Если вы не видите здесь изображений, то используйте VPN.

четверг, 13 июля 2017 г.

Ransed

Ransed Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $25 в BTC, чтобы вернуть файлы. Оригинальное название: Ransed, указано в тексте о выкупе. На файле написано:  Presentation.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ransed

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, состоящий из нескольких вкладок. 

Содержание записки о выкупе:
Imfao u just got rekt by RANSED it'd be a shame if i encrypted your files...
aaand it's done.
u might be worried and so do I.
if u no pay say goodbye to ur files
rip u m8
lol w8 u can recover ur files
it will cost u 25 dollars :)
btw u pay with BITCOIN k?
head over to that thing.....>
and go to the 'Unlock' tab
gg ez
Time left: 06D 23H 59M 55S

wut is bitcoin

u dont know what is bitcoin? rly?
Bitcoin is a form of digital currency, created and held electronically. No one controls it. Bitcoins aren't printed, like dollars or euros - they're produced by people, and increasingly businesses, running computers all around the world, using software that solves mathematical problems.
It's the first example of a growing category of money known as cryptocurrency.
What makes it different from normal currencies?
Bitcoin can be used to buy things electronically. In that sense, it's like conventional dollars, euros, or yen, which are also traded digitally.
However, bitcoin's most important characteristic, and ...

how can i get bitcoins

Surprisingly, it's still not cosy to buy bitcoins with your credit card or PayPal, depending on your jurisdiction.
This is because such transactions can easily be reversed with a phone call to the card company (ie 'chargebacks'). Since it's hard to prove any goods changed hands in a transfer of bitcoins, exchanges avoid this payment method and so do most private sellers.
However, the options have recently grown for consumers in some countries.
In the US, Coinbase, and Circle offer purchases with credit cards. Bittylicious, CoinCorner and Coinbase offer this service in the UK, accepting 3D Secure-enabled credit and debit cards on the Visa and MasterCard networks...


Перевод записки на русский язык:
..Ransed зашифровал ваши файлы
Если не хотите платить, прощайтесь со своими файлами. 
Это обойдется вам в 25 долларов :)

Что такое биткойн?
Вы не знаете, что такое биткоин? 
Биткоин - это форма цифровой валюты, созданная и используемая в электронном виде. Никто не контролирует его. Биткоины не печатаются, как доллары или евро - они производятся людьми, и все больше компаний, работающих на компьютерах по всему миру, используют программы, которые решают математические проблемы.
Это первый пример растущей категории денег, известной как криптовалюта.
Что отличает его от обычных валют?
Биткоин можно использовать для покупки вещей в электронном виде. В этом смысле это как обычные доллары, евро или иена, которые также продаются в цифровом виде.
Однако, самая важная характеристика биткоина и...

Как я могу получить биткоины?
Удивительно, но по-прежнему не рекомендуется покупать биткоины с помощью вашей кредитной карты или PayPal, в зависимости от вашей юрисдикции.
Это связано с тем, что такие транзакции могут быть легко отменены с помощью телефонного звонка в карточную компанию (например, «возврат платежей»). Поскольку трудно доказать, что какие-либо товары перешли в руки при передаче биткоинов, обмены избегают этого способа оплаты, и поэтому большинство частных продавцов.
Тем не менее, в некоторых странах эти варианты недавно выросли для потребителей.

В США, Coinbase и Circle предлагают покупки с помощью кредитных карт. Bittylicious, CoinCorner и Coinbase предлагают эту услугу в Великобритании, принимая кредитные и дебетовые карты с поддержкой 3D Secure в сетях Visa и MasterCard ...


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Вымогатель использует подключение к удаленной базе данных MySQL для хранения данных о пострадавших. Это значит, что учетные данные для входа в сервер встроены в исполняемый файл крипто-вымогателя. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Presentation.exe (UnityGame.exe)

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Exte CryptoMix

Exte Ransomware

Exte CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Northwestern.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Azer > Exte

К зашифрованным файлам добавляется расширение .EXTE

Примеры зашифрованных файлов:
F06C3C509054X0B7D28ZCDDBB17087B9C3E.EXTE
9E01FFDC1A86B4BCE993EA3D22D89930.EXTE
ADAA3472448ED0028EB0FEB34D41B476.EXTE

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT


Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
exte1@msgden.net
exte2@protonmail.com
exte3@reddithub.com
We will help You as soon as possible!
DECRYPT-ID-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Перевод записки на русский язык:
Привет!
Внимание! Все ваши данные зашифрованы!
Для конкретной информации отправьте нам email с ID номером:
exte1@msgden.net
exte2@protonmail.com
exte3@reddithub.com
Мы поможем вам как можно скорее!
DECRYPT-ID-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX



Технические детали

Exte шифрует файлы аналогично другим в семействе Cryptomix.
Он, как и Azer, включает 10 ключей шифрования RSA-1024, см. ниже. 
Один из этих ключей выбирается для ключа AES шифрования файлов. 
Эта версия, как и Azer, не поддерживает связь с сетью, т.е. автономна. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога
Ключи:
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCTp02+iahQUVQQSGTYcAgUdyn8 R6D3+q/M1GwA4c6ePwXlsEJC8UC4hDE4otjs4Vae0MauQrvkYo2rnilCpiqsv0Oo OjDgOHhHI1vUILpWjAVRu61DORWqdvQEH3x9GfGRIulKwhVdzll5sGS9pyGWAAGq XvJ8T/ods5V+M3nFvQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC2Zs4/PG+bhEhduEnmB/zS4Ps7 bD0EDn6q2tgpIwu7WF4NhDwnCQYeX9uweOs+x3pPKIHgZj7KtyOdwjJEMYt4yago kMnp24CM413CbGz28tsSLifJpcDq7NdFlItv1foqE3EhxK4RnnsKRnlNnZOmJobj BXWAK7kI6PMjAsycjQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdcVWIUztGfqsyayX8MJ+MilwA OCMmaedwUkhcrOaZbEr/kjFAS/51dhxfUmoO2M6N51D1+Tlx1hFP0Bbea41ory14 /jXmBP/ARTPejT9wmAcdFSYL5RKqn21imymnSfllV7lLSS7fwzIhUibz/c13pk1w UFQpsQKlAmge6nPWMQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCoXHPF5pGepB37MwkGshTi4N+q KaRbRAk6b6tDUxHK8AWyNDJTFKLygvaNTxjAcpY467SDTXQq6EyvaCh2juaSzCLH qxcwIVRMH4mtBI8RKx5bycWssbuZD6XwQpcS7WABqE8+BuYDmALgeh1W0UVBQge5 Alv8dKw5oY2B84RApQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCfshy8WocDLQBfn36LclXu7obD X5hCJFAKntVU3Siyy6XKnumyu/qsiwekxG0QkDrEuWZWGk+/w5qVf+bw1wXbKnBr h2FiYqtXgN8pX7h6vDhYNWd80RKg0fxA7sRYoB7HCtel99BCcGOKvWbsr9hcFq3j EPtf81OdtqlTI6x6uwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3ncKb3ppnuXs7NtizXtdHcKcj sfSIhS3E23j5Z4pxYfj3c3ipP8/gxu93/9b6qSQnQ87NRACf8NBbpr1XYR1kGkNK cRk+u1QsKsVyYP8QoMtnCPbxaIAxZ9qc2o8eFPt44IbOFNo4TS682ZnrgvCIl/D+ taf9I8jbrBTSbfxQ3wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCNdG6Kp5B6EHKVsENf2QudkLfe TMzETNDGBk5cvGpj3On70vZGODVj/WfRe2iHyVE0ykT/iXXtb/C5gw3FePCSGVja 5S3qH9xh6Ncw5sFrsdgBbm7qPYSbRmux2VTjHlLE44ckkTTCSiTUL3KX/08cU04V hb/JtNwKF5bg3ycuhQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqqapIMkQJgyt8mfVLZRPIEU20 V8c3+JbWNCdtDrIucv5nsKxJ/hCCDCau8gVjNN5jWtLltoQ0NvwR94HZaUkXAjGq Iy+vvpc66SBLin8pJ/DzLtA3ouQBrYU2/9C75DrKGuCedEoAzoFkCjz/AokqjTkz xSIkf+5//Rpoj22lHwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHZ0EKaGTzyOxqaX2ePqAs46RU HhLRsApVWfO0z3BADXv4cv2iGjSXRZE1g7dU/KNEVZrjuBRaHksWpXKIwI6v7vSJ ZcxsaNRZNS+RTwJbu5VNc5uHBc5YPa7sdqocVrt3b6eXXPbn5gZcQY3L18TTd+S3 DljCC6h8BC80BJI6OQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCkrR8CoTgor4sIybnVarCSWzMN RIoH51qIgCWDx49UQYXXqCn7I4T2XL7iOD5Fb/LO8LLS/BC7xNETIBGwUsOLMUXq 0LT3wlASZX4l491JPAAzlGfspmWqOnxwFZh4e2kqbix9uTGRw7oC0v7n6pACJSLW ybODvrXAfJlITYUYIQIDAQAB
-----END PUBLIC KEY-----
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
BC6D311143.exe
<random>.exe

Расположения:
%AppData%\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
exte1@msgden.net
exte2@protonmail.com
exte3@reddithub.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Jolly Roger

Jolly Roger Ransomware

Keep Calm Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. При этом файлы отправляются на сервер вымогателей. Оригинальное название: Jolly Roger, по использованному изображению. На файле написано: SYD Suspension y Direccion и Liquidacion-Julio-SYD.exe.

© Генеалогия: EDA2 >> Jolly Roger (Keep Calm)

К зашифрованным файлам добавляется расширение .locked


"Весёлый Роджер" на обоях (был использован в шифровальщике)

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instructions.rtf

Jolly Roger Keep Calm Ransomware

Содержание записки о выкупе:
YOUR PC HAS BEEN INFECTED
Hello,
+We are the only ones in the world that can provide your files for you!
+When your PC was hacked, the files were encrypted and sent to a server we control!
+You must send 0.1 BTC about 250 USD to
15VUKaBP5YbNiKDhntf5FPAzzqJ9HYieEq
+Within 1 week from now to retrieve your files and prevent them from being leaked!
+When you have sent payment, please send email to luisa91@you-spam.com with:
1) Date Transaction
2) PC's Name
3) Email to send you the KEY
+Once we confirm the transaction, we'll send email with the key and the process to decrypt all your files
+Check your spam looking for Email Subject: AES Key lucky guy!
+You can purchase BITCOINS from many exchanges such as:
https://www.bitstamp.net/
https://www.bitfinex.com/
https://www.coinbase.com/
https://www.cryptsy.com/
https://localbitcoins.com/
or google for your country
*We are business people and treat customers well if you follow what we ask
*Remember your email is one-way, so don't do anything stupid
*And please don't waste time trying to decrypt with some local service, without the key is impossible, we use AES encryption
Thank you for your cooperation
Goodbye!

Перевод записки на русский язык:
Ваш ПК был заражен
Привет,
+ Мы единственные в мире, кто может вернуть вам ваши файлы!
+ Когда ваш компьютер был взломан, файлы были зашифрованы и отправлены на сервер, которым мы управляем!
+ Вы должны отправить 0,1 BTC около 250 долларов США
15VUKaBP5YbNiKDhntf5FPAzzqJ9HYieEq
+ В течение 1 недели с момента получения файлов и предотвращения их утечки!
+ Когда вы отправите платеж, отправьте письмо на адрес luisa91@you-spam.com:
1) Дата платежа
2) Имя ПК
3) Email, чтобы отправить вам ключ
+ Как только мы подтвердим платёж, мы отправим email с ключом и процесс для дешифрования всех ваших файлов
+ Проверьте свой спам, ищите Email Subject: AES Key lucky guy!
+ Вы можете приобрести BITCOINS на многих биржах, таких как:
xxxxs://www.bitstamp.net/
xxxxs://www.bitfinex.com/
xxxxs://www.coinbase.com/
xxxxs://www.cryptsy.com/
xxxxs://localbitcoins.com/
Или гуглите для вашей страны
* Мы деловые люди и хорошо обращаемся с клиентами, если вы следите за тем, что мы просим
* Помните, что ваша электронная почта в одну сторону, так что не делайте ничего глупого
* И, пожалуйста, не тратьте время на попытку расшифровки с помощью некоторой локальной службы, без ключа невозможно, мы используем шифрование AES
Спасибо за ваше сотрудничество
До свидания!


Информатором жертвы также выступает изображение, встающее обоями рабочего стола:



Содержание текста с обоев:
KEEP CALM AND RECOVER YOUR FILES
Read Instructions.rtf

Перевод текста на русский язык:
СОХРАНЯЙТЕ СПОКОЙСТВИЕ И ВЕРНЁТЕ СВОИ ФАЙЛЫ
Читайте Instructions.rtf

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3df8, .3gp2, .accdb, .adpb, .amxx, .ascx, .ashx, .asmx, .bmp, .cctor, .ctor, .ddcx, .disk, .divx, .djvu, .docm, .docx, .dotm, .dotx, .exe, .exif, .gthr, .gzig, .html, .indd, .itdb, .java, .jfif, .jiff, .jpeg, .mbox, .mpeg, ,pdf, .potm, .potx, .ppsm, .ppsx, .pptm, .pptx, .rsrc, .shar, .tax2013, .tax2014, .tbz2, .text, .thmx, .upoi, .wave, .wdgt, .wma, .wmdb, .wmmp, .xlam, .xlsb, .xlsm, .xlsx, .xltx, .xlwx, .xvid, .zipx (60 расширений). 

Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, видео и прочие типы файлов. 

Файлы, связанные с этим Ransomware:
liquidacion-julio-sydwfdp.scr.exe
Instructions.rtf
wall.jpg

Расположения:
\Desktop\Instructions.rtf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
luisa91@you-spam.com
185.145.128.160:80 (Нидерланды)
xxxx://185.145.128.160/troll-100/instructions-ca.txt
xxxx://185.145.128.160/troll-100/savekey.php
xxxx://185.145.128.160/troll-100/createkeys.php
xxxx://185.145.128.160/troll-100/wall.jpg
xxxx://all400pples.org.in/
xxxx://all400pples.org.in/kjosh/fre.php
xxxx://www.all400pples.org.in/
xxxx://www.all400pples.org.in/doitone/fre.php
xxxx://www.all400pples.org.in/molina/fre.php
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Вариант от 31 августа 2017:
Сообщение >>
Email: michonne.027@fake-box.com
Испанская локализация крипто-вымогателя.
Результаты анализов: VT
Скриншоты >>




Вариант от 3 июня 2022:
С использованием Chaos Ransomware. 
Email: anonymoux@dnmx.org
Файл: Complaint document.exe
Результаты анализов: VT + IA





 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review
 Thanks: 
 MalwareHunterTeam
 GrujaRS
 Karsten Hahn‏
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Blackout

Blackout Ransomware

(шифровальщик-вымогатель, OSR)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы вернуть файлы. Оригинальное название: Blackout. Позиционирует себя как бесплатный OSR (Open Source Ransomware)

Обнаружения: 
DrWeb -> Trojan.Encoder.13036
BitDefender -> Trojan.Ransom.Fantom.D
ESET-NOD32 -> MSIL/Filecoder.Fantom.N
Symantec -> Ransom.CryptXXX
TrendMicro -> Ransom_BLACKOUT.A

© Генеалогия: ??? >> Blackout

К зашифрованным файлам добавляется настраиваемое расширение или совсем отсутствует.
Файлы переименовываются с помощью Base64. 

Примеры таких файлов:
 eW91cmZldy5wbmc=
UGVuZ3VpbnMuanBn
YWRtaW4uY29udGFjdA==

Образец этого крипто-вымогателя был обнаружен в первой половине июля 2017 г. и он уже распространялся. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Взявший этот OSR на вооружение вымогатель может менять название на желаемое. 

Записка с требованием выкупа называется: README_1183339_23654.txt

Содержание записки о выкупе:
Your files have been encrypted <BLACKOUT> ransomware!
Your personal Id:
ZiaDE*****UOY2E
LICENSE AGREEMENT
Blackout ransomware is a free open source software.
The program is designed to test the protection of OS Windows against ransomware.
The developer of this software is not responsible for any damage caused by the program.
The program is experimental and the entire responsibility for use lies with the user.
HOW TO USE:
To decrypt your files, you need the program blackout_decryptor.exe
If you do not have it, write to email: blackzd@derpymail.org or blackzd@xmail.net
In the letter, send your personal id and two small encrypted files for trial decryption.
If you dont get answer from blackzd@derpymail.org or blackzd@xmail.net in 72 hours,
you need to install tor browser, you can download it here:
https://www.torproject.org/download/download.html.en
After installation, open the tor browser to website:
http://mail2tor2zyjdctd.onion/register.php
Register on the site a new email address and write to us with his letter to our address:
blackoutsupport@mai12tor.com
NN:506358115267996

Перевод записки на русский язык:
Ваши файлы были зашифрованы <BLACKOUT> ransomware!
Ваш личный Id:
ZiaDE*****UOY2E
ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ
Blackout ransomware - бесплатная программа с открытым исходным кодом.
Программа предназначена для проверки защиты ОС Windows от вымогательства.
Разработчик этого программного обеспечения не несет ответственности за ущерб, нанесенный программой.
Программа экспериментальная и вся ответственность за ее использование лежит на пользователе.
КАК ИСПОЛЬЗОВАТЬ:
Чтобы расшифровать ваши файлы, вам понадобится программа blackout_decryptor.exe
Если у вас его нет, напишите по электронной почте: blackzd@derpymail.org или blackzd@xmail.net
В письме отправьте свой личный идентификатор и два небольших зашифрованных файла для пробной расшифровки.
Если вы не получите ответ от blackzd@derpymail.org или blackzd@xmail.net через 72 часа,
Вам нужно установить Tor-браузер, вы можете скачать его здесь:
https://www.torproject.org/download/download.html.en
После установки откройте Tor-браузер на веб-сайте:
http://mail2tor2zyjdctd.onion/register.php
Зарегистрируйте на сайте новый email-адрес и напишите нам с него на наш адрес:
blackoutsupport@mai12tor.com
NN: 506358115267996


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Теневые копии файлов удаляются командой: 
vssadmin delete shadows /all /quiet

➤ Используется фиктивный экран установки критических обновлений для Windows. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_1183339_23654.txt
blackout.exe
blackout_decryptor.exe

Расположения:
C:\update.bat
%APPDATA%\delback.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
blackzd@derpymail.org
blackzd@xmail.net
blackoutsupport@mai12tor.com
xxxx://mail2tor2zyjdctd.onion/register
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 августа 2017:
Пост в Твиттере >>
Файлы: verytu.exe, delback.bat, update.bat
Результаты анализов: HA+VT
Примеры записок: README_3509728_14800.txt
README_1910092_25012.txt
README_3509728_19216.txt
<< Скриншот записки

Обновление от 1 мая 2018:
Пост в Твиттере >>
Tor-URL: xxxx://6ksho3v2o341svi2.onion
Email: blackzd@safe-mail.net
decrypted8@bigmir.net
Файл: rozibert.exe
На файле написано: Fozirost
Скриншот записки и экрана дешифровки >>



Обновление от 16 августа 2018:
Пост в Твиттере >>
Email: blackzd@safe-mail.net, decrypted8@bigmir.net
Tor-URL: xxxx://6ksho3v2o341svi2.onion
Video-URL: xxxxs://wviw.screencast.com/t/DTQwRyaM
Файл: OFTBRWCI.EXE
На файле написано: Egosizmir и pkadentiri.exe
Результаты анализов: VT



Обновление от 3 мая 2019:
Пост в Твиттере >>
Расширение: не используется
Записка: README_5265277.txt
Email: tyspalento@bigmir.net or mitoplent@safe-mail.net
URL: xxxx://6ksho3v2o341svi2.onion
Результаты анализов: VT


Обновление от 15 февраля 2020:
Расширение: не используется
Записка: README_7061457.txt
Email: tyspalento@bigmir.net, mitoplent@safe-mail.net
 
 
Файл: iudorki.exe
Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.31018
BitDefender -> DeepScan:Generic.Ransom.Blackout2.*
Kaspersky -> HEUR:Trojan.MSIL.Diztakun.gen
McAfee -> RDN/Ransom
Rising -> Trojan.Filecoder!8.68 (CLOUD)
TrendMicro -> TROJ_GEN.R015C0WBG20

Обновление от 4 марта 2020:
Пост в Твиттере >>
Расширение: не используется
Записка: README_3728769.txt
Email: decrypted8@bigmir.net, mitoplent@safe-mail.net
Tor-URL: xxxx://t5vj34iny72dpdu4.onion
Результаты анализов: VT + IA + VMR + AR
 
 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Blackout)
 Write-up, Topic of Support
 
 - видеоролик сделан с помощью ссервиса AnyRun. 
 Thanks: 
 S!Ri‏, Michael Gillespie, Marcelo Rivero, MalwareHunterTeam
 Andrew Ivanov (author)
***

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *