Если вы не видите здесь изображений, то используйте VPN.

среда, 29 марта 2017 г.

Pr0tector

Pr0tector Ransomware

Sorebrect Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .pr0tect

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Сначала распространялся в ближневосточных странах (Кувейт, Ливан). Но к началу мая уже был в Канаде, Китае, Тайване, Японии, Хорватии, Италии, Мексике, России, США. 

Записки с требованием выкупа называются: READ ME ABOUT DECRYPTION.txt
Pr0tector Ransomware

Содержание записки о выкупе:
Your files were encrypted.
Your personal ID is: PCHOSTNAME#601E1*****470
To buy private key for unlocking files please contact us:
pr0tector@india.com
pr0tector@tutanota.com
Please include the ID above.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Ваш личный ID: PCHOSTNAME # 601E1*****470
Чтобы купить закрытый ключ для разблока файлов, напишите нам:
pr0tector@india.com
pr0tector@tutanota.com
Включите ID, что выше.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует возможности легитимной утилиты PsExec, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Он активно развертывает PsExec и выполняет инъекцию кода. Потом инжектирует свой код в системный процесс svchost.exe, чтобы далее легитимно шифровать файлы. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ ME ABOUT DECRYPTION.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
pr0tector@india.com
pr0tector@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Pr0tector)
 Write-up by TrendMicro, Topic
 * 
 Thanks: 
 Michael Gillespie
 Buddy Tancio (TrendMicro)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 28 марта 2017 г.

AnDROid

AnDROid Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателем, чтобы вернуть файлы. Оригинальные названия: AnDROid и Encrypt Ransome. Разработчик: humanpuff69. Код разблокировки: 62698b8ff9e416d9a7ac0fb3bd548b96
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid / FTSCoder >> AnDROid

К зашифрованным файлам добавляется расширение .android

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.
AnDROid Ransomware 
Скриншот экрана блокировки

AnDROid Ransomware
Анимированное изображение "говорящего" черепа


Содержание текста о выкупе:
Hy, sorry your files has been encrypted.
But, not all your file encrypted
Klick "Contact Me" and i will give your key.
"Contact Me"
Contact Me:
Facebook: www.facebook.com/rn.sanjay.qm

Перевод текста на русский язык:
Извините, ваши файлы зашифрованы.
Но не все ваши файлы зашифрованы
Клик "Связь со мной" и я отдам свой ключ.
Связь со мной:
Facebook: www.facebook.com/rn.sanjay.qm

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AnDROid.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.facebook.com/rn.sanjay.qm
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать декриптер для AnDROid Ransomware >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Stupid Ransomware, old ID as AnDROid)
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

R, NMoreira3

R Ransomware

NMoreira3 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 / RSA-2048, а затем требует выкуп в 1-2 биткоина, чтобы вернуть файлы. Оригинальное название: R. Новой итерацией этого крито-вымогателя является NM4 Ransomware
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: NMoreira > NMoreira 2.0 > R (NM3) > NM4

К зашифрованным файлам добавляется расширение .R или без расширения. 

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Ransomware.txt

Содержание записки о выкупе:
Encrypted files!
All your files are encrypted. Using AES256-bit encryption and RSA-2048-bit encryption.
Making it impossible to recover files without the correct private key.
If you are interested in getting is the key and recover your files You should proceed with tne following steps.
The only way to decrypt your files safely is to buy the Descrypt and Private Key software.
Any attempts to restore your files with the third-party software will be fatal for your files!
To proceed with the purchase you must access one of the link below
xxxxs://rvneiqch7moech7j.onion.to/
xxxxs://rvneiqch7moech7j.onion.link/
If neither of the links is online for a long period of time, there is another way to open it, you should install the Tor Browser
If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor Browser:
1. run your internet browser (if you do not know what it is run the internet Explorer);
2. enter or copy the address xxxxs://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. wait for the site loading;
4. on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. run Tor Browser;
6. connect with the button 'Connect' (if you use the English version);
7. a normal internet browser window will be opened after the initialization;
8. type or copy the address
xxxxs://rvneiqch7moech7j.onion in this browser address bar;
9. press ENTER;
10. the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
If you have any problems during installation or use of Tor Browser, please, visit https://www.youtube.com and type request in the search bar 'Install Tor Browser Windows' and you will find a lot of training videos about Tor Browser installation and use.
Your Key: ***

Перевод записки на русский язык:
Зашифрованы файлы!
Все ваши файлы зашифрованы. Использовано AES256-бит шифрование и RSA-2048-бит шифрование.
Делает невозможным восстановление файлов без правильного закрытого ключа.
Если вы заинтересованы в получении ключа и восстановлении ваших файлов Вы должны выполнить следующие шаги.
Единственный способ безопасно расшифровать ваши файлы - это купить программу Descrypt и закрытый ключ.
Любые попытки восстановить ваши файлы с помощью сторонней программы будут фатальны для ваших файлов!
Чтобы продолжить покупку, вы должны получить доступ к одной из приведённых ниже ссылок
xxxxs://rvneiqch7moech7j.onion.to/
xxxxs://rvneiqch7moech7j.onion.link/
Если ни одна из ссылок не находится в сети долгое время, то есть один способ ее открыть, вам надо установить Tor Browser.
Если ваша личная страница недоступна долгое время, есть еще один способ открыть вашу личную страницу - установка и использование Tor Browser:
1. запустите свой интернет-браузер (если вы не знаете какой, запустите Internet Explorer);
2. Введите или скопируйте адрес xxxxs://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
3. дождитесь загрузки сайта;
4. на сайте вам будет предложено скачать Tor Browser; Загрузите и запустите его, следуйте инструкциям по установке, дождитесь завершения установки.
5. запустите Tor Browser;
6. подключитесь кнопкой 'Connect' (если вы используете английскую версию);
7. после инициализации откроется обычное окно интернет-браузера;
8. Введите или скопируйте адрес
xxxxs://rvneiqch7moech7j.onion в адресную строку браузера;
9. нажмите ENTER;
10. сайт должен быть загружен; Если по какой-либо причине сайт не загружается, подождите минуту и ​​повторите попытку.
Если у вас возникли проблемы при установке или использовании Tor Browser, посетите https://www.youtube.com и введите запрос в строке поиска «Установить браузер Tor Browser», и вы найдете много обучающих видео о Tor-браузере по установке и использовании.
Ваш ключ: ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Страницы с сайта оплаты


 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
rvneiqch7moech7j.onion
rvneiqch7moech7j.onion.to
rvneiqch7moech7j.onion.link
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Team XRat Ransomware - август 2016 
NMoreira Ransomware - ноябрь 2016
NMoreia 2.0 Ransomware - январь 2017
R Ransomware - март 2017
NM4 Ransomware - апрель 2017




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 27 марта 2017 г.

FileFrozr

FileFrozr Ransomware

FrozrLock Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель распространяется как крипто-строитель (crypto-builder) и RaaS (вымогатель-как-услуга). По заявлениями разработчиков шифрует данные с помощью AES-256 + RSA-4096. Оригинальное название: FileFrozr. Разработчик и распространитель: frozr (frozt).
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: FileFrozr. Начало > FrozrLock


 

Появление этого крипто-вымогателя пришлось на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Скриншоты и описание


Содержание текста из описаниях на форумах:
FILE FROZR is a great security tool that encrypts most of your files in several minutes.
Fast, stable, and affordable crypto-locker.
Auto-buy, low price, undetectable load while working, TOR support, 250+ extensions, unmatched support, multithreaded, online builder, server side obfuscation. Bypass BitDefender and Malwarebytes Anti-Ransomware.
Encrypts user data using safe implemented AES-256 and RSA-4096, each file encrypts with it own unique key.
50$ Discount on sales start!

Перевод текста на русский язык:
FILE FROZR - * инструмент *, который шифрует большую часть ваших файлов за несколько минут.
Быстрый, стабильный и доступный криптолокер.
Автопокупка, низкая цена, легкость во время работы, поддержка TOR, более 250 расширений 250, * поддержка, многопоточный, онлайн-разработка, обфускация на стороне сервера. Обход BitDefender и Malwarebytes Anti-Ransomware. 
Шифрует данные пользователя безопасными шифрами AES-256 и RSA-4096, каждый файл шифруется своим уникальным ключом.
50$ Скидка при старте продаж!

Звёздочка (*) в переводе скрывает хвалебные эпитеты. 


 
Скриншоты с форумов, содержащих описание FileFrozr


 Скриншоты начальной страницы tor-сайта

 Скриншоты страницы обновлений и покупки лицензии tor-сайта

Содержание текста из описаниях на tor-сайте:
FILE FROZR is a great security tool that encrypts most of your files in several minutes.
First month discount -50$! Until 31.03.2017 
Coded from scratch
FILE FROZR is coded from startch in C#, no public sources were used. This makes FILE FROZR fully undetectable. Tested with Bitdefender Anti-Ransomware and MalwareBytes Antiransomeware. All builds are obfuscated at our servers. This prevrents original sources from being detected.
Affordable and ready to use "Out of the box"
Unlimited rebuilds, low price, panel with built in payment processor, AES256, RSA4096, and unique keys randomly generated for each file guaranting super strong security of files. Builds are obfuscated and crypted at our servers, no aditional crypting etc. required.
No need of vps
Panel using trusted Bitcoin processor so there is no need to set vps with BitcoinID. TOR support and low value of transfering data makes panel totally anonymous.
Support
If you need support in the installation of the panel, configuration of FILE FROZR or any other help, feel free to communicate us by following contacts:
Tox Id: C216445DDE28F475A725941F75D3FBA52F83D8C7EA774F03161C90ABA3F16768D4B4ADE77817
E-mail support: filefrozr@protonmail.com
Updates 
Roadmap
Features to add:
End of March / early April
Wipe clean space
Speech
Twofish, CAST-6, RC4
Offline version
ASP.NET panel
User suggested features
UAC Bypass
Obfuscator updated 

Перевод текста на русский язык:
FILE FROZR - * инструмент *, который шифрует большую часть ваших файлов за несколько минут.
Скидка за первый месяц -50$! До 31.03.2017
Кодирование с нуля
FILE FROZR кодирован из startch в C #, без открытых источников. Это делает FILE FROZR полностью незаметным. Протестировано с помощью антивирусного ПО Bitdefender Anti-Ransomware и MalwareBytes. Все сборки обфусцированы на наших серверах. Это исключает возможность обнаружения исходных источников.
Готовый к использованию «из коробки»
Неограниченные пересборки, низкая цена, панель со встроенным процессором оплаты, AES256, RSA4096 и уникальные ключи, генерируемые случайным образом для каждого файла, гарантирующие сверхсильную безопасность файлов. Сборка запущена и зашифрована на наших серверах, не требуется дополнительная криптография и т. Д.
Не требуется VPS
Панель использует доверенный биткойн-процессор, потому не нужно устанавливать VPS с Bitcoin ID. Поддержка TOR и низкое значение передачи данных делают панель полностью анонимной.
Поддержка
Если вам нужна поддержка при установке панели, конфигурации FILE FROZR или любой другой помощи, вы можете связаться с нами по следующим контактам:
Tox Id: C216445DDE28F475A725941F75D3FBA52F83D8C7EA774F03161C90ABA3F16768D4B4ADE77817
E-mail support: filefrozr@protonmail.com
Обновления
Дорожная карта
Добавленные фичи:
Конец марта / начало апреля
Стирание свободного места
Речь
Twofish, CAST-6, RC4
Оффлайн-версия
Панель ASP.NET
Функции, предложенные пользователями
Обход UAC
Обфускатор обновлён


Скриншоты окон "инструмента"

Окна AutoDecrupt, Manual, Decoder в FileFrozr

 
Окна ForzrLock и Buy MasterKey

Технические детали


Обходит защиту: UAC, BitDefender, Malwarebytes Anti-Ransomware.

Распространяется на форумах, также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Более 250 расширений. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
builder.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
frozrlockqqxz7a2.onion
frozrlockqqxz7a2.tor2web.cf
frozrlockqqxz7a2.onion2web.gq
frozrlockqqxz7a2.onion2web.tk
frozrlockqqxz7a2.onion.link
filefrozr@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Frozr
 Rommel Joven‏
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cry9

Cry9 Ransomware

Cry128 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоина, чтобы вернуть файлы. Оригинальное название. По данным Фабиана Восара Cry9 использует SHA-512 и модифицированную версию AES, которая работает на 64-байтовых блоках и с 512-битными ключами в режиме ECB.

© Генеалогия: CryptON > Cry9 > Cry128

К зашифрованным файлам добавляется одно из следующих расширений:
.<id>
.id-<id>
.id-<id>_r9oj
.id-<id>_x3m
.<id>-juccy[a]protonmail.ch
.<id>_[wqfhdgpdelcgww4g.onion.to].r2vy6
.id-<id>_[nemesis_decryptor@aol.com].xj5v2
.id-<id>_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
.<id>-isabela1956aprotonmail.ch
.<id>-sofia_lobsterprotonmail.ch
и другие. 

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: *нет данных*.


Содержание записки о выкупе:

!!!SEUS ARQUIVOS FORAM CRIPTOGRAFADOS!!!
Sua identificacao pessoal: *****
Para receber o decodificador deve pagar pela descodificacao.
Compre 0.5 BTC nestes sites:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxx://xapo.com/
ENDEREÇO BITCOIN PARA PAGAR:
1NNF7ZK8A8uBWuYVSR3bS8a9v7DReExdNy
Envie 0.5 btc para a decodificacao
Depois de pagar:
1. Enviar captura de ecra ou foto do pagamento para o endereco: juccy@protonmail.ch
2. Se voce quiser permanecer anonimo ou se voce nao esta recebendo uma resposta, tente usar a mensagem bit (bitmessage.ch) e use este endereço para entrar em contato comigo:
BM-2cxrw462ayqKXPangQ4jxbuq2uZjYTzH37@bitmessage.ch . Este metodo funcionara 100%.
3. No e-mail deve incluir o sua identificacao pessoal (*****).
Em seguida, voce recebera o descodificador e instrucoes.
!!!Atencao!!!
- Voce realmente obter o decifrador apos o pagamento.
- Tentativas de auto-descriptografar arquivos resultara na perda de seus dados.
- Os descodificadores de outros usuarios nao sao compativeis com seus dados, porque a chave de criptografia unica de cada usuario.

Перевод записки на русский язык:
!!!Ваши файлы были зашифрованы!!!
Ваш личный ID: *****
Чтобы получить декодер нужно заплатить за дешифровку.
Купить 0.5 BTC с этих сайтов:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxx://xapo.com/
Bitcoin-адрем для оплаты:
1NNF7ZK8A8uBWuYVSR3bS8a9v7DReExdNy
Отправьте 0.5 BTC за дешифровку
После оплаты:
1. Отправьте снимок экрана или изображение платежа по адресу: juccy@protonmail.ch
2. Если вы хотите сохранить анонимность, или если вы не получаете ответ, попробуйте использовать бит-сообщение (bitmessage.ch) и этот адрес, чтобы связаться со мной:
BM-2cxrw462ayqKXPangQ4jxbuq2uZjYTzH37@bitmessage.ch. Этот метод будет работать на 100%.
3. В email нужно включить свой личный ID (*****).
После этого вы получите декодер и инструкции.
!!!Внимание!!!
- Вы точно получите декодер после оплаты.
- Попытка самостоятельно дешифровать файлы приведёт к потере данных.
- Декодеры от других пользователей не совместимы с вашими данными, т.к. ключ шифрования для каждого пользователя уникален.


Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Cry9 шифруются все типы файлов. 
Это будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Все зашифрованные файлы будет иметь размер на 16 байт больше, чем исходный файл.

Директории, исключаемые из шифрования: 
C:\Windows, 
C:\Program Files
Папка профиля пользователя

Таким образом, на загрузку системы и другие важные процессы шифрование не влияет.

Файлы, связанные с этим Ransomware:
<random>.exe
<ransom_note>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
juccy@protonmail.ch
isabela1956aprotonmail.ch
sofia_lobsterprotonmail.ch
BM-2cxrw462ayqKXPangQ4jxbuq2uZjYTzH37@bitmessage.ch
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 апреля:
Новая итерация: Cry128

Вариант от 24 апреля 2017:
Дешифратор для Cry9: https://decrypter.emsisoft.com/cry9
Расширение: .<id>-isabela1956@aprotonmail.ch
Email: isabela1956@aprotonmail.ch
Результаты анализов: VT

Вариант от 26 апреля 2017:
Дешифратор для Cry9: https://decrypter.emsisoft.com/cry9
Расширение: .<id>-sofia_lobster@protonmail.ch
Email: sofia_lobster@protonmail.ch
Результаты анализов: VT



Внимание!
Для зашифрованных файлов есть декриптер
Скачать Cry9 Decrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Cry9)
 Write-up, Topic
 * 
 Thanks: 
 Fabian Wosar
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

WannaCry

WannaCry Ransomware
WannaCryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 0.3 и больше биткоинов, чтобы вернуть файлы. Оригинальные названия: WannaCry и WannaCryptor. Фальш-имя: Message Application. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Wcry > WannaCry > WanaCrypt0r 2.0

ВНИМАНИЕ! Тот WannaCry, который наделал много шума, описан в статье WanaCrypt0r 2.0

К зашифрованным файлам добавляется расширение .WCRY и .WCYR

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

✔ Теперь уже известно, что обе версии WannaCry управлялись одной группой. В распространении шифровальщика участвовала группировка Lazarus. Специалисты Symantec представили целый ряд доказательств связей между WannaCry и Lazarus. Утечка эксплойта EternalBlue позволила злоумышленникам превратить WannaCry в гораздо более мощную угрозу, чем она была до этого.

Записки с требованием выкупа называются: !Please Read Me!.txt

Содержание записки о выкупе:
Q: What's wrong with my files?
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions we guarantee that you can decrypt all your  filesquickly and safely!
Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption.
Please send 0.3 BTC to this bitcoin address: 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
Next, please find the decrypt software on your desktop, an executable file named "!WannaDecryptor!.exe".
If it does not exsit, download the software from the address below. (You may need to disable your antivirus for... https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
rar password: wcry123
Run and follow the instructions!

Перевод на русский язык:
В: Что не так с моими файлами?
A: Упс, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете расшифровать все свои файлы быстро и безопасно!
Давайте начнем расшифровку!
Q: Что мне делать?
A: Во-первых, вам нужно сделать оплату за услуги для расшифровки.
Отправьте 0.3 BTC на этот биткойн-адрес: 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
Затем найдите на своем рабочем столе программу расшифровки, исполняемый файл с именем «!WannaDecryptor!.exe».
Если это не произойдет, загрузите программу с указанного ниже адреса. (Возможно, вам придется отключить антивирус для... 
https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
rar password: wcry123
Выполните и следуйте инструкциям!

Вторым информатором жертвы выступает скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
Ooops, your important files are encrypted.
If you see this text, but don't see the "Wanna Decryptor" window, then your antivirus removed the decrypt software or you deleted it from your computer.
If you need your files, you have to recover "Wanna Decryptor" from the antivirus quarantine, or download from the address below:
xxxxs://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
Run "Wanna Decryptor" to decrypt your files!

Перевод записки на русский язык:
Ой, ваши важные файлы зашифрованы.
Если вы видите этот текст, но не видите окно «Wanna Decryptor», то ваш антивирус удалил программу дешифрования или вы удалили его с вашего компьютера.
Если вам нужны ваши файлы, вам нужно вернуть «Wanna Decryptor» из карантина антивируса или загрузить с указанного ниже адреса:
xxxxs://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
Запустите «Wanna Decryptor», чтобы расшифровать ваши файлы!


 
Окна Wanna Decryptor 1.0
Текстовое содержимое окна Wanna Decryptor 1.0

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Теневые копии файлов удаляются командой:
cmd.exe /c start /b vssadmin.exe Delete shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (176 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!WannaDecryptor!.exe
!WannaDecryptor!.exe.lnk
!WannaCryptor!.bmp
!Please Read Me!.txt
папка TaskHost с папками Data и Tor
mks.exe
hptasks.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Symantec. Ransom.Wannacry >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Есть два дешифровщика, но их возможности ограничены: 
1) WannaKey - только для Windows XP (скачать)
2) wanakiwi - для Windows XP, x86 Windows 7, 2003, Vista, Server 2008, 2008 R2 (скачать)
wanakiwi поможет, если ПК не выключался и не перезагружался после атаки WannaCry
Описание >>
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as WannaCryptor)
 Write-up by Symantec (add. May 23, 2017)
 Video review
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *