Если вы не видите здесь изображений, то используйте VPN.

пятница, 24 июня 2016 г.

TowerWeb

TowerWeb Ransonware

(фейк-шифровальщик)


   Этот крипто-вымогатель якобы шифрует данные, а затем требует выкуп 100 долларов в биткоинах. Эту сумму нужно уплатить в течение 24 часов, иначе через сутки она возрастет до 150 долларов. По прошествии 72 часов без уплаты выкупа все файлы и сама операционная система будут удалены. 

  Вместо текстовой записки о выкупе используется изображение Payment_Instructions.jpg, которое ставится в качестве обоев рабочего стола. 

Считанное с экрана содержание:
............WRITE THIS INFORMATION DOWN............
Ransom Id: ***
BTC Address: ***
Email: towerweb@yandex.com
IF YOU LOOSE THIS INFO YOU WILL NOT BE ABLE TO CONTACT
............WRITE THIS INFORMATION DOWN............

YOU WILL NEED TO USE ANOTHER

DEVICE TO EMAIL US. YOUR
COMPUTER WILL NOT FUNCTION PROPERLY
UNTIL YOU PAY.

Your computer files have been encrypted moved to a hidden ENCRYPTED partition in your computer.

You must pay $100 USD within 24 hours or $150 after 24 hours in Bltcoint to get them back.
After 72 hours all files will be deleted including your operating system.

If you do not have Bitcoin visit www.LocalBitcoins.com to purchase them.

Email us if you need assistance or have paid.

Email: towerweb@yandex.com


In the mean time you will notice your computer will not respond to your commands.

Dont worry... everything will be back to normal when you pay.
Once you pay all your files and programs will be decrypted and your computer restored quickly.
Without the decryption password you will not get them back and your computer will not function properly.
Once payment is received you will get the decryption password and simple instructions to restore all
your files and computer to normal instantly. Takes about five minutes to restore everything to normal.
Once again... after 72 hours all files will be deleted including your operating system.

Email us if you need assistance or have paid.

Email: towerweb@yandex.com

The same information is on your desktop.

DO NOT LOOSE THE CONTACT INFO

HINT: IF YOU CANT CLICK ON ANYTHING YOUR

MOUSE BUTTONS HAVE ALREADY BEEN REVERSED.
MORE CHANGES WILL COME UNTIL YOU PAY.

Перевод фрагмента на русский язык:
***
Ваши компьютерные файлы были зашифрованы и перемещены в скрытый зашифрованный раздел в вашем компьютере.
Вы должны заплатить $ 100 долларов в течение 24 часов или $ 150 после 24 часов в Bltcoint, чтобы получить их обратно.
Через 72 часа все файлы будут удалены, в том числе операционная система.
***


Первая характерная особенность: на самом деле этот вымогатель не шифрует файлы, а сходу удаляет их специальной командой. Буквально, это не криптовымогатель, а винлок, позиционирующий себя как шифровальщик. Детект на VirusTotal + ещё один.  

Вторая характерная особенность: вымогатель меняет местами кнопки мыши, как будто играя с жертвой. Для выполнения этого фокуса используется следующая команда: RUNDLL32 USER32.DLL,SwapMouseButton

Внимание!  Если вы пострадали от этого криптовымогателя, то вам следует обратиться за помощью на форум bleepingcomputer.com

Дополнения от 24.06.2013
Возросла сумма выкупа: до $125 за 24 часа и $199 после.
Сменилось изображение с текстом вымогателя.  

Разновидностью или подражанием TowerWeb является вымогатель AnonPop, в котором используется аналогичное этому изображение для блокировщика экрана. Разница только в emai-адресе. 

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая. 
Подробные сведения собираются

KratosCrypt

KratosCrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные с помощью AES-256, а затем требует выкуп в 0.03 биткоина. 

© Генеалогия: Hidden Tear >> KratosCrypt 

К зашифрованным файлам добавляется расширение .kratos. Криптовымогатель основан на Hidden Tear. 

  Записка о выкупе называется README_ALL.html и оставляется в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
KratosCrypt 
Your documents, photos, databases and other important files have been encrypted!
To decrypt your files you need to buy the special software - "Kratos Decryptor".
The purchase should be performed via  network only at a special price: BTC0.03.
How to get "Kratos Decryptor" ?
1- Create a Bitcoin Wallet (we recommend Blockchain.info)
2- Buy necessary amount of Bitcoins
Do not forget about the transaction commision in the Bitcoin network (0.0005 BTC).
Here are our recommendations:
LocalBitcoins.com - The fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com - The simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu - The best for Europe;
CEX.IO - VISA / MasterCard;
CoinMama.com - VISA / MasterCard;
HowToBuyBitcoins.info - Discover quickly how to buy and sell bitcoins in your local currency;
3- Send BTC0.03 to the following Bitocoin Address:
1FQJEfRizDMGw4bvw7k7Bfy3jg1FBxxQMC
4- Send an E-mail to this address containing the TRANSACTION ID:
kratosdimetrici@gmail.com
5- You will receive an E-mail containing the download link + PASSWORD.


Перевод на русский язык:
Ваши документы, фото, базы данных и другие важные файлы зашифрованы!
Для дешифровки файлов вам надо купить специальный софт - "Kratos Decryptor".
Покупка осуществляется только через сеть по специальной цене: BTC0.03.
Как получить "Kratos Decryptor"?
1- Создайте Bitcoin-кошелек (мы рекомендуем Blockchain.info)
2- Купите требуемое количество Bitcoins
Не забывайте о комисси транзакции в сети Bitcoin (BTC) 0,0005.
Вот наши рекомендации:
LocalBitcoins.com - Самый быстрый и простой способ купить и продать Bitcoins;
CoinCafe.com - Самый простой и быстрый способ купить, продать и иметь Bitcoins;
BTCDirect.eu - Лучший для Европы;
CEX.IO - VISA / MasterCard;
CoinMama.com - VISA / MasterCard;
HowToBuyBitcoins.info - Узнать, как быстро купить и продать Bitcoins в местной валюте;
3- Отправить BTC0.03 на Bitocoin-адрес:
1FQJEfRizDMGw4bvw7k7Bfy3jg1FBxxQMC
4- Отправить email на этот адрес идентификатор транзакции:
kratosdimetrici@gmail.com
5- Вы получите email, содержащее ссылку для загрузки + ПАРОЛЬ.

Внимание! 
Этот криптовымогатель дешифруем. 
За помощью в дешифровке обращайтесь на форум bleepingcomputer.com

Сетевые подключения и связи:
Email: kratosdimetrici@gmail.com

Степень распространённости: низкая. 
Подробные сведения собираются

среда, 22 июня 2016 г.

SecureCryptor

SecureCryptor Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные жертвы, а затем требует написать на почту и прислать 1-2 зашифрованных файла. В ответном письме будет указана сумма выкупа за дешифровку. 

К зашифрованным файлам добавляется расширения .SecureCrypted или .bleepYourData.

© Генеалогия: Apocalypse > SecureCryptor

  Записка о выкупе создается на каждый зашифрованный файл по шаблону <original filename>.Contact_Here_To_Recover_Your_Files.txt
Таким образом для файла Новый документ.doc записка о выкупе будет называться: Новый документ.doc.Contact_Here_To_Recover_Your_Files.txt

В записке о выкупе фигурирует почтовый адрес: recoveryhelp@bk.ru


Содержание записки о выкупе:
A L L  Y O U R  F I L E S   A R E  E N C R Y P T E D
All your data - documents, photos, videos, backups - everything is encrypted.
The only way to recover your files:  contact us to the next email: recoveryhelp@bk.ru

Attach to e-mail:
1. Text with your IP server as Subject (To locate your encryption algoritm)
2. 1-2 encrypted files (please dont send files bigger than 1 MB)

We will check the encrypted file and send to you an email with your decrypted file as proof that we actually have the decrypter software.

Remember: 
1. The FASTER you'll CONTACT US - the FASTER you will RECOVER your files.
2. We will ignore your e-mails without IP server number in Subject. 
3. If you haven't received reply from us in 24 hours - try to contact us via public e-mail services such as Yahoo or so.

Перевод на русский язык:
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши данные - документы, фото, видео, бэкапы - все зашифровано.
Один способ вернуть файлы: написать нам на почту recoveryhelp@bk.ru

Приложить к письму:
1. Текст с IP-сервера как Тему (Чтобы найти алгоритм шифрования)
2. 1-2 зашифрованных файла (только не больше 1 Мб)

Мы проверим зашифрованный файл и пришлем письмо с дешифрованным файлом в доказательство имеющегося декриптера.

Запомните:
1. БЫСТРЕЕ войдёте в КОНТАКТ С НАМИ - быстрее вернёте файлы.
2. Мы будем игнорировать письма без номера IP-сервера в теме.
3. Если не получили наш ответ за 24 часа - пробуйте связаться с нами с помощью служб Yahoo или других.

К счастью в программе-вымогателе есть изъян, который позволяет вернуть зашифрованные файлы без уплаты выкупа.

Предполагается, что SecureCryptor является вариантом крипто-вымогателя Apocalypse, потому зашифрованные им файлы можно дешифровать с помощью декриптера для Apocalypse. 

Степень распространённости: средняя. 
Подробные сведения собираются.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!!! 
Для зашифрованных файлов есть декриптер.
Скачать декриптер для Apocalypse и SecureCryptor >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Apocalypse)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Fabian Wosar
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


Внимание!!! 
Для зашифрованных файлов есть декриптер.

ZimbraCryptor

ZimbraCryptor Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует с помощью AES все файлы, находящиеся в папке-хранилище /opt/zimbra/store электронной почты почтового сервера Zimbra. Затем он создаёт записку с требованием выкупа в /root/how.txt, где требует 3 биткоина, чтобы дешифровать файлы. 


  Зашифрованные файлы получают расширение .crypto. Например, 14000-20200.msg будет зашифрован как 14000-20200.msg.crypto.

  Устанавливается с помощью хакерского взлома сервера Zimbra и выполнения сценария Python. После того, как скрипт выполнится, он сгенерирует уникальные для компьютера жертвы ключи RSA и AES. Ключ AES затем шифруется с помощью ключа RSA и они оба отправляются на mpritsken@priest.com

  После того, как ключи сгенерируются, сценарий создаст записку с требованием выкупа под названием how.txt в /root/ папке. В ней указан Bitcoin-адрес, почта и открытый ключ, который нужно отправить на email вымогателей после уплата выкупа.

Содержание записки о выкупе:
Hello, If you want to unsafe your files you should send 3 btc to 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 and an email to mpritsken@priest.com with: public key...
Перевод на русский язык:
Привет, Если хотите вернуть свои файлы, то должны послать 3 btc на 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 и на mpritsken@priest.com: прислать открытый ключ...

Степень распространенности: единичные случаи.
Подробные сведения собираются. 

вторник, 21 июня 2016 г.

CryptoRoger

CryptoRoger Ransomware

(шифровальщик-вымогатель)



   Это криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп 0.5 биткоинов за дешифровку. 

К зашифрованным файлам добавляется расширение .crptrgr

Записка с требованием выкупа называется !Where_are_my_files!.html 

  В ней содержатся инструкции, по которым нужно скачать и установить мессенжер Tox и связаться через него с вымогателями по специальному ID. 

Перевод записки на русский язык:
Сожалею, но возникла проблема :(
Файлы на вашем ПК надежно зашифрованы
не волнуйтесь, есть решение
Цена дешифровки файлов - 0,5 Bitcoin (~$360)
(Но если вы будете вести себя неразумно цена вырастет в несколько раз.)
Чтобы получить Bitcoin-адрес для оплаты пишите мне в uTox.
Можно БЕСПЛАТНО дешифровать 1 файл, пришлите его мне в uTox.

  CryptoRoger добавляет в автозагрузку свой специальный файл с расширением .VBS . Это позволяет после входа пользователя в систему шифровать любые вновь созданные файлы. Также требуется отправить вымогателям специальный файл keys.dat

  На каждый зашифрованный файл берется MD5-хэш исходного файла и сохраняется вместе с именем файла в файл %AppData%\files.txt . 

Файлы, связанные с CryptoRoger Ransomware: 
!Where_are_my_files!.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
%AppData%\bg.jpeg
%AppData%\files.txt
%AppData%\keys.dat
%UserProfile%\CryptoRoger\[ransomware_exec].exe

Записи реестра, связанные с CryptoRoger Ransomware:
HKCU\Software\CryptoRoger\
HKCU\Software\CryptoRoger\AESFORUPRIVATE
HKCU\Software\CryptoRoger\UPRIV

Степень распространенности: низкая.
Подробные сведения собираются. 

понедельник, 20 июня 2016 г.

Kozy.Jozy

Kozy.Jozy Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы пользователя, а потом устанавливает в качестве обоев рабочего стола изображение w.jpg с требованием прислать на почту вымогателей один из пострадавших файлов для расшифровки. В ответном письме придет уже расшифрованный файл и будет указана сумма выкупа за остальные зашифрованные файлы. 

Текст с экрана: 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
с использованием очень стойкого алгоритма RSА-2048.
Попытки восстановить файлы самостоятельно приведут лишь
к их безвозвратной порче. Если же они вам нужны то
отправьте один из пострадавших файлов на ящик
kozy.jozy@yahoo.com

К зашифрованным файлам добавляется расширение со сложным названием:
.31392E30362E32303136_ (0-20) _LSBJ1, где (0-20) - диапазон цифр от 0 до 20
.31392E30362E32303136_ (0-20) _ZHM1
.31342E30362E32303136_ (0-20) _KTR1

В начале также могут быть другие цифры, а в конце другие буквы. 

Kozy.Jozy удаляет теневые копии файлов командой: 
vssadmin.exe Delete Shadows /All /Quiet 

Список файловых расширений, подвергающихся шифрованию:
cd, .ldf, .mdf, .max, .dbf, .epf, .1cd, .md, .pdf, .ppt, .xls, .doc, .arj, .tar, .7z, .rar, .zip, .tif, .jpg, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt, .ods, .odb, .odg...

К сожалению, заявленное шифрование RSA-2048 действительно присутствует. Вымогатель использует 20 встроенных ключей RSA и шифрует данные жертвы с одним из них, выбранным случайным образом, в куски по 245 байт. В настоящее время, в связи с использованием этого асимметричного шифрования, нет бесплатного способа для дешифровки данных.

Степень распространенности: низкая.
Подробные сведения собираются. 

суббота, 18 июня 2016 г.

Dr. Jimbo

Dr. Jimbo Ransomware 

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей, а затем требует связаться с вымогателями по email dr.jimbo@bk.ru для получения инструкций по оплате выкупа и в течение 48 часов после шифрования. 

Зашифрованные файлы получают расширение .encrypted

Сумма выкупа пострадавшими называется разная — 2-3 биткоина. 

© Генеалогия: Apocalypse > Dr. Jimbo

  Записка о выкупе называется How_To_Decrypt.txt:

Такая записка создается на каждый зашифрованный файл. 

Степень распространенности: низкая.
Подробные сведения собираются. 

CryptoShocker

CryptoShocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует 200 долларов в биткоинах, чтобы вернуть файлы обратно. Цели шифрования: документы, PDF, фотографии, музыка, видео, базы данных и пр. 

Зашифрованные файлы получают расширение .locked

  На рабочем столе создается ярлык ATTENTION.url (ссылка на сайт вымогателей в сети TOR). На этом сайте укзана почта для связи с вымогателями cryptoshocker@tutanota.com

Примечательно, что CryptoShocker рекламирует Bitcoin-сервисы по обмену, в комплекте с их логотипами.

Определяется TrendMicro как RANSOM_CRYPSHOCKER.A

Степень распространенности: низкая.
Подробные сведения собираются. 

NegozI

Negozl Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 и SHA256, а затем требует 5 биткоин, чтобы вернуть файлы обратно. 

© Генеалогия: HiddenTear >> NegozI

Зашифрованные файлы получают расширение .evil

Содержание записки о выкупе: 
All your files have been encrypted with NegozI Ransomware. 
For each file unique, strong key. Algorithm AES256
All your attempts to restore files on their own, lead to the loss of the possibility of recovery and we are not going to help you.
All your actions are traced and known to us.
If you do not make payment within 5 days, you will lose the ability to decrypt them.
Make your Bitcoin Wallet on: https://www.coinbase.com/ , https://block.io or http://blockchain.info 
How to buy /sell and send Bitcoin: 
1)https://support.coinbase.com/customer/en/portal/topics/796531-payment-method-verification/articles 
2)https://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles 
3)https://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoin/articles 
After the payment, send the wallet from which paid and your uniq ID to mail : never@bull.me
After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

Перевод на русский язык:
Все ваши файлы зашифрованы NegozI вымогателей.
Для каждого файла уникальный, стойкий ключ. Алгоритм AES256
Все попытки восстановить файлы самому, приведут к их повреждению, и мы потом не сможем вам помочь.
Все ваши действия контролируются нами.
Если вы не платите за 5 дней, то потеряете возможность расшифровывать их.
Создайте свой Bitcoin-кошелёк: www.coinbase.com, block.io или blockchain.info
Как купить / продать и отправить Bitcoin:
1) https://support.coinbase.com/customer/en/portal/topics/796531-payment-method-verification/articles
2) https://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) https://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoin/articles
После оплаты пришлите номер кошелька, с которого платили и ваш ID на never@bull.me
После получения оплаты, мы свяжемся с вами, дадим дешифровщик и FAQ как дешифровать файлы.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .bat, .css, .csv, .doc, .docx, .dwf, .dwg, .frm, .html, .jpeg, .jpg, .js, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbo, .qbw, .rpt, .sldprt, .sln, .sql, .sqlite, .txt, .xls, .xlsx, .xml (38 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр. 

Файлы, связанные с этим Ransomware:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: never@bull.me

Степень распространенности: низкая.
Подробные сведения собираются.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>
Или изучите статью по этой ссылке >> 
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as NegozI)
 Write-up, Topic of Support
 * 
 Thanks: 
 victim in the topics of support
 Michael Gillespie
 Andrew Ivanov
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

Crypt38

Crypt38 Ransomware


   Этот криптовымогатель шифрует данные пользователей с помощью AES, а затем требует 1000 рублей или ~15 долларов, чтобы вернуть файлы обратно. Цели шифрования: документы, PDF, фотографии, музыка, видео, базы данных и пр. Зашифрованные файлы получают расширение .crypt38

  Regist Ransomware ориентирован на русскоязычных пользователей, т.к. блокировщик экрана на русском языке. 

Почта вымогателей regist3030@yandex.ru

Вместо записки о выкупе используется блокировщик экрана. 

  Crypt38 добавляется в автозагрузку системы. Каждый раз при запуске проверяет, находится ли его копия в директории %Appdata%\Microsoft\Windows\lsass.exe. 
И если её там нет, то создаёт заново. 

Crypt38 сканирует все диски в следующем порядке:
C:\, D:\, E:\, Z:\, Y:\, X:\, W:\, V:\, F:\, G:\, H:\, I:\, J:\, K:\, U:\, T:\, S:\, R:\, Q:\, L:\, М:\, N:\, O:\, P:\, A:\, B:\. 

  Это существенно замедляет процессы шифрования и дешифрования файлов.

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .html, .rtf, .dwg, .cdw, .max, .psd, .3dm, .3ds, .dxf, .ps, .ai, .svg, .indd, .cpp, .pas, .php, .cs, .py, .java, .class, .fla, .pl, .sh, .jpg, .jpeg, .jps, .bmp, .tiff, .avi, .mov, .mp4, .amr, .aac, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .accdb, .odt, .odp, .odx, .ibooks, .xlp, .db, .dbf, .mdf, .sdf, .mdb, .sql, .rar, .7z, .zip, .vcf, .cer, .csr, .torrent, .otl, .report, .key, .csv, .xml (65 расширений). 

Файлы вымогателя:
%Appdata%\lsass.exe - копия себя
%Appdata%\request.bin – содержит ID жертвы
%Appdata%\encrypted

Папка, созданная вымогателем:
{root drive} \ow4386747

Ключ реестра вымогателя:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Значение: lsass
%Appdata%\lsass.exe

Анализ от Fortinet >>>

К счастью в программе-вымогателе есть изъян, который позволяет вернуть зашифрованные файлы без уплаты выкупа. 

За помощью в дешифровке обращайтесь на форум bleepingcomputer.com

Степень распространенности: низкая.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть дешифровщик.


Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *