Если вы не видите здесь изображений, то используйте VPN.

вторник, 6 декабря 2016 г.

GoldenEye

GoldenEye Ransomware 

Petya-3 Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (в режиме CBC), а затем требует выкуп в размере ~1.33-1.34 биткоинов, чтобы вернуть файлы. Название оригинальное. Из результатов анализов видно, что есть ещё оригинальное название проекта: ZoomIt. Фактически это новая вариация крипто-вымогателя Petya+Mischa. Фальш-имена: ESET OnlineScanner, EOS_v2. Разработчик: Janus Cybercrime Solutions.

Обнаружения: 
DrWeb -> Trojan.MBRlock.265
BitDefender -> Trojan.Ransom.BHE, Trojan.GenericKD.3826045
Malwarebytes -> Ransom.Petya
VBA32 -> Trojan.MBRlock
Symantec -> Ransom.Goldeneye

© Генеалогия: PetyaPetya+Misha > GoldenEye > ☠ PetrWrap Petna (Petya NSA EE) 

К зашифрованным файлам добавляется расширение .<random_8_chars>

Логотипы GoldenEye Ransomware

Этимология названия: 
Название получил от советского космического оружия GoldenEye ("Золотой глаз"), которое фигурирует в одном из фильмов о Джеймсе Бонде ("GoldenEye", 1995). 
"Петя" и "Миша" — это названия спутников из этого фильма. В фильме также действует некая преступная группа "Янус", отсюда "имя" разработчика крипто-вымогателя — Janus Cybercrime Solutions. 
Порядковое название данной версии: Petya-3 или Petya 3.0

Активность этого крипто-вымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Вредонос вызывает отказ системы и принудительную перезагрузку. После перезагрузки ПК появляется чёрный экран, где как будто отображается процесс проверки жесткого диска на ошибки (CHKDSK). На самом же деле GoldenEye просто шифрует файлы жертвы. Затем появляется экран, информирующий жертву о произошедшем. 



Содержание текста с экрана:
You became victim of the GOLDENEYE RANSOMWARE!
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser: 
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Enter your personal decryption code there:
ngWPic-*****-eKA9eh
If you already purchased your key, please enter it below.
Key: ___

Перевод на русский:
Вы стали жертвой GOLDENEYE RANSOMWARE!
Жёсткие диски вашего компьютера были зашифрованы с алгоритмом шифрования военного класса. Нет никакого способа, чтобы восстановить ваши данные без специального ключа. Вы можете приобрести этот ключ на странице даркнета, показанной на шаге 2.
Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:
1. Загрузите браузер Tor на "https://www.torproject.org/". Если вам нужна помощь, ищите в Google "access onion page".
2. Зайдите на одну из следующих страниц с Tor-браузером:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Введите ваш персональный код дешифрования там:
ngWPic-*****-eKA9eh
Если вы уже приобрели ключ, пожалуйста, введите его ниже.
Ключ: ___

При переходе на сайт оплаты выкупа жертва должна ввести свой ID, после чего откроются следующие страницы сайта вымогателей. Я сделал анимированное изображение из трёх страниц сайта. 


GoldenEye_Ransomware_site
Страницы сайта оплаты выкупа

Кроме того, есть текстовые записки с требованием выкупа, они называются YOUR_FILES_ARE_ENCRYPTED.TXT и разбрасываются в документах, на рабочем столе и в других папках с зашифрованными файлами. 



Содержание текстовой записки о выкупе:
You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Enter your personal decryption code there: *****

В других записках указаны адреса:
golden5a4eqranh7.onion/Elk4oLEp
goldeny4vs3nyoht.onion/Elk4oLEp
golden5a4eqranh7.onion/xe2r2oo4
goldeny4vs3nyoht.onion/xe2r2oo4

Перевод записки на русский язык:
Вы стали жертвой GOLDENEYE RANSOMWARE!
Файлы на компьютере были зашифрованы с помощью алгоритма шифрования военного класса. Нет способа восстановить ваши данные без специального ключа. Вы можете приобрести этот ключ на странице даркнета, показанной на шаге 2.
Чтобы приобрести ключ и восстановить данные, сделайте следующие три простых шага:
1. Загрузите браузер Tor с "https://www.torproject.org/". Если вам нужна помощь, ищите в Google "access onion page".
2. Зайдите на одну из следующих страниц с Tor-браузером:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Введите ваш персональный код дешифрования здесь: *****


Технические детали

Распространяется с помощью email-спама, фишинга и вредоносных вложений, в частности вредоносного файла с названиями "Bewerbung.xls" и им подобными: Wiebold-Bewerbung.xls, Meinel-Bewerbung.xls, Seidel-Bewerbung.xls, Wüst-Bewerbung.xls, Born-Bewerbung.xls, Schlosser-Bewerbung.xls ...

➤ Письмо приходит якобы от rolf.drescher@, что на самом деле неправда. На момент написания статьи сообщалось о пострадавших в Германии и немецкоговорящих пользователях. Пример, см. ниже. 



При открытии жертве отображается следующая таблица Excel-документа, содержащего вредоносный макрос, который и устанавливает на ПК шифровальщик GoldenEye, см. пример ниже.



Если пользователь разрешит использование макроса, то сработает сценарий, вредонос будет сохранён в папку Temp и автоматически запущен на исполнение — начнётся процесс шифрования файлов.

➤ Для каждого зашифрованного файла GoldenEye добавляет случайное расширение, состоящее из 8 символов: .<random_8_chars>

➤ В перспективе GoldenEye может начать распространяться и с помощью эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. В том числе может поменять вложение на PDF-EXE-файл. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

➤ Основное отличие GoldenEye от Mischa в том, что предшественник ставился после того, как не мог установиться Petya (MBR буткит), а сегодняшний GoldenEye сначала ставится сам, шифрует файлы, а уже потом пытается установить MBR-буткит для шифрования MFT (Master File Table) диска после перезагрузки ПК с помощью алгоритма Salsa20

➤ Важное замечание! Вымогатель сделан так, что выкуп нужно уплатить не откладывая и не выключая ПК, иначе вступит в работу MBR-буткит и при перезагрузке или последующем включении ПК начнётся процесс шифрования MFT диска. Не факт, что вымогатель будет ждать, когда вы сделаете платёж, а не вызовет принудительную перезагрузку системы, чтобы причинить гарантированно больший ущерб системе и пользовательским данным. Нельзя доверять вымогателям! 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .ddspspimage, .default, .der, .dfm, .dib, .directory, .disc, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .fff, .flv, .frm, .gfx, .gif, .gzip, .h, .htm, .html, .idl, .iiq, .indd, .inf, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpegB, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lit, .localstorage, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p12, .p7b, .p7c, .pagesN, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf$, .tga, .tiff, .toast, .ts, .txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip (236 расширений). 

Это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.TXT
rad[5_chars].exe (например: radF1016.exe, radBA016.exe, radF3E9A.exe)
netdde.exe
dfrgui.exe
core.dll
elevate_x86.dll
elevate_x64.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
goldenhjnqvc211d.onion/ngWPic5x
golden2uqpiqcs6j.onion/ngUPic5x
golden5a4eqranh7.onion/Elk4oLEp
goldeny4vs3nyoht.onion/Elk4oLEp



Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ на EXE>>  Ещё >> Ещё >>
VirusTotal анализ на DLL >>
Malwr анализ >>
Malwr анализ >>
Symantec: Ransom.Goldeneye >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Petya Ransomware
Petya+Misha (Petya-2) Ransomware
GoldenEye (Petya-3) Ransomware
PetrWrap Ransomware
Petna (Petya NSA EE, Petna, NotPetya, NonPetya, Nyetya) Ransomware
Bitch (Modified Green Petya) Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Образец от 29 мая 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .shRwny89
Записка: YOUR_FILES_ARE_ENCRYPTED.TXT
Tor URL:
hxxxp://golden5a4eqranh7.onion/shRwny89
hxxxp://goldeny4vs3nyoht.onion/shRwny89
Результаты анализов: VT + VT + AR

Обновление от 30 декабря 2019:
Пост в Твиттере >>Расширение: .qBriNoe7
Записка:  YOUR_FILES_ARE_ENCRYPTED.TXT
Файл: p2phost.exe
Результаты анализов: VT + AR / VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.15079
BitDefender -> Gen:Variant.Ransom.GoldenEye.12
ESET-NOD32 -> Win32/Diskcoder.Petya.E
Malwarebytes -> Ransom.Petya
Symantec -> ML.Attribute.HighConfidence
---
➤ Образец похож на тот, что был представлен 29 мая 2019 (выше). 
➤ Содержание записки: 
You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for
   "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://golden5a4eqranh7.onion/qBriNoe7
xxxx://goldeny4vs3nyoht.onion/qBriNoe7
3. Enter your personal decryption code there: qBriNoe7XQzydFkP9rKWjPBiXM52J7L9JgRi3H52y3nH7XV9yeq57LCFKypxUHuY*** [всего 96 знаков]




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GoldenEye)
 Write-up + Write-up
Added later:
Write-up on BC (add. on December 7, 2016)
Write-up on Malwarebytes (add. on Dec. 15, 2016)
Video review
 Thanks: 
 Fabian A. Scherschel + CERT-Bund
 Michael Gillespie, Andrew Ivanov
 hasherezade
 Catalin Cimpanu
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 5 декабря 2016 г.

Sage

Sage Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на Tor-сайт, чтобы уплатить выкуп в биткоинах и получить инструкции, как вернуть файлы. Сумма выкупа: нефиксированные ~0,74 BTC с долями или $545. По истечении 148 часов сумма выкупа удвоится. 

Название вымогателя упомянуто в записке о выкупе, используется в добавляемом расширении и на сайте оплаты. Внутреннее имя исполняемого файла: Qavluqk (так было записано какое-то корейское слово). 

© Генеалогия: Cry (CryLocker) > Sage

К зашифрованным файлам добавляется расширение .sage

Активность этого криптовымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
!Recovery_<6_chars>.txt, например: !Recovery_AVuKmu.txt
!Recovery_<6_chars>.html, например: !Recovery_AVuKmu.html

Они разбрасываются на каждом диске, в документах и на рабочем столе. 
Содержание текстовой записки о выкупе:
=== WARNING!
YOUR DOCUMENTS, DATABASES, PROJECT FILES, AUDIO AND VIDEO CONTENT AND OTHER CRITICAL FILES HAVE BEEN ENCRYPTED WITH A PERSISTENT MILITARY-GRADE CRYPTO ALGORITHM
...How did this happen?
Specially for your PC was generated personal 4096 bit RSA key, both public and private.
All your files have been encrypted with the public key.
Decrypting of your files is only possible with the help of the private key and de-crypt program.
...What do I do?
Don't wait for a miracle and the price doubled!
Start obtaining Bitcoin now and restore your data easy way!
=== If you HAVE REALLY VALUABLE DATA, you better NOT WASTE YOUR TIME, because there is NO OTHER WAY to get your files, EXCEPT MAKE A PAYMENT 
...Your personal ID: *****
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 - http://qbxeaekvg7o3lxnn.onion.to
2 - http://qbxeaekvg7o3lxnn.onion.cab
3 - http://qbxeaekvg7o3lxnn.onion.city
...What should you do with these addresses?
1.  Take a look at the first address (in this case it is http://qbxeaekvg7o3lxnn.onion.to);
2.  Select it with the mouse cursor holding the left mouse button and moving the cursor to the right;
3.  Release the left mouse button and press the right one;
4.  Select "Copy" in the appeared menu;
5.  Run your Internet browser (if you do not know what it is run the Internet Explorer);
6.  Move the mouse cursor to the address bar of the browser (this is the place where the site address is written);
7.  Click the right mouse button in the field where the site address is written;
8.  Select the button "Insert" in the appeared menu;
9.  Then you will see the address http://qbxeaekvg7o3lxnn.onion.to appeared there;
10. Press ENTER;
11. The site should be loaded; if it is not loaded repeat the same instructions with the second address and continue until the last address if falling.
...
If for some reason the site cannot be opened check the connection to the Internet.
Unfortunately these sites are short-term since the antivirus companies are interested in you do not have a chance to restore your files but continue to buy their products.
Unlike them we are ready to help you always.
If you need our help but the temporary sites are not available:
1.  Run your Internet browser (if you do not know what it is run the Internet Explorer);
2.  Enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3.  Wait for the site loading;
4.  On the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5.  Run Tor Browser;
6.  Connect with the button "Connect" (if you use the English version);
7.  A normal Internet browser window will be opened after the initialization;
8.  type or copy the address http://qbxeaekvg7o3lxnn.onion in this browser address bar;
9.  Press ENTER;
10. The site should be loaded; if for some reason the site is not loading wait for a moment and try again
===
!!! IMPORTANT !!!
Be sure to copy your personal ID and the instruction link to your notepad not to lose them. 

Перевод на русский язык:
=== ВНИМАНИЕ!
Ваши документы, базы, файлы проектов, аудио- и видео-контент, и другие критически важные файлы были зашифрованы с помощью криптостойкого военного класса алгоритма
...Как это произошло?
Специально для вашего ПК был создан личный 4096-битный RSA ключ, как открытый, так и закрытый.
Все ваши файлы были зашифрованы с помощью открытого ключа.
Дешифрование файлов возможно только с помощью закрытого ключа и декриптора.
...Что мне делать?
Не ждать чуда, а то цена удвоится!
Сначала получите Bitcoin и восстановить данные станет просто!
=== Если ваши данные реально ценны, то лучше не тратьте свое время, т.к. нет никакого другого способа получить ваши файлы, кроме внести платеж
... Ваш персональный ID: *****
Для подробных инструкций, пожалуйста, посетите вашу личную страницу, есть несколько разных адресов, указывающих на вашу страницу ниже:
1 - хттп://qbxeaekvg7o3lxnn.onion.to
2 - хттп://qbxeaekvg7o3lxnn.onion.cab
3 - хттп://qbxeaekvg7o3lxnn.onion.city
... Что вы должны делать с этими адресами?
1. Посмотрите на первый адрес (в данном случае это хттп://qbxeaekvg7o3lxnn.onion.to);
2. Выделите ее курсором мыши, удерживая левую кнопку мыши и перемещая курсор вправо;
3. Отпустите левую кнопку мыши и нажмите одну правую;
4. Выберите "Копировать" в появившемся меню;
5. Запустите интернет-браузер (если вы не знаете, что он запускается в Internet Explorer);
6. Переместите курсор мыши в адресную строку браузера (это место, где пишется адрес сайта);
7. Щелкните правой кнопкой мыши в поле, где написан адрес сайта;
8. Нажмите кнопку "Вставить" в появившемся меню;
9. После этого вы увидите адрес хттп://qbxeaekvg7o3lxnn.onion.to что появится там;
10. Нажмите кнопку ENTER;
11. Сайт должен быть загружен; если он не загружен повторите те же самые инструкции со вторым адресом и продолжайте до последнего адреса, если попытки неудачны.
...
Если по каким-либо причинам сайт не может быть открыт, проверьте подключение к Интернету.
К сожалению, эти сайты краткосрочные, т.к. антивирусные компании заинтересованы в том, вы не получили шанс восстановить ваши файлы, но продолжали покупать их продукцию.
В отличие от них мы готовы помочь вам всегда.
Если вам нужна наша помощь, но временные сайты не доступны:
1. Запустите интернет-браузер (если вы не знаете, что он запускается в Internet Explorer);
2. Введите или скопируйте адрес хттпs://www.torproject.org/download/download-easy.html.en в адресной строке вашего браузера и нажмите ENTER;
3. Дождитесь загрузки сайта;
4. На сайте вам будет предложено загрузить Tor Browser; скачать и запустить его, следуйте инструкциям по установке, подождите, пока установка не будет завершена;
5. Запустите Tor Browser;
6. Соедините с помощью кнопки "Connect" (если вы используете английскую версию);
7. Обычно окно интернет-браузера будет открыто после инициализации;
8. Введите или скопируйте адрес хттп://qbxeaekvg7o3lxnn.onion в этом адресной строке браузера;
9. Нажмите кнопку ENTER;
10. Сайт должен быть загружен; если по каким-то причинам сайт не загружается, подождите минуту и ​​повторите попытку
===
!!! ВАЖНО !!!
Обязательно скопируйте свой личный ID и ссылку инструкции в ваш блокнот, чтобы не потерять их.

Информатором жертвы также выступает изображение <6 chars>.bmp, встающее обоями рабочего стола (красный текст на чёрном фоне). 
Содержание текста с экрана:
ATTENTION!
Sage encrypted all your files!
All your files, images, videos, and databases were encrypted and made inaccessible by software known as Sage.
You have no chance to restore the files without our help.
But if you follow our instructions files can be restored easily.
Instructions on how to get your files back are stored on every disk, in your documents and on your desktop.
Look for files !Recovery_2g0zr9.txt and !Recovery_2g0zr9.html
If you can't find this files, use the program "Tor Browser“(you can find it in Google) to access the (onion)web site http://qbxeaekvg7o3lxnn.onion to get your instructions.

Перевод записки на русский язык:
ВНИМАНИЕ!
Sage зашифровал все файлы!
Все ваши файлы, изображения, видео и базы данных зашифрованы и сделаны недоступными программой, известной как Sage.
У вас нет шансов восстановить файлы без нашей помощи.
Но если вы будете следовать нашим инструкциям, файлы можно легко восстановить.
Инструкции о том, как получить файлы обратно, хранятся на каждом диске в ваших документах и на рабочем столе.
Ищите файлы !Recovery_2g0zr9.txt и !Recovery_2g0zr9.html
Если вы не можете найти эти файлы, используйте программу "Tor Browser" (вы можете найти его в Google), чтобы получить доступ к (onion)веб-сайту http://qbxeaekvg7o3lxnn.onion, чтобы получить ваши инструкции.

На onion-сайте вымогателей информация предоставляется только после ввода ID. Далее открывается информация об условиях выкупа, оплате, тест-дешифровке, инструкции на декриптор, поддержке. 
Коллаж из страниц сайта оплаты. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Прописывается в автозагрузку Windows. 
Создаёт задание для планировщика Windows
Удаляет образцы изображений и музыки из Sample Pictures и Sample Music. 
После шифрования удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<6_chars>.bmp
<random>.exe
<random>.tmp и <random_8_chars>.tmp
C:\Temp\lol.txt
%TEMP%\0.tmp
%TEMP%\1.tmp
<random>.lnk и <random_8_chars>.lnk
<random>.html
%USERPROFILE%\Application Data\<random>.exe
%USERPROFILE%\Application Data\<random>.tmp
%USERPROFILE%\Start Menu\Programs\Startup\<random>.lnk
Sage_Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения и связи:
translate.google.com
maps.googleapis.com
qbxeaekvg7o3lxnn.onion
torproject.org/download/download-easy.html.en
qbxeaekvg7o3lxnn.onion.to
qbxeaekvg7o3lxnn.onion.cab
qbxeaekvg7o3lxnn.onion.city
+ много адресов: 7698 соединений на порт 13655 (Южная Корея, Сингапур, США, Иордания, Ливан, Германия, Испания, Чехия, Норвегия, Россия, Великобритания, Эстония)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Malwares анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 14 декабря 2016:
Файл: <random>_rad86EF3.tmp.kaf
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryLocker)
 Write-up
 *
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Locky-Osiris

Locky-Osiris Ransomware

(шифровальщик-вымогатель, версия 2016 года)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2-3 BTC, чтобы вернуть файлы. Оригинальное название: Locky. По факту это новая итерация Locky. На файле может быть написано что угодно. 
Locky-Osiris
This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: Locky > Locky-Osiris (версия 2016 года) > Locky-Osiris 2017

К зашифрованным файлам добавляется расширение .osiris
Зашифрованные файлы переименовываются по следующему шаблону:
фактически: [first_8_chars_of_id] - [next_4_chars_of_id] - [next_4_chars_of_id] - [8_hexadecimal_chars] - [12_hexadecimal_chars].osiris
кратко: [8_chars_ID] - [4_chars_ID] - [4_chars_ID] - [8_hex_chars] - [12_hex_chars].osiris

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
DesktopOSIRIS.htm
DesktopOSIRIS.bmp
OSIRIS-<4_chars>.htm
OSIRIS-<4_chars>.bmp

Другим информатором выступает скринлок, встающий обоями рабочего стола.
 
 
Комбинации требований о выкупе (htm и bmp)

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wiki pedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/A5ZQW54T4KN*****
4. Follow the instructions on the site.
!!! Your personal identification ID: A5ZQW54T4KN***** !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Более подробную информацию о RSA и AES можно найти здесь:
   xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
   xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Дешифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которая находится на нашем секретном сервере.
Чтобы получить свой закрытый ключ, следуйте по одной из ссылок:
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный ID: A5ZQW54T4KN***** !!!

Другим информатором выступает Tor-сайт вымогателей, для входа на который требуется ввести ID. 
Скриншот требований за "Locky Decryptor" с Tor-сайта

Содержание текста страницы на Tor-сайте:
Locky Decryptor™
We present a special software - Locky Decryptor™ -
which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™?
    You can make a payment with BitCoins, there are many methods to get them.
    You should register BitCoin wallet:
    Simplest online wallet or Some other methods of creating wallet
    Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
    Here are our recommendations:
    localbitcoins.com (WU) Buy Bitcoins with Western Union.
    coincafe.com Recommended for fast, simple service.
    Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
    localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
    cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
    btcdirect.eu The best for Europe.
    bitquick.co Buy Bitcoins instantly for cash.
    howtobuybitcoins.info An international directory of bitcoin exchanges.
    cashintocoins.com Bitcoin for cash.
    coinjar.com CoinJar allows direct bitcoin purchases on their site.
    anxpro.com
    bittylicious.com
    Send 3.00 BTC to Bitcoin address:
    131xQfmfRhyNQdEYamPUC313FmPYroeRKL
    Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
    Date Amount BTC Transaction ID Confirmations
    not found
    Refresh the page and download decryptor.
    When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.

Примечательно, что требования о выкупе мультиязычны (30 языков), но отсутствуют языки союзных республик бывшего СССР. 

Список языков:
Български
Català
Čeština
Dansk
Deutsch
Ελληνικά
English
Español
Suomi
Français
हिन्दी
Hrvatski
Magyar
Italiano
日本語
한국어
Bahasa Melayu (بهاس ملايو)
Nederlands
Norsk bokmål
Polski
Português
Slovenčina
Српски
Svenska
Türkçe
中文
עברית
العَرَبِية
ไทย
Tiếng Việt

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (js и dll), обманных загрузок, эксплойтов (RigEK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Вложенный файл может иметь нетрадиционные расширения, например, вместо .dll или .js это может быть расширение .spe

После успешной загрузки вредоносный файл, например eftrPKltKvb.spe, активируется через rundll32.exe с помощью команды:
"C:\Windows\System32\rundll32.exe"
C:\Users\User.Name\AppData\Local\Temp\eftrPK~1.spe,0hGQpkMN34kl22tyKmdeTr
Rundll32.exe, запускающий установку Locky

После запуска Locky-Osiris начинает шифровать файлы, а затем отображает требования о выкупе с использованием браузера по умолчанию или Firefox.

В коде текущей версии есть небольшая ошибка, которая неправильно называет записки о выкупе (htm и bmp).

Теневые копии файлов удаляются, но иногда этот процесс работает некорректно, потому теневые копии могут оказаться целы.  
Защита от запуска на виртуальных машинах работает с ошибками. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DesktopOSIRIS.htm
DesktopOSIRIS.bmp
OSIRIS-<4_chars>.htm
OSIRIS-<4_chars>.bmp
<random>.exe
<random>.tmp
Invoice_Inv[random_numbers].xls 
Item-Delivery-Details-00659753.doc.wsf
Item-Delivery-Details-00659753.doc.wsf.bin

Расположения:
\DesktopOSIRIS.bmp или OSIRIS.bmp
\DesktopOSIRIS.htm или OSIRIS.htm
C:\Users\User\AppData\Local\Temp\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
babypbshop.ru/***
partnerbrasilia.com.br/***
www.6c.com.co/counter/***
otpugivatel.by/counter/***
med-lex.com/***
offie.nl/***
и другие
***g46mbrrzpfszonuk.onion
BTC: 131xQfmfRhyNQdEYamPUC313FmPYroeRKLСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >> Ещё >> Ещё >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Locky)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, R0bert R0senb0rg‏ 
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

пятница, 2 декабря 2016 г.

SQ_, VO_

SQ_ Ransomware 

VO_ Ransomware 

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES и RSA-1024, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы. Название SQ_ было известно c июля 2015. VO_ — это новая итерация того же вымогателя. 

© Генеалогия: SQ_ >> VO_ > nk_

К зашифрованным файлам добавляется приставка VO_

Активность новой версии этого криптовымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных и корейскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: VO_ IN DOCUMENTS..txt
Содержание записок о выкупе со времён SQ_ изменилось. 

Содержание записки о выкупе (первая часть на английском):
Good morning. Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures, files and documents on the computer. Your important files encryption produced on this computer: videos, photos, documents, etc. 
Encryption was produced using unique public key RSA-1024 generated for this computer. To decrypt files you need to obtain the private key.
All encrypted files contains VO_
Your number: 338888409888891
To obtain the program for this computer, which will decrypt all files, you need to pay 4 bitcoins on our bitcoin address 1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 (today 1 bitcoin was 260 USA dollars). Only we and you know about this bitcoin address.
You can check bitcoin balanse here -  https://www.blockchain.info/address/1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2
After payment send us your number on our mail pwwu@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 hours)
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your garantee that we have decryption tool. And send us your number with attached file.
We dont know who are you. All what we need - it's some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter (for example if you use hotmail.com or outlook.com
it can block letter, SO DON'T USE HOTMAIL.COM AND OUTLOOK.COM. You need register your mail account in www.ruggedinbox.com (it will takes 1..2 minutes) and write us again)
You can use one of that bitcoin exchangers for transfering 
bitcoin.https://www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
You dont need install bitcoin software - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.

Содержание записки о выкупе (вторая часть на корейском):
컴퓨터가 랜섬웨어에 의해 잠겨 있습니다 개인 파일은 암호화되며, 당신은 불행하게도 모든 사진을 "손실"한
컴퓨터 파일과 문서. 중요한 파일 암호화는이 컴퓨터에 생성 : 동영상, 사진, 문서 등
암호화는이 컴퓨터에 생성 된 고유 공개 키 RSA-1024을 사용하여 제조 하였다. 파일의 암호를 해독하려면 개인 키를 획득해야합니다.
모든 암호화 된 파일은 VO_
을 포함
전화 번호 : 338888409888891
모든 파일의 암호를 해독 할,이 컴퓨터 프로그램을 구하려면, 당신은 지불 할 필요가
우리의 비트 코인 주소 1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 에서 4 bitcoins (오늘 1 비트 코인은 260 이었다). 단지 우리와이 비트 코인 주소에 대해 알고.
https://www.blockchain.info/address/1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 - 여기 balanse을 비트 코인 확인할 수 있습니다
지불 한 것은 (당신은 단지 필요를 실행하고 모든 파일이 1..3 시간 동안 암호를 해독 할 것이다) 우리의 메일 pwwu@ruggedinbox.com 우리에게 전화 번호를 보내 우리는 당신에게 암호 해독 도구를 보내드립니다
지불하기 전에 당신은 우리에게 하나의 작은 파일 (100..500 킬로바이트)를 보낼 수 있습니다 우리는 암호를 해독합니다 - 우리가 해독 도구가 당신의 garantee입니다. 그리고 첨부 파일로 우리에게 번호를 보내.
우리는 당신을 누구 잘 모릅니다. 모든 우리는 필요 - 그것은 돈이다.
우리는 24 시간에 당신을 응답하지 않는 경우 당황하지 마십시오. 그것은 당신이 사용하는 경우 우리가 (예를 들어, 당신의 편지를받지 않았 음을 의미 hotmail.com 또는 outlook.com
이 편지를 차단할 수 있습니다, 그래서 HOTMAIL.COM 및 OUTLOOK.COM를 사용하지 마십시오. 당신은 (그것을 것 1..2 분 소요) www.ruggedinbox.com에 메일 계정을 등록하고 우리를 다시 작성해야합니다)
당신은 비트 코인 전송하는 비트 코인 기 중 하나를 사용할 수 있습니다.
https://www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
당신은 그나마 비트 코인 소프트웨어를 설치해야합니다 - 당신이 필요로하는 단지 당신이 당신의 나라를 위해 www.google.com을 찾을 수있는이 기 또는 다른 교환기 중 하나를 사용합니다.
당신의 편지에서 영어를 사용하십시오. 당신이 영어를 못하는 경우 영어에 당신의 편지를 번역하는 https://translate.google.com를 사용합니다

Перевод записки на русский язык:
Доброе утро. Ваш компьютер был заблокирован вымогателем, ваши личные файлы зашифрованы, и вы, к сожалению, "потеряли" все ваши фото, файлы и документы на компьютере. Важные файлы зашифрованные на этом компьютере: видео, фото, документы и т.д.
Шифрование было произведено с использованием уникального открытого ключа RSA-1024, сгенерированный для этого компьютера. Для расшифровки файлов вам нужно получить закрытый ключ.
Все зашифрованные файлы содержат VO_
Ваш номер: 338888409888891
Чтобы получить программу для этого компьютера, который расшифрует все файлы, вам нужно оплатить 4 биткоина на наш Bitcoin адрес 1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 (сегодня 1 биткоин был равен 260 долларам США). Только мы и вы знаем об этом Bitcoin адресе.
Вы можете проверить баланс Bitcoin здесь - https://www.blockchain.info/address/1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2
После оплаты пришлите нам свой номер на нашу email pwwu@ruggedinbox.com и мы вышлем вам инструмент дешифрования (вам нужно только запустить его и все файлы будут расшифрованы в течение 1...3 часов)
Перед оплатой вы можете отправить нам один небольшой файл (100..500 килобайт) и мы его расшифруем - это ваша гарантия, что у нас есть инструмент дешифрования. И пришлите нам свой номер с вложенным файлом.
Мы не знаем, кто вы. Все, что нам нужно - это какие-то деньги.
Не паникуйте, если мы не ответим вам в течение 24 часов. Это значит, что мы не получили ваше письмо (например, если вы используете hotmail.com или outlook.com. он может блокировать письмо, НЕ ИСПОЛЬЗУЙТЕ HOTMAIL.COM И OUTLOOK.COM. Вам необходимо зарегистрировать аккаунт mail в www.ruggedinbox.com (это займёт 1..2 минут) и напишите нам снова)
Вы можете использовать один из этих Bitcoin обменников для передачи
bitcoin.https: //www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
Вам не нужно устанавливать программу Bitcoin - вам только нужно использовать один из этих обменников или другой обменник, которые вы можете найти в www.google.com для вашей страны.
Пожалуйста, используйте английский язык в ваших письмах. Если вы не говорите по-английски, то используйте https://translate.google.com, чтобы перевести ваше письмо на английский язык.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
VO_ IN DOCUMENTS..txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.

Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 апреля 2017:
Пост в Твиттере >>
Добавление к файлам: nk_
Записка: NK_ IN YOUR FILES..txt
Содержание записки на английском и корейском:
Расположение текста в записках было сильно растянуто. Для представления скриншотов я собрал текст в строки. 

Обновление от 28 декабря 2017:
Пост в Твиттере >>
Добавление к файлам: BA_
Записка: BA_ IN YOUR FILES..txt
BTC: 1KPKRsgtFHLnAV6VMuVPh5XhReh3w5FzsJ
Расположение текста в записках было сильно растянуто. Для удобства представления скриншота записки я собрал текст в строки. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SQ_)
 Topic on BC
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *