его партнёрам, помощникам, читателям;

– не должен публиковать у себя на сайте (форуме, блоге, ЖЖ и пр.) материалы из блога рядом с темами непристойного содержания;

– не должен использовать логотипы, элементы содержания или оформления блога без письменного разрешения автора;

– должен быть согласен по первому требованию автора блога внести соответствующую корректировку в публикацию.

Любой веб-сайт, соблюдающий все пункты данного соглашения по использованию и разместивший на своем сайте один из наших баннеров со ссылкой на сайт:

– может заочно считать себя реферальным партнёром блогов "Шифровальщики-вымогатели" или "Дешифровщики файлов", или "Проект Anti-Ransomware";

– может вступить в деловые (партнёрские) отношения с автором для преимуществ публикации. 

Любой веб-сайт, частное лицо, не соблюдающие все пункты данного соглашения:

– не имеет права любыми способами и в любом виде пользоваться материалами или любым другим содержимым вышеназванных блогов;

– не должен из-за этого распространять в Интернет и частной беседе заведомо искажённую и ложную информацию о блоге, его авторе, читателях, подписчиках, участниках беседы в комментариях. 

Дата последнего изменения: 30 октября 2019 г.

Список сайтов очно-заочных партнёров и рефералов блога "Шифровальщики-вымогатели":

https://www.bleepingcomputer.com/ 

https://support.emsisoft.com/

http://club-symantec.ru/

http://dfir.pro/

http://safezone.cc/ 

http://decryptors.blogspot.com/ 

http://anti-ransomware.blogspot.com/



...
Прочитали и согласны с Соглашением? Добавляйтесь!

Используйте мои контакты для связи. 

Список сайтов-нарушителей авторского права блога и его автора:

...Я знаю несколько таких иностранных сайтов, регулярно использующих информацию, без ссылки на блог и автора, но пока не публикую их адреса... 

© Amigo-A (Andrew Ivanov): All blog articles.
© Авторское право на все статьи. При любом использовании и цитировании ссылка на блог и автора обязательна.  

Cerber

Cerber Ramsomware

(шифровальщик-вымогатель, говорящий вымогатель)

   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1.24 BTC, чтобы вернуть файлы обратно с помощью ключа дешифрования. Через неделю сумма выкупа удваивается до 2,48 BTC. 

© Генеалогия: Cerber > Cerber 2

К зашифрованным файлам добавляется расширение .cerber

Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. 

  Cerber использует конфигурационный файл config.json, в котором прописано какие расширения шифровать, компьютеры каких стран не должны быть зашифрованы, какие файлы и папки не нужно шифровать, и другие сведения о конфигурации. Пока считается, что Cerber не заражает пользователей из России и стран СНГ (Армения, Азербайджан, Беларусь, Грузия, Кыргызстан, Казахстан, Молдова, Россия, Туркменистан, Таджикистан, Узбекистан, Украина). 

  Записки с требованием выкупа называются 

#DECRYPT MY FILES#.txt 

#DECRYPT MY FILES#.html 

#DECRYPT MY FILES#.vbs 

Файл VBS содержит звуковое сообщение с информацией, указанной в текстовых записках о выкупе. Для воспроизведения используется речевой синтезатор. В нижней части каждой записке о выкупе содержится латинское изречение: "Quod me non necat me fortiorem facit" (Что меня не убьёт, сделает сильнее). 

Варианты церберовских записок о выкупе

Так выглядят зашифрованные файлы

  Текста в этих записках о выкупе довольно много, пока пожертвуем этой информацией, ограничившись скриншотами. Для оплаты выкупа и дешифровки файлов предлагается перейти на сайт, расположенный в сети TOR по адресу decrypttozxybarc.onion 

  Интерфейс сайта доступен на 12 языках. Подробное пояснение по процессу оплаты смотрите по ссылке. 

  Перед началом шифрования файлов, Cerber требует перезагрузить ПК, отображая фальшивые ошибки (см. иллюстрации ниже). 

Компьютер принудительно загружается в безопасном режиме с поддержкой сетевых драйверов (Safe Mode with Networking), а потом еще раз перегружается, входя в нормальный режим. После этого шифровальщик начинает шифрование файлов. 

Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3dm, .3ds, .3g2, .3gp, .3fr, .3pr, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxg, .dxf, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .indd, .iiq, .incpas, .java, .jpe, .jpeg, .jpg, .jnt, .js, .kc2, .kdbx, .kdc, .key, .kwm, .kpdx, .laccdb, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell,  .mos, .mov, .mp3, .mp4, .mpg, .mpeg, .mrw, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .odb, .odf, .odg, .obj, .odc, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plus_muhd, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .say,  .sav, .save, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xlk, .xla, .xlam, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (377 расширений). 

При поиске целевых файлов для шифрования Cerber пропускает файлы bootsect.bak, IconCache.db, thumbs.db, wallet.dat или те, чьё полное название пути размещения включают в себя следующие строки:
:\$recycle.bin\
:\$windows.~bt\
:\boot\
:\drivers\
:\program files\
:\program files (x86)\
:\programdata\
:\users\all users\
:\windows\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

  Распространяется Cerber через email-спам с вложенным документом Word, замаскированным под инвойс. При открытии этого файла предлагается включить макросы для правильного отображения содержимого. 

  Если пользователь согласится, то будет создан процесс cmd.exe, а затем вызван PowerShell для загрузки и запуска вредоносного скрипта. Использование PowerShell в данном случае помогает обойтись без записи файлов на диск и позволяет вредоносному файлу получить легитимную активность в системе ПК.

Файлы, связанные с Cerber Ransomware:
HKCU\Control Panel\Desktop\SCRNSAVE.EXE     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Command Processor\AutoRun     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Записи реестра, связанные с Cerber:
"%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Распространение Cerber: диаграмма от CheckPoint. 

Анализ на MalwareBytes >>>
Детект на VirusTotal >>>

Образец с более ранней датой (17-10-2014) : VT + AR

Сообщение >>

Дополнения

  Этот криптомвымогатель один из самых продвинутых, причем, постоянно совершенствуется. С одним из новейших анализов этого вредоноса можно ознакомиться самостоятельно по этой ссылке. Скажем только, что на данный момент Cerber использует технику malware factory (фабрика вредоносов). Чтобы избежать обнаружения антивирусами на клиентской стороне, C&C-сервер генерирует бинарники с новым хешем раз в 15 секунд, т.е. каждые 15 секунд Cerber создает новую версию себя с незначительными изменениями в коде. 

  Ранее считалось, что Cerber был создан в феврале-марте 2016 года, но после тщательного изучения пейлоадов вредоноса было обнаружено сходство с подозрительным файлом, которые впервые был замечен в составе набора эксплойтов Neutrino в сентябре 2015 года. 

  С мая 2016 злоумышленники изменили тактику заражения систем через документы. Вместо вредоносных макросов стали использоваться встроенные OLE-объекты. От пользователя требуется только разрешить использование объекта или контента внутри документа Office. После этого разрешения в систему установится Cerber Ransomware.

 

Схема доставки криптовымогателя Cerber на ПК жертв

Степень распространённости: очень высокая и перспективно высокая. 
Подробные сведения собираются.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Cerber)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. 

Об этом блоге

О блоге "Шифровальщики-вымогатели" и Дайджесте ID-Ransomware.RU

About the blog "Crypto-Ransomware" and the Digest ID-Ransomware.RU

   В данном блоге © "Шифровальщики-вымогатели" и Дайджесте © ID-Ransomware.RU публикуется информация о вредоносных программах, называемых по-разному: шифровальщики, вирусы-шифровальщики, шифровальщики-вымогатели, шифраторы, крипто-вымогатели, крипто-локеры, энкодеры, шифровирусы, Ransomware, Crypto-Ransomware. Всё это по сути одно и тоже. 

Многие статьи блога — это первоисточники (самые первые публикации в Интернет)!!! /// Многие, но не все. 

In English. In this blog © Digest "Crypto-Ransomware" and © ID-Ransomware.RU information is published about malicious programs, known in various names: encryptors, crypto-viruses, crypto-ransomware, encryptors-ransomware, crypto-lockers, encoders... All this is the same, as do not call it. Sorry, but most of the information is in Russian. You can translate my text with Google-translator online or get the required article in English from me.

© ID-Ransomware.RU (id-ransomware.blogspot.com) 

Advanced Crypto-Ransomware identification with description in Russian and English.

   Если вы не нашли здесь информацию о шифровальщике, который зашифровал или заблокировал ваши файлы, то как можно скорее сообщите мне следующее:
- Ваши данные для связи: email, ник или имя.
- Названия файлов, записки, экранов блокировки.
- Сумма выкупа, сама записка, текст, скриншоты.
- Список или скриншот пострадавших типов файлов.
- Расширение у файлов, наличие переименования.
- Результаты анализов (ссылки), если отправляли файлы на сайты hybrid-analysis.com и virustotal.com

Если вы нашли нужную информацию или узнали что-то новое, то поделитесь этой информацией с другими, при условии публикации ссылки на статью этого сайта. Не забывайте, многие статьи блога — это первоисточники. 

In English. If you did not find here information about the ransomware that encrypted or blocked your files, then get me the following information:

- Your email, nick or name, your links on the forum.

- Names of files, ransom notes, lock screens.

- The ransom amount, the note itself, text, screenshots.

- List or screenshot of affected file types.

- File extension, renaming.

- Analysis results (links) if you sent files to hybrid-analysis.com and virustotal.com

If you found the information you need or learned something new, then share this information with others, provided that you share a link to an article or this site. Remember, many of the blog articles are primary sources.

Логотип блога

Описание логотипа. Большинство шифровальщиков попадают на ПК с помощью вложений в email-сообщения - чёрный конверт. Письма и вложения злоумышленниками маскируются под нужные, которые надо открыть - зелёная половина буквы R. Шифровальщики относятся к категории вредоносов под общим названием Ransomware - красная половина буквы R и красная надпись. Белый ID - идентификация. 

Логотип блога / Logo of blog 

От автора 

  Все статьи этого сайта пишутся человеком, автором этого блога, без использования программ-ботов и автоматизированных систем заполнения. Все переводы статей и текстовых сообщений выполняются также автором блога, если не указано иначе. Информация добавляется ежедневно. Основной язык блога — русский. По данным исследования W3Techs в марте 2013 русский язык вышел на 2 место по использованию в Интернете. Некоторые моменты (список, новости, элементы идентификации и шаблоны) освещаются и на английском языке. 

   Блог "Шифровальщики-вымогатели" — это одновременно и дайджест ID-Ransomware.RU, т.е. краткий информационный справочник и ежедневная лента угроз (сборник общедоступных публикаций). Зачастую статьи в блоге — это самые первые публикации об этих Ransomware в Рунете и в мире. В иных случаях — это сборная статья из внешних публикаций или информационный справочник с указанием источников и ссылок на связанные публикации. Данные собираются по результатам разведки из открытых источников (OSINT) и доступных ресурсов Даркнета. 

   Можно писать большие статьи-эпопеи, но тогда читатель не ухватит нужную информацию, а онлайн-переводчик запутается в словах. Я полгода подбирал формат и по-разному выстраивал разделы статей, пока не получилось так, как сейчас. Со стороны может казаться, что это легко, на самом же деле — это не так просто. В результаты работы с материалом пришлось расширить диапазон по годам от 2010 по сегодняшний день. Изначально публиковались статьи только 2016 года. Справа есть Хронология Ransomware, в которой можно видеть, сколько там статей. В мае 2017 года был максимум. 

   Цель блога — информировать пользователей о разном виде вирусных угроз для компьютеров и мобильных устройств. Сегодня одними из самых опасных вредоносных программ являются шифровальщики-вымогатели, которые мы называем также крипто-вымогателями или Crypto-Ransomware.

   Приглашаю к сотрудничеству исследователей вредоносного ПО, авторов статей по теме информационной безопасности, защите информации. Присылайте мне ссылки на статьи, видеообзоры, результаты исследований, анализов на VT, Malwr и HA. Они будут обработаны и опубликованы со ссылкой на полезную статью и благодарностью. 

   Подписывайтесь! На каждой странице, ниже статьи, есть кнопка "Подписаться". Чтобы быть в курсе последних новостей и вирусных угроз, подписывайтесь. Видимо надо будет ещё разрешить уведомления. Новая информация или обновления ранее опубликованной появляются здесь ежедневно. 

Ещё о сайте

  Хочу сказать несколько слов про этот сайт, который часто называют моим блогом, забывая, что это еще и Дайджест. Он использует платформу блога, но это не персональный блог по сути. На видном месте сайта нет меня, нет страницы обо мне, нет фото, нет PR, нет платных услуг. Есть только статьи и описания, которые публикуются для информирования пострадавших, которые в интернет-поиске могут найти много веб-спама или найти достоверную информацию для того, чтобы узнать, от какой программы они пострадали, как связаться со мной и получить больше того, что опубликовано, и в некоторых случаях получить дешифровщик, не платя вымогателям за него. Если пострадавшие купили ключ у вымогателей, но за дешифровщик у них потребовали еще денег, то мы дадим им дешифровщик или перенаправим туда, где он находится. Мы регулярно согласуем информацию с другими исследователями и помогаем на разных форумах, которые связывают множество людей на просторах Интернет. 

Как я уже сказал, с самого начала статьи публикуются в виде Дайджеста. Если вы не знаете, что это, я поясню. Этот сборник статей и информации, которую представили другие исследователи и другие авторы. Когда было мало вымогателей, было много качественных исследований и статей. Я выбирал, что использовать для краткого описания, какие ссылки на статьи и на авторов добавлять. Сейчас таких статей мало или они появляются очень поздно, спустя месяцы или годы. Для них у меня есть раздел после статьи. Там добавляются ссылки и новые варианты, в том числе те, которы могут оказаться новыми вариантами или быть только похожи на предыдущие. Там же могут быть ссылки на публичный дешифровщик, или на человека, который может помочь. 

Исследователей, которые не пишут статьи в Дайджест много, а нас мало (маленькая группа доверенных лиц). Поэтому в идеале исследователи должны сами предоставлять нам информацию, тексты, скриншоты, ссылки и все, что может быть важно или то, что может заинтересовать нас. Я это опубликую как новое или добавлю в готовую статью. И скажу "Большое спасибо" авторам, даже если они только дали ссылку или записку. В последние несколько лет мы очень часто добавляем множество новых вариантов и что-то исправляем в старых статьях. И на это надо много времени... 

Я принимаю только чистую и правдивую информацию. Скриншоты со стертыми или замазанными данными не считаются достоверной информацией, это умышленно измененная информация или даже фальшивка. Я могу опубликовать такое "малярное творчество" только с указанием того, что скриншот в таком виде предоставлен исследователем и он все сам замазал. И сделаю это только тогда, когда не получу оригинальный вариант записки или скриншота. Как автор, я выбираю то, что могу опубликовать и скрываю то, что не могу опубликовать на момент написания статьи, опубликую после проверки или никогда не опубликую...

Если у вас есть какой-то другой вариант опубликованного шифровальщика-вымогателя, или другой вымогатель с таким же расширением, то сделайте скриншоты кода и других доказательств, и пришлите нам. Мы добавим вашу информацию, чтобы сравнить и сопоставить с другими вариантами. Мы также сделаем новое описание, если это совершенно другой вымогатель, сделанный совершенно другой группой вымогателей, которые никак не связаны с предыдущими или связаны небольшой нитью. 

Если это вымогатель-подражатель, то он может быть записан под тем же названием в статью, опубликованную ранее. Если правоохранители будут умнее и расторопнее, то он когда-нибудь будет арестован вместо тех, кому он подражает и получит наибольший срок, чем мог бы получить только за свой поступок. Он сам выбирал, кому подражать, потому ему придется отвечать за обоих. 

Разработчики и распространители программ-вымогателей! Никогда не подражайте другим вымогателям и не используйте их адреса, ники и прочие контакты, чтобы казаться круче!!! 

Реклама на сайте

   Недавно я включил в блоге отображение рекламы от Google AdSense. Как было обещано поставщиком рекламы, "AdSense показывает только качественную рекламу", без обмана и без взрослой тематики, которую я отключил в настройках. Увы, сейчас у многих стоят блокировщики рекламы и, судя по статистике, мало кто видит рекламу в этом блоге (несколько тысяч просмотров блога в день, но всего несколько центов на дневном балансе). Если бы каждый читатель увидел по одному блоку рекламы в день, то я бы уже мог оплатить хостинг за год. А пока реклама крутится вхолостую и доход от неё всё никак не поступит. 

Другие мои сайты: 
Проект Anti-Ransomware
Дешифровщики файлов

Читайте и будьте в безопасности!!!

PS. Если вам требуется помощь в дешифровке или восстановлении файлов из бэкапа, установке антивирусной защиты, напишите комментарий здесь или под статьёй о шифровальщике. 

Email автора в коде: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь код на base64decode.net

© Amigo-A (Andrew Ivanov): All blog articles. With any use of articles and quoting, you must in obligatory make a direct link to the blog article and name the author.

© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При любом использовании и цитировании ссылка на блог и/или автора обязательна. 

Предостережение! 

   При поиске в Google, Яндекс и прочих поисковиках вы можете найти множество фальшивых сайтов с информацией, сгенерированной программами-ботами и автоматизированными системами заполнения. Они воруют с других сайтов, в том числе отсюда, готовый материал, подставляют новые названия вредоносного ПО в свои шаблоны и предлагают "полечить", "исправить", "удалить". 

Остерегайтесь что-то оттуда скачивать!!! 

Там могут предлагаться некие утилиты для удаления вредоносов с названиями: SpyHunter, VirusHunter, Removal Tool, Removal Tip, SuperAnti-Malware, SuperAnti-Spyware, Anti-Malware Tool, Reimage Repair, RemoveVirus, Spyware Detection Tool, Automatic Detection Tool... и другие. Каждый день их появляется всё больше, они заполонили все результаты поисков, причем на любом языке: английском, китайском, испанском, русском, японском... 

Это результат работы ловких дельцов, развязавших в Интернете странный рекламный маркетинг, делают деньги на чужих проблемах, "стригут капусту" за показы этих сайтов и загрузку вышеназванных программ. За редким исключением, полезной информации или реальных инструментов для удаления вирусов там нет. Удаляют только известные файлы вредоносов и их записи в реестре. Рекомендации там общие на все случаи жизни, потому каждому не помогут. С их помощью можно удалить несложные блокировщики экрана, а зашифрованные или заблокированные иным способом файлы эта мера не вернёт. Некоторые из программ с этих сайтов разработаны легитимными компаниями, а файлы подписаны ЭЦП, потому пропускаются антивирусами. 

Если вы открыли эти сайты, то покидайте их как можно скорее, ничего не скачивая. Их легко распознать. Текст на русском языке будет отличаться нелепой лексикой, повторением и предложением что-то скачать. Текст на английском многократно дублируется на множестве однотипных сайтов, на других языках то же самое. Не факт, что содержимое этих сайтов может быть скопировано и использовано настоящими злоумышленниками. 

Будьте бдительны!!!
Не забывайте об Актуальной защите ПК!!!

Профилактика угрозы

Профилактика угрозы и защита бизнеса

(перевод с английского, первоисточник на русском языке)

Защитите себя и свою организацию!

  Я очень надеюсь, что этот сайт, статьи, руководства, инструкции и вся справочная информация, которую вы здесь найдёте, спасёт множество организаций, семей и лиц от неприятностей, связанных с угрозой вымогательства и уплатой выкупа, и научит их защищаться. 

  Не откладывайте всё на потом, начните с себя прямо сейчас! 

...Лечебные учреждения, учебные заведения, государственные и местные органы власти, транспортные компании, правоохранительные органы, предприятия малого и среднего бизнеса, крупные предприятия — это лишь некоторые из субъектов, пострадавших от крипто-вымогателей — коварных вредоносных программ, которые шифруют или блокируют ценные цифровые файлы и требуют немалый выкуп за их частичное или полное возвращение.

  Невозможность получить доступ к важной информации для организаций может иметь катастрофические последствия, например, если говорить об утрате конфиденциальной или служебной информации, о нарушении непрерывного производственного процесса, финансовых потерях, понесённых при восстановлении системы и файлов, и о пострадавшей репутации организации.

  Домашние компьютеры, разумеется, также восприимчивы к атаке крипто-вымогателей, т.к. потеря доступа к личным и бесценным цифровым данным, в том числе семейным фотографиям, видео, документам и другим данным, может стать невосполнимой для физических лиц, привести к личной драме, стать причиной семейных скандалом, разлуке с близкими и пр. пр. пр. 

  Угроза программ-вымогателей существует уже нескольких лет, но в 2015 году антивирусными компаниями и правоохранительными органами был отмечен рост кибер-атак этого вида, особенно в отношении организаций, т.к. там и цены выкупа выше, и выплаты чаще. Первые три месяца 2016 года указывают на то, что число вымогательских инцидентов и последующий ущерб, который они вызывают, будут продолжать расти в текущем и будущем годах, если отдельные лица и организации не подготовятся к этим нападениям заранее.

  Пример атаки вымогателя: жертва, получив email-письмо, адресованное ей, открывает его и бездумно кликает вложение, которое кажется неопасным, например, присланное фото, счет-фактура, решение суда или электронный факс, но на самом деле содержит вредоносный код вымогателя. Или пришедшее электронное письмо может содержать легитимного вида URL-адрес, но когда жертва бездумно кликает на него, то мигом перенаправляется на веб-сайт, который заражает компьютер вредоносным кодом, эксплуатируя уязвимости в программном обеспечении и защите.

  Инфицировав компьютер, вредоносная программа начинает шифрование файлов и папок на локальных дисках, подключенных внешних дисках, дисках резервного копирования, а также на других компьютерах в той же сети, присоединенных к ПК жертвы. Пользователи и организации, как правило, не знают, что они инфицированы, пока не поймут, что не могут получить доступ к своим данным или пока не увидят вымогательских сообщений, в которых сообщается о том, что файлы были зашифрованы (заблокированы, скрыты) и описываются требования на уплату выкупа в обмен на ключ дешифрования. В них также есть инструкции о том, как заплатить выкуп, как правило, в Bitcoin — виртуальной криптовалюте, предоставляющей анонимный обмен и выплаты.

  Атаки вымогателей от банально известных, становятся все более изощренными. Несколько лет назад, программы-вымогатели обычно доставлялись только через email-спам, но потом системы email-защиты стали лучше фильтровать спам, и кибер-преступники обратились к email-фишингу, ставшему не только целенаправленным, но индивидуально подстраиваемым. Так кроме банального фишинга, используется таргет-фишинг, копьё-фишинг, уэйлинг... Ежедневно появляются новые виды. 

  Новые инциденты показывают, что некоторые кибер-преступники вообще не используют электронную почту. Помощник директора киберподразделения ФБР Джеймс Трейнор сообщает: "Методы киберпреступников совершенствовались и теперь им не нужно принуждать человека нажимать на ссылку в письме. Они делают это путем инфицирования легитимных сайтов вредоносным кодом, воспользовавшись неисправленными уязвимостями в программном обеспечении ПК конечных пользователей".

  Важно помнить, что все варианты вымогателей представляют угрозу для индивидуальных пользователей, организаций и предприятий. Немало вариантов ориентированы на атаку уязвимых серверов, чтобы одновременно причинить вред данным на сервере, веб-хостинге, всем расположенным на них веб-сайтам и подключенным пользователям. Большой объём данным и длительное время восстановления порой вызывает у вымогателей искушение — после уплаты выкупа, не выдавать все ключи дешифрования, не предоставлять доступ ко всем файлам, а потребовать ещё больше денег, двойную или тройную оплату. 

Платить или не платить? 

  ФБР сегодня категорически против уплаты выкупа вымогателям. Трейнор продолжает: "Уплата выкупа не гарантирует организациям возвращение доступа к утраченным данным. Нам известны случаи, когда организации не получали ключ дешифрования даже после того, как платили выкуп. Каждый оплаченный выкуп стимулирует кибер-преступников к будущим атакам на организаций, является примером легкой наживы для других преступников, толкая их к незаконной деятельности. И, наконец, заплатив выкуп, организация непреднамеренно финансирует другую незаконную деятельность киберпреступников".

  Так что же ФБР рекомендует? По мере развития методов вымогателей продолжают развиваться и вредоносные программы, и становится всё труднее обнаруживать вымогателей. Пока не стало слишком поздно, организациям, в частности, следует сосредоточить внимание на двух основных направлениях:
- проводить профилактику, обучать и информировать персонал о вымогателях и надежных технических средствах контроля;
- разработать и утвердить план обеспечения непрерывности процесса работы организации в случае атаки вымогателей (см. далее "Советы..." для дополнительной информации).

— Нет ни одного метода или инструмента, который бы гарантированно защитил вас или вашу организацию от атаки вымогателей, — сказал Трейнор. — Но готовность к непредвиденным обстоятельствам и планирование реабилитации имеют решающее значение для восстановления бизнеса и его непрерывности, поэтому указанные мероприятия должны проводиться на регулярной основе. — В то же время, по словам Трейнора, ФБР будет продолжать работать со своими местными, федеральными, международными и частными партнёрами в целях усиления борьбы с вымогателями и другими угрозами.

Советы ФБР по борьбе с вымогателями

  ФБР рекомендует предприятиям, организациям и пользователям рассмотреть возможность осуществления следующих мер профилактики угрозы, защиты бизнеса и обеспечения его непрерывности, чтобы уменьшить риск успешной атаки вымогателей.  Хотя данные советы предназначены в первую очередь для предприятий, организаций и их сотрудников, некоторые из них подойдут и персональным пользователям.

Меры профилактики угрозы

- Убедитесь, что все сотрудники информированы о вымогателях и понимают всю важность защиты данных организации.
- Убедитесь, что ОС, ПО и прошивки на всех компьютерах и устройствах обновляются с помощью централизованной системы управления исправлениями.
- Убедитесь, что решения по обеспечению защиты от вирусов и вредоносных программ установлены и актуальны на всех компьютерах.
- Убедитесь, что на всех компьютерах учётные записи администратора используются только при крайней необходимости.
- Убедитесь, что на всех компьютерах настроен контроль доступа, в том числе к файлам, каталогам и общим сетевым папкам. 
- Убедитесь, что пользователи, которым нужно только читать конкретную информацию, не имеют прав на внесение изменений в этих файлах.
- Убедитесь, что на всех компьютерах отключены макросы и уведомления об их включении в офисных файлах, передаваемых и получаемых по email.
- Убедитесь, что на всех компьютерах внедрены политики ограниченного использования программ или других элементов управления для предотвращения выполнения программ-вымогателей из общих мест. Это касается временных папок, с которыми работают популярные интернет-браузеры и архиваторы.

Обеспечение защиты бизнеса

- Делайте регулярное резервное копирование данных и регулярную проверку целостности этих резервных копий.
- Защитите резервные копии и убедитесь, что они не подключены к компьютерам и сетям хранения баз данных.
- Критически относитесь к ссылкам в email-сообщениях и не открывайте вложения от неизвестных отправителей.
- Загружайте программное обеспечение, особенно бесплатное (Free), только с официальных и доверенных сайтов. 
- Проверяйте до запуска, если возможно, целостность программного обеспечения с помощью цифровой подписи.
- Обновляйте операционную систему, свои программы, прошивки, включая Adobe Flash, Java, веб-браузеры и пр.
- Настройте антивирусные и другие защитные программы на автоматическое обновление и регулярные проверки ПК.
- Отключите макросы для получаемых по email файлов. Используйте Office Viewer для открытия файлов MS Office.
- Создайте ограничения на выполнение программ и элементов управления, активнее внедряйте проактивную защиту. 

Сообщения об атаках вымогателей

  ФБР призывает пострадавших сообщать обо всех инцидентах, связанными с вымогателями, федеральным правоохранительным органам, независимо от результата атаки, чтобы составить более полное представление о текущей угрозе и её воздействии на пострадавших.

Для этого следует указать следующую информацию:
1. Дату инфицирования ПК (может быть также установлена по отчётам Windows).
2. Информацию о варианте вымогателя (записка о выкупе, используемое расширение).
3. Информация о компании-жертве (какое предприятие, организация, размер бизнеса).
4. Как произошло заражение (ссылка или вложение в email, работа в Интернете и пр.).
5. Запрошенная вымогателями сумма выкупа (указывается в записке или на сайте оплаты).
6. Адрес Bitcoin-кошелька вымогателей (указывается в записке или на сайте оплаты).
7. Выплаченная вымогателям сумма выкупа (если выкуп вымогателям был выплачен).
8. Общие потери, связанные с вымогательской инфекцией, включая сумму выкупа.
9. Официальный отчёт о причинённом ущербе, включая заявления от пострадавших.

👉 Сравните информацию, сообщаемую в федеральные органы США, с онлайн-заявлением в Управление "К" МВД России. 


Как помогают собранные данные?

1. Отчётность по преступлениям даёт правоохранительным органам более точную картину о методах нападавших, чтобы они могли попытаться отслеживать и в конечном итоге сорвать их планы.
2. Криминальные сводки помогают правоохранительным органам оценить масштаб проблемы, чтобы выделить ресурсы и обеспечить необходимое финансирование со стороны законодателей или других политиков.
3. Накопление разведывательных данных о киберпреступности помогает следователям лучше коррелировать деятельность их банд, помогая разоблачать и преследовать лиц, участвующих в атаках. 
4. ФБР ранее отмечал, что "значительная часть инфраструктуры, используемая злоумышленниками, размещается за рубежом", и что бюро часто работает с международными правоохранительными органами.

 Read to links: 
 FBI: Incidents of Ransomware on the Rise (апрель 2016)
 FBI urges victims to report ransomware incidents (сент. 2016)
 ID-Ransomware.RU

© Amigo-A (Andrew Ivanov): All blog articles.