Если вы не видите здесь изображений, то используйте VPN.

четверг, 3 ноября 2016 г.

EncryptoJJS

EncryptoJJS Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Образцы этого криптовымогателя были обнаружены в начале ноября 2016 г. Ориентирован на англоязычных пользователей, что не помешает вымогателям распространять его по всему миру.

Записки с требованием выкупа называются: 
How to recover.enc.txt

Содержание записки о выкупе:
All of your pictures have been encrypted and are impossible to decrypt
If you ever want to see your pictures again please visit:
www.mymalicioussite. ru
You will need 1 bitcoin to complete the transaction

Перевод записки на русский язык:

Все ваши фотографии были зашифрованы и их невозможно расшифровать.
Если вы хотите увидеть свои фотографии снова, пожалуйста, посетите:
www.mymalicioussite.ru
Вам понадобится 1 Bitcoin для завершения сделки.

По всей видимости пока находится в разработке. После релиза вполне может начать распространяться по стандартной вымогательской схеме: с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с EncryptoJJS Ransomware:
How to recover.enc.txt
EncryptoJJS_Ransomware.exe

Имена файлов:
EncryptoJJS_Ransomware
encryptoJJS 1.0.exe

Записи реестра, связанные с EncryptoJJS Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
хттп://www.mymalicioussite.ru/
хттп://ioussite.ru/

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kangaroo

Kangaroo Ransomware 

Apocalypse-Kangaroo Ransomware 

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1-2-3 BTC или больше, чтобы вернуть файлы. Известны случаи, когда требовали выкуп ещё несколько раз после уплаты первого. Оригинальное название: Kangaroo. 

© Генеалогия: Apocalypse >> EsmeraldaKangaroo > Missing

К зашифрованным файлам добавляется расширение .crypted_file.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: 
*.Instructions_Data_Recovery (добавляется к имени каждого зашифрованного файлу, таким образом будет столько записок, сколько зашифровано файлов). 

Содержание записки о выкупе:
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: 2F5BD40FDE
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email.

Перевод записки на русский язык:
Windows столкнулась с критической проблемой и требует немедленного действия для восстановления ваших данных. Доступ к системе блокирован, а все данные зашифрованы, чтобы избежать обнародования информации или злоупотребления. Вы не сможете получить доступ к файлам, а игнорирование этого сообщения может привести к полной потере данных. 
Мы приносим свои извинения за неудобства.
Вам следует обратиться на email ниже, чтобы восстановить данные вашей системы.
Ваша персональная идентификация ID: 2F5BD40FDE
E-mail: esmeraldaencryption@mail.ru
Вы должны заказать Unlock-пароль и Kangaroo Decryption Software. Все инструкции будут отправлены вам по электронной почте.

Текст из записки дублируется в экране блокировки. Там же можно разблокировать файлы, чтобы закрыть окно блокировщика. Затем в работу вступит декриптор. 

Вымогатель настраивает реестр таким образом. чтобы жертва могла прочитать официальное уведомление от вымогателей перед загрузкой Windows. 
Но и после этого войти в систему не удастся, т.к. блокируется Диспетчер задач и подменяется файл Проводника Windows (explorer.exe) и жертва должны уплатить выкуп. Хотя часть фукнционала вымогателя можно отключить в безопасном режиме, полностью восстановить систему и вернуть файлы без уплаты выкупа пока не представляется возможным. 



Технические детали

Вымогатель, как оказалось, НЕ распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Хакеры взламывают компьютер по протоколу удаленного рабочего стола и устаналивают шифровальщик вручную. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога



➤ Во время первого запуска шифровальщик отображает уникaльный ID жертвы и ключ шифрования, которые операторы вредоноса должны сами скопиpовать. Затем уже файлы пользователя шифруются, добавляя к файлам расширение .crypted_file

После шифрования делаются попытки удалить тома теневых копий файлов, но по разным причинам это действие не всегда эффективно.  

Список файловых расширений, подвергающихся шифрованию:
Многие популярные расширения. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с Kangaroo Ransomware:
Instructions_Data_Recovery.txt
Apocalypse_ransomware.exe
explorer.exe
explorer.exe.mui
C:\Program Files (x86)\Windows NT\explorer.exe

Записи реестра, связанные с Kangaroo Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeCaption"="Attention!"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText"="Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: E557162BUS
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email."

Сетевые подключения:
Email: kangarooencryption@mail.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

***


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 Tweet on twitter
 ID Ransomware (ID as Apocalypse)
Added later
Write-up on BC
*
*
 Thanks: 
 Michael Gillespie, JAMESWT, Lawrence Abrams
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

DummyEncrypter

DummyEncrypter Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует уплатить выкуп "поставщику программы", чтобы вернуть файлы. Название оригинальное. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение .dCrypt

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана.

Содержание записки о выкупе:
Warning: Your data has been encrypted!
Your personal data has been encrypted by a safe technology called AES-256 with US federal government trusted. 
When you see this message, we has ENCRYPTED your data by a KEY generated randomly by your machine, and we uploaded this key to our server. 
The only way to decrypt your file is use the KEY corresponding the YOUR FILE. 
Once encrypt complete we destroyed keys on this machine and only keeps a feature of this machine. 
The other parts of your computer is just safe now. Do not worry. We do not harm your computer. 
But some applications may lost data or texture and unable to start. Once you unencrypt you can use it normally again.
We has been encrypted your {0} files so far.
To decrypt your data, follow these steps:
1) Copy these machine code on a piece of paper or file forever broken. 
  Loading your machine code... 
51D3B0D73CA4B61D07891133628221F44D4BEB30
2) Access the software provider and follow the introductions. 
  1. Ask for your decrypt key.
  2. Use DummyUnlocker to restore. 

Перевод записки на русский язык:
Внимание: Ваши данные зашифрованы!
Ваши персональные данные были зашифрованы с помощью безопасной технологии под названием AES-256, имеющей доверие Федерального правительства США.
Если вы видите это сообщение, мы зашифровали ваши данные с помощью ключа, сгенерированного рэндомно для вашей машины, и мы загрузили этот ключ на наш сервер.
Есть только один способ дешифровать файлы, использовать ключ, соответствующий вашему файлу.
После шифрования мы уничтожили ключи на этой машине и сохранили только детали машины.
Остальные части вашего компьютера совсем безопасны. Не волнуйтесь. Мы не нанесём вред вашему компьютеру.
Но некоторые приложения могут утерять данные или текстуру и не смогут работать. После дешифрования вы сможете использовать его в нормальном режиме.
Мы зашифровали всего {0} файлов.
Для расшифровки данных, выполните следующие действия:
1) Скопируйте этот машинный код на лист бумаги или в неповрежденный файл.
   Загрузка вашего машинного кода ...
51D3B0D73CA4B61D07891133628221F44D4BEB30
2) Обратитесь к поставщику программы и следуйте указаниям.
   1. Запросите ваш ключ дешифрования.
   2. Используйте DummyUnlocker для восстановления.

Кнопки "I know, close this dialog" (Я понял, закрыть окно) и "I can't understand what you are saying" (Я не понял, что вы говорите) призваны открыть перед жертвой сайт оплаты или соответствующее разъяснение. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. В данном случае распространяется под видом известного легитимного ПО CCleaner, присвоив у него иконку. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с DummyEncrypter Ransomware:
DummyEncrypter.exe
DummyUnlocker.exe
31122e4b777ecbd73bc66d3a76200bf7d807195d40efc5945d74ffc9ae2f7cd6.exe

Имена файлов:
CCleaner
yXbVk8aVTk

Записи реестра, связанные с DummyEncrypter Ransomware:
См. ниже гибридный анализ

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 2 ноября 2016 г.

Encryptss77, SFX Monster

Encryptss77 Ransomware 

SFX Monster Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей и помещает их в самораспаковывающийся (SFX) архив с помощью файла WinRar и специального пароля, а затем требует выкуп, чтобы вернуть файлы. 

Названия получил от email вымогателей и из-за возможностей используемого ПО WinRar по созданию SFX-архива с паролем. Несколько антивирусных движков на VT выдали в графе "Результат" слово InstallMonster на созданный вредоносом файл SFX-архива.

© Генеалогия: неизвестна

К зашифрованным с помощью WinRar файлам добавляется расширение .exe, которое даётся всем SFX-файлам.

Из файлов получаются такие портянки
encryptss77@gmail.com.e0cryptss77@gmail.com.e0cr2ptss77@gmail.com.30cr0ptss77@gmail.com.00cr1ptss77@gma4l.co1.91cr6pt0477@g1531Cv8.exe 

encryptss77_gmail.com.e0cryptss77_gmail.com.e0cr2ptss77_gmail.com.10cr0ptss77_gmail.com.70cr1ptss77_gma0l.co0.31cr6pt2377_g623Check2016.exe


Активность этого криптовымогателя пришлась на июнь-август 2016 г. Ориентирован на русскоязычных пользователей.

Записки с требованием выкупа называются: 
КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

Содержание записки о выкупе:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ЧТОБЫ ИХ РАСШИФРОВАТЬ
НАПИШИТЕ НАМ НА encryptss77@gmail.com
В СООБЩЕНИИ УКАЖИТЕ IP АДРЕСС КОМПЬЮТЕРА
НА КОТОРОМ УВИДЕЛИ ЭТО СООБЩЕНИЕ
ЕГО ВЫ СМОЖЕТЕ УЗНАТЬ НА 2ip.ru
МЫ ОТВЕТИМ ВАМ В ТЕЧЕНИИ 24 ЧАСОВ

Перевод на английский язык:
YOUR FILES ARE ENCRYPTED
THAT THEIR DECRYPT
SEND EMAIL US AT encryptss77@gmail.com
IN MESSAGE INDICATE IP ADDRESS OF COMPUTER
WHERE YOU SAW THIS MESSAGE
YOU CAN FIND IT ON 2IP.RU
WE WILL REPLY TO YOU WITHIN 24 HOURS

Несколько пострадавших сообщили о взломе сервера по протоколу RDP и далее по локальной сети. По большей части атака ориентирована на повреждение баз 1С-Бухгалтерии и всего документооборота компании или учреждения, в том числе страдают подключенные облачные диски (Яндекс-диск и пр.) и неотображаемые сетевые ресурсы. 

После такой атаки НЕОБХОДИМО поменять ВСЕ пароли. Облачные диски необходимо пересоздать и удалить с жёсткого диска использованные папки, автоматически передающие файлы в этот облачный диск. Вообще технология автоматической онлайн-передачи файлов ошибочна и только наруку шифровальщикам. 

Может также распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов с использованием методов социальной инженерии. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

После шифрования удаляются исходные файлы, тома теневых копий и точки восстановления системы. В автозагрузку добавляется ссылка на файл WindowsDrivers.exe.

Список файловых расширений, подвергающихся шифрованию и архивированию:
 .111, .1cd, .1cl,.7z, .aga, .backup, .bak, .bas, .bkf, .bkp, .bpl, .cab, .cdr, .cdx, .cer, .cf, .cf, .cfg, .clme1, .config, .crt, .cs, .csv, .cub, .dat, .db, .dbf, .dd, .df7, .djvu, .doc, .docx, .dt, .efd, .eml, .epf, .erf, .ert, .fbk, .fdb, .fit, .fpt, .gbk, .gdb, .hbi, .hfld, .html, .idx, .ifo, .jpeg, .jpg, .jrxml, .key, .kwm, .lck, .ldf, .lgb, .lgd, .lgf, .lst, .md, .mdb, .mdf, .mir, .mira, .mkb, .mlg, .mp3, .mp4, .mst, .mxl, .nd, .ndf, .nup, .ods, .odt, .ord, .p12, .pck, .pdf, .pf, .pfx, .php, .png, .ppt, .pptx, .prm, .psd, .pwm, .rar, .raw, .rcd, .resx, .rpl, .rtf, .scx, .sec, .sldprt, .sql, .srx, .st, .tar, .tar, .tcb, .tgr, .tib, .tif, .tip, .trn, .txt, .ubs, .udb, .umpts, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vob, .xfld, .xls, .xlsx, .xml, .xsd, .xtbl, .zbk, .zip, .zs2, .ztp (129 расширений).

Файлы, связанные с Encryptss77 Ransomware:
C:\Users\User\AppData\Roaming\System.exe
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WindowsDrivers.exe

Записи реестра, связанные с Encryptss77 Ransomware:
***
Сетевые подключения:
***

Результаты анализов:

Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 *
 *
 *
 Thanks: 
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 1 ноября 2016 г.

WinRarer

WinRarer Ransomware 

(шифровальщик-вымогатель, rar-вымогатель)


   Этот вымогатель помещает данные пользователей в специальный архив YourFilesHere-0penWithWinrar.ace с помощью файла WinRar и пароля, а затем требует выкуп, чтобы вернуть файлы. 

Название получил от из-за использования возможностей ПО WinRar. На добавляемых на Рабочий стол обоях написано WINRARER.

 Таким образом файлы оказываются зашифрованными с использованием возможностей архиватора WinRar, когда помещенные в архив под паролем файлы становятся зашифрованы (см. справку WinRar). 

Обнаружения:
DrWeb - > Trojan.MulDrop7.22019
BitDefender -> Trojan.GenericKD.3618907
Microsoft -> Trojan:Win32/Dynamer!ac

© Генеалогия: предыдущие zip-rar-вымогатели > WinRarer

Примечательно, что расширение у такого архивного файла .ace, а не rar, zip или exe. 

Активность этого вымогателя пришлась на конец октября - начало ноября 2016 г. Согласно некоторым данным активность также была в мае-июне 2016. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются: 
RECOVERYOURFILES.HTM - записка  в виде веб-файла;
RecoverYourFiles.jpg - скринлок, встающий обоями.

Содержание записки о выкупе:
Attention : YOUR FILES were LOCKED
What happened ?
Your important files were LOCKED with Winrar so its now unusable and unreadable,
The only way to get your files back is to pay us.
Otherwise, your files will be useless
How can I get my files back?
The only way to restore them to a normal condition is to use our site to decrypt your key to get the password follow the flowing steps to enter our site :
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Go to this site ( paste it in the url address ) : pgzhzhje5v7dzrcr.onion
4. Copy your id from the bottom of the page to paste in the site.
your id is : *****************
done

Перевод на русский язык:
Внимание: Ваши файлы блокированы
Что случилось?
Ваши важные файлы блокированы с Winrar потому теперь непригодны и нечитаемы,
Есть один способ, чтобы получить ваши файлы обратно это заплатить нам.
В противном случае ваши файлы будут бесполезны
Как я могу вернуть мои файлы?
Только один способ вернуть их в нормальное состояние, это на нашем сайте получить ключ дешифровки и пароль, надо проделать шаги для входа на наш сайт:
1. Скачать и установить tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запуститm браузер и ждать инициализацию.
3. Перейти на этот сайт (вставьте его в URL адрес): pgzhzhje5v7dzrcr.onion
4. Скопировать id из нижней части страницы, чтобы вставить на сайте.
Ваш id: *****************
готово


Содержание текста со скринлока:
WINRARER
YOUR FILES LOCKED
WITH WINRAR
WHAT HAPPENED ?
YOUR IMPORTANT FILES WERE LOCKED WITH WINRAR
SO ITS NOW UNUSABLE AND UNREADABLE.
THE ONLY WAY TO GET YOUR FILES BACK IS TO PAY US.
OTHERWISE, YOUR FILES WILL BE LOST.
HOW CAN I GET MY FILES BACK?
THE ONLY WAY TO RESTORE THEM TO A NORMAL CONDITION IS TO USE OUR
SITE TO DECRYPT YOUR KEY TO GET THE PASSWORD
FOLLOW THE FLOWING STEPS TO ENTER OUR SITE:
1. DOWNLOAD AND INSTALL TOR-BROWSER: HTTP://WWW.TORPROJECT.ORG
2. AFTER A SUCCESSFUL INSTALLATION, RUN THE BROWSER AND WAIT FOR INITIALIZATION.
3. GO TO THIS SITE USING TOR BROWSER ONLY: PGZHZHJE5V7DZRCR.ONION
4. COPY YOUR ID FROM RECOVERYOURFILES.HTM FILE AND PASTE IT IN THE SITE
IF YOU ARE LOOKING FOR A JOB ENTER THE SITE AND GET YOUR OWN LOCKER

Перевод текста на русский язык:
WINRARER
Ваши файлы заблокированы
С помощью WinRAR
Что случилось?
Ваши важные файлы были заблокированы с помощью WinRAR
Потому они теперь непригодны для использования и нечитаемы.
Только один способ вернуть ваши файлы — это заплатить нам.
Иначе ваши файлы будут потеряны.
Как я могу получить мои файлы обратно?
Только один восстановить их в нормальное состояние — использовать наш сайт для получения вашего ключа дешифровки и пароля
Выполните плавные шаги, чтобы войти в наш сайт:
1. Скачайте и установите Tor-браузер: http://www.torproject.org
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Перейдите на этот сайт, используя только Tor-браузер: pgzhzhje5v7dzrcr.onion
4. Скопируйте ваш ID из файла RECOVERYOURFILES.HTM и вставьте его на сайте
Если вы ищете работу, зайдите на сайт и получить свой собственный Локер.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

После шифрования удаляются исходные файлы, тома теневых копий и точки восстановления системы. В автозагрузку добавляется ссылка на файл WindowsDrivers.exe. 

Список файлов и папок, подвергающихся шифрованию и архивированию:
Все файлы и папки, находящиеся в корне каждого диска. 

Файлы, связанные с WinRarer Ransomware:
YourFilesHere-0penWithWinrar.ace
Runners.exe
RECOVERYOURFILES.HTM
RecoverYourFiles.jpg
RecoverYourFiles3.jpg
RecoverYourFiles4.htm
RecoverYourFiles3.rtf
RecoverYourFiles.bmp
C:\YOUR-locked-FILES\

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 2 декабря 2019:
Фактически то же самое, но ранее у меня не было образца и некоторых файлов. 
Поcт в Твиттере >>
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 ID Ransomware
 Topic on Kaldata
 *
 Thanks: 
 Michael Gillespie, Thyrex, icotonev
 Andrew Ivanov (author)
 CyberSecurity GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Russian Globe

Russian Globe Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп от 0,5 до 1 биткоинов, чтобы вернуть файлы. Название получил от использования новой русскоязычной версии шифровальщика Globe (он же Purge). 

© Генеалогия: Globe > Russian Globe

К зашифрованным файлам добавляется расширение .blackblock.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на русскоязычных пользователей.

Записки с требованием выкупа называются: 
Read Me Please.hta 

Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED!
Your personal ID
*****
Your file have been encrypted with a powerful strain of a virus called ransomware.
Your files are encrypted using the same methods banks and the military use. There is currently no possible way to decrypt files with the private key.
Lucky for you, we can help. We are willing to sell you a decryptor UNIQUELY made for your computer (meaning someone else's decryptor will not work for you). Once you pay a small fee, we will instantly send you the software/info necessary to decrypt all your files, quickly and easily.

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный ID
*****
Ваш файл был зашифрован с помощью мощного штамма вируса называемый вымогатель.
Ваши файлы зашифрованы с использованием методов банков и военных. Сейчас нет никакой возможности для расшифровки файлов с помощью закрытого ключа.
К счастью для вас, мы можем помочь. Мы готовы продать вам декриптор ОДНОЗНАЧНО сделанный для вашего компьютера (т. е. чей-то еще декриптор не будет у вас работать). После вашего платежа небольшой суммы мы сразу же вышлем вам программу / информацию, необходимую для расшифровки всех файлы, быстро и легко.

Email вымогателей: svetlanasuvorenko@india.com

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
.avi, .csv, .dat, .database, .db, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .gif, .h, .ico, .jpe, .jpeg, .jpg, .log, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .pdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .py, .pyc, .rar, .txt, .url, .wav, .wave, .wb2, .wma, .wmv, .wpd, .xls, .xlsb, .xlsm, .xlsx, zip... и многие другие, см. Globe и Globe2.

Файлы, связанные с Russian Globe Ransomware:
locker.exe
Read Me Please.hta 

Записи реестра, связанные с Russian Globe Ransomware:
***
Сетевые подключения:
***
Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 *
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ZeroCrypt

ZeroCrypt Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует выкуп в 10 биткоинов (~$7300) за секретный ключ и 100 биткоинов за программу дешифрования файлов на несколько машин. Название получил от email-адреса вымогателей. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение .zn2016.

Активность этого криптовымогателя пришлась на конец октября 2016 г. Ориентирован на англоязычных пользователей.

Записка с требованием выкупа бросается на рабочий стол и называется: 
ZEROCRYPT_RECOVER_INFO.txt

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-1024 and some secret ciphers.
Decrypting of your files is only possible with the secret key or decryption program, which is on our secret server.
To receive your secret key send 10 BTC on this bitcoin-address:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
The secret key can decrypt the data on a single computer.
To receive your decryption program send 100 BTC on this bitcoin-address:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
The decryption program can decrypt the data on all of your computers.
When you send money, please contact us at this email address:
zerocrypt2016@gmail.com
And attach one of the encrypted file to the letter.

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с помощью RSA-1024 и некоторых секретных шифров.
Дешифрование файлов возможно только с помощью секретного ключа или программы дешифрования, которая есть на нашем секретном сервере.
Чтобы получить секретный ключ отправьте 10 BTC на этот Bitcoin-адрес:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
Секретный ключ может расшифровать данные на одном компьютере.
Для получения вашей программы дешифрования отправьте 100 BTC на этот Bitcoin-адрес:
1KCqVgHEXMw8mhSuz1LWmPSNskARRivY57
Программа дешифрования может расшифровать данные на всех ваших компьютерах.
Когда вы отправите деньги, пожалуйста, свяжитесь с нами по этому email:
zerocrypt2016@gmail.com
И прикрепите один из зашифрованных файлов к письму.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с ZeroCrypt Ransomware:
ManBeCareful.exe
%LOCALAPPDATA%\ZeroCrypt\ManBeCareful.exe
%USERPROFILE%\Desktop\ZEROCRYPT_RECOVER_INFO.txt

Записи реестра, связанные с ZeroCrypt Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Michael Gillespie
 Daniel Gallagher
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *