Если вы не видите здесь изображений, то используйте VPN.

пятница, 13 октября 2017 г.

x1881 CryptoMix

x1881 Ransomware 

x1881 CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Ripple. Фальш-копирайт: Telling Telecommunication Holding Co. На файле написано: Ripple.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Error, Empty, Shark > x1881

Фактически дублирует все функции и повторяет деструктивные действия, которые производят его "братья" Shark, Error и Empty Ransomware семейства CryptoMix, поколения Revenge

К зашифрованным файлам добавляется расширение .x1881

Примеры зашифрованных файлов: 
0A82FFC22719B951484F6ED62B4D9D99.xl881
0F860D4838E310016043FF683F09F449.xl881
2C602DB801FF693C85C01DDC057D4D84od881

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT
x1881 CryptoMix

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com
Please send email to all email addresses! We will help You as soon as possible!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером:
x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com
Отправьте email на все email-адреса! Мы поможем Вам как можно быстро!
DECRYPT-ID-[id] number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
sc stop VVS
stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
vssadmin.exe Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Admin"="C:\ProgramData\[Random].exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com
См. ниже результаты анализов.

Связанные публичные ключи:
См. статью на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DoubleLocker

DoubleLocker Ransomware

CryEye Ransomware

(шифровальщик-вымогатель для Android, мобайл-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей на Android-устройствах с помощью AES, а затем требует выкуп в 0.0130 BTC, чтобы вернуть файлы. Выкуп должен быть уплачен в течение 24 часов. Но, если выкуп не уплачен, данные остаются зашифрованными и не удаляются. Оригинальное название: CryEye. Прототип распространялся под именем CryEye на форумах Даркнета с лета 2017. 

© Генеалогия: Удобная ниша (CNAM) >> DoubleLocker

CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств. 
Я придумал этот термин, чтобы в культурной форме назвать это злачное место. 

Этимология  названия:
DoubleLocker получил это название за то, что он дважды блокирует Android-устройство: изменяет PIN-код и шифрует файлы на устройстве. 

К зашифрованным файлам добавляется расширение .cryeye

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает сообщение на экране устройства.
Содержание записки о выкупе:
Current state information
Your personal documents and files on this device have just been crypted. The original files have been deleted and will only be recovered by following the steps described below. The encryption was done with a unique generated encryption key (using AES-256).
Data will be lo after 23h
Number of encrypted files 3437
The cost of the key for decryption 0.0130 BTC
---
Please make payment to this Bitcoin address or you can scan QR-code to get Bitcoin-address easily. The operation is complete if there are 3 confirmations.
1HxKouDDK9WbkizMEnf23tftHSefWhlUyXR
send 0.0130 BTC to this address to get private key

Перевод записки на русский язык:
Текущая информация о состоянии
Ваши личные документы и файлы на этом устройстве только что были зашифрованы. Исходные файлы были удалены и будут восстановлены только после выполнения описанных ниже действий. Шифрование было выполнено с помощью уникального сгенерированного ключа шифрования (с использованием AES-256).
Данные будут потеряны после 23 часов
Количество зашифрованных файлов 3437
Стоимость ключа для дешифрования 0.0130 BTC
---
Пожалуйста, сделайте оплату на этот биткойн-адрес или вы можете сосканировать QR-код, чтобы легко получить биткойн-адрес. Операция завершена, если есть 3 подтверждения.
1HxKouDDK9WbkizMEnf23tftHSefWhlUyXR
отправьте 0.0130 BTC по этому адресу, чтобы получить секретный ключ


1)  2) 3)

1) Оригинальное название — CryEye, указано внизу первого скриншота.
2) Полный текст требований с ответом на вопрос "Как я могу заплатить?".
3) Телефон не может опознать SIM-карту, работа устройства невозможна.



Удаление и защита от DoubleLocker (CryEye)


Чтобы удалить DoubleLocker, можно использовать следующие способы.

1) На нерутованном устройстве, на котором не установлено программное решение для управления мобильным устройством, способное сбросить PIN-код, есть только один способ избавиться от экрана блокировки – сбросить устройство до заводских настроек. См. там, например, Настройки - Восстановление и сброс - Сброс настроек - Сбросить настройки. 

2) На рутованном устройстве, на котором ранее было установлено программное решение для управления мобильным устройством, пользователь может подключиться к устройству через ADB (Android Debug Bridge - Отладочный мост Android) и удалить файл, в котором хранится PIN-код. 
- Для этого надо в настройках включить отладку устройства по USB (Настройки – Параметры разработчика – Отладка по USB). 
- Если устройство было рутовано ранее, а потом отладка по USB была выключена, то временным "разработчиком" своего устройства можно стать, если потыкать 5 раз пункт "Номер сборки" и вернуться. Появится пункт "Для разработчиков", если его раньше не было, а там уже будет опция "Отладка по USB". Её можно как включить, так и отключить. 
- Теперь можно удалить экран блокировки и вернуть доступ к устройству. 
- Потом перезагрузить устройство в безопасном режиме, деактивировать права администратора устройства для DoubleLocker (CryEye) и прочих неизвестных вам приложений и удалить его.
- Затем нужно перезагрузить устройство в нормальном режиме.
- Режим "Для разработчиков" обычно отключается переключателем, находящейся в верхней части этого раздела. 


Для профилактики заражения Android-устройства подобными вредоносами следует защищать его качественными продуктами информационной безопасности и регулярно делать резервные копии имеющихся данных, например, с помощью отладки по USB или облачных средств хранения данных. 


Технические детали

DoubleLocker распространяется под видом фальшивого Adobe Flash Player через скомпрометированные сайты. Может также начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

DoubleLocker можно считать первым шифровальщиком-вымогателем, использующим службу специальных возможностей Android Accessibility Service. Он не только шифрует данные, но и блокирует устройство. Функций, связанных со сбором банковских данных пользователей и удаления аккаунтов, у него не активированы, вместо этого DoubleLocker настроен для вымогательства выкупа в биткоинах. 

Точнее, сначала DoubleLocker пытается стереть найденные банковский и PayPal-аккаунты, а затем заблокирует устройство и данные, чтобы запросить выкуп. Возможно, что в будущем он будет сам похищать информацию и средства. 

После запуска вредонос предлагает активировать службу специальных возможностей "Google Play Service". После получения разрешения DoubleLocker использует их для активации прав администратора устройства и без согласия пользователя устанавливает себя как программа-лаунчер по умолчанию. После чего, любое нажатие пользователь на кнопку «Домой» заново активирует вымогателя и снова блокирует устройство. 

Аргументы, которыми вымогатель может заставить заплатить выкуп:

1) DoubleLocker изменяет PIN-код планшета или смартфона, что не даёт использовать устройство; в качестве нового PIN задается случайное значение, код не хранится на устройстве и никуда не отправляется, поэтому пользователь не сможет его восстановить, но после получения выкупа злоумышленник может удалённо сбросить PIN и разблокировать устройство. 

2) DoubleLocker шифрует все файлы в основном хранилище устройства, используя алгоритм шифрования AES и добавляет расширение .cryeye к зашифрованным файлам.

Список файловых расширений, подвергающихся шифрованию:
Это документы офисных программ, PDF, текстовые файлы, фотографии, музыка, видео и пр.
Пример зашифрованных файлов

Файлы, связанные с этим Ransomware:
***
Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===



 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DoubleLocker)
 Write-up, Write-up, Write-up, 
🎥 Video review + Video review
 Thanks: 
 Lukas Stefanko, ESET NOD32
 Michael Gillespie
 Catalin Cimpanu
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 12 октября 2017 г.

Stroman

Stroman Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .stroman

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readinfo.txt

Содержание записки о выкупе:
All your data set are encrypted.
We can help decrypted files.
Price for full decrypt all files 500$
You will get decrypt soft + personal key + manual.
For recover your files - contact us email:
BM-2cUunjtSxYEd6Ase6hbhVyvMBVzXPUVdvu@bitmessage.ch
Please use public email for contact: gmail etc.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.your Personal ID 
2.link dropmefiles.com 
after wait decrypted files and further instructions.
Personal ID:
[redacted]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it cause pernament data loss
Not use false encryption key, it cause pernament data loss
You must pay within 72 hours, or the price will be more.

Перевод записки на русский язык:
Все ваши данные зашифрованы.
Мы можем помочь расшифровать файлы.
Цена за полное дешифрование всех файлов 500 $
Вы получите программу расшифровки + личный ключ + руководство.
Для восстановления ваших файлов - свяжитесь с нами по email:
BM-2cUunjtSxYEd6Ase6hbhVyvMBVzXPUVdvu@bitmessage.ch
Пожалуйста, используйте общедоступный email для связи: gmail и т.д.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы
Вы можете отправить нам 1-2 зашифрованных файла, и мы отправим их в расшифрованном виде БЕСПЛАТНО.
Для скачивания файлов используйте только dropmefiles.com не более 10 Мб
Отправьте нам письмо:
1. Ваш личный идентификатор
2. ссылку в dropmefiles.com
после ожидайте расшифрованные файлы и дальнейшие инструкции.
Персональный ID:
[Отредактировано]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью программ сторонних разработчиков, это приведёт к потере данных.
Не используйте фальшивый ключ шифрования, это приведёт к потере данных
Вы должны заплатить в течение 72 часов, или цена будет больше.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readinfo.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: BM-2cUunjtSxYEd6Ase6hbhVyvMBVzXPUVdvu@bitmessage.ch
См. ниже результаты анализов.

Результаты анализов: НЕТ ОБРАЗЦА!!! / NO SAMPLE !!!
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 октября 2017: 
Расширение: .protos
Записка:  readinfo.txt
*

Обновление от 11 ноября 2017: 
Расширение: .fat32
Сумма выкупа: $700
Email: BM-2cVCMjYXg5ZwLi2t6mETUeQYhMNDmbfFA2@bitmessage.ch
Тема на форуме >>
Записка:  info.txt
<< Скриншот записки
Содержание записки: 
Your data set are encrypted.
We can help decrypted files.
Price for full decrypt all files 700$
You will get decrypt soft + personal key + manual.
For recover your files - contact us email:
BM-2cVCMjYXg5ZwLi2t6mETUeQYhMNDmbfFA2@bitmessage.ch
Please use public email for contact: gmail etc.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.Personal ID
2.link dropmefiles.com
after wait decrypted files and further instructions.
Personal ID:
Hef0b1e0pI2y98boOKa7ciG2lUV8XIHAdoC5me99
Do not rename encrypted files
Not use false encryption key, it cause pernament data loss
You must pay within 72 hours, or the price will be more.


Обновление от 2 января 2018:
Расширение: .gigahertz
Пост в Твиттере >>
Сумма выкупа: $700
Email: BM-2cSs3qfF5wo1x6EQbsXJX3nwkzJwYx9R98@bitmessage.ch
Записка: info.txt
<< Скриншот записки
➤Содержание записки: 
Your data set are encrypted.
We can help decrypted files.
Price for full decrypt all files $700 usd
You will get decrypt soft + personal key + manual.
For recover your files - contact us email:
BM-2cSs3qfF5wo1x6EQbsXJX3nwkzJwYx9R98@bitmessage.ch
Please use public email for contact: gmail etc.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.Personal ID
2.link dropmefiles.com
after wait decrypted files and further instructions.
Personal ID:
*****
Not use false encryption key, it cause pernament data loss
You can send a message within 72 hours, or the price will be more.



Обновление от 30 мая 2018: 
Пост на форуме >>
Пост в Твиттере >>
Расширение: .insta
Записка: filesinfo.txt
Email: BM-2cXpE68uaYtydjuGBRqMUF2DVazFJj4Xvz@bitmessage.ch
➤ Содержание записки: 
All files with .insta extension are encrypted.
We can help decrypted files.
You will get decrypt soft + personal key(for your personal id) + manual.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.Personal ID 
2.link dropmefiles.com 
after wait decrypted files and further instructions.
You can send a message within 72 hours after encrypting, else full decrypt will be heavily.
Please use public email for contact: gmail etc.
For recover your files - contact us email:
BM-2cXpE68uaYtydjuGBRqMUF2DVazFJj4Xvz@bitmessage.ch
Your personal ID:
oTiuT7P8Ge9VOQiL5wu2d4XogaUqYdE8RI66

Обновление от 20 июля 2018:
Пост в Твиттере >>
Расширение: .like
Записка: infoinfo.txtEmail: BM-2cWrd12TuEzGmnPMHBMwmB32w45fZ5rZS3@bitmessage.ch
➤ Содержание записки: 
Your data set are encrypted.
All files with .like extension are encrypted.
We can help decrypted files.
You will get decrypt soft + personal key(for your personal id) + manual.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.Personal ID
2.link dropmefiles.com
after wait decrypted files and further instructions.
You can send a message within 72 hours after encrypting, else full decrypt will be heavily.
Please use public email for contact: gmail etc.
For recover your files - contact us email:
BM-2cWrd12TuEzGmnPMHBMwmB32w45fZ5rZS3@bitmessage.ch
Your personal ID:
[redacted 36 alphanumeric]





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Stroman)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 10 октября 2017 г.

Locky-Asasin

Locky-Asasin Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.25 BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что угодно. По факту это новая итерация Locky. См. видео-обзор Locky-Asasin Ransomware по ссылке.
Locky Ransomware
This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: Locky >> Locky-Asasin

К зашифрованным файлам добавляется расширение .asasin

С использованием расширения .asasin зашифрованные и переименованные файлы будут иметь "шестиэтажное" название и называться примерно так: 
755JU7CW-GNSP-FP00-918CB723-CF1B62832172.asasin
755JU7CW-GNSP-FP00-8646FA43-9BB033FB05E5.asasin
5DYGW691-P3PQ-SH8E-9B9400BA-2947DBA41C00.asasin
5DYGW691-P3PQ-SH8E-76198F85-4049D69A0548.asasin

Разложим на составляющие названия файл 755JU7CW-GNSP-FP00-918CB723-CF1B62832172.asasin

755JU7CW — первые восемь 16-ричных символов от ID 755JU7CWGNSPFP00
GNSP — другие четыре 16-ричных символов от ID 755JU7CWGNSPFP00
FP00 — другие четыре 16-ричных символов от ID 755JU7CWGNSPFP00
918CB723 — восемь 16-ричных символов, входящих в переименованное название файла
CF1B62832172 — двенадцать 16-ричных символов, входящих в переименованное название. 

Шаблон можно записать так:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[8_hexadecimal_chars]-[12_hexadecimal_chars].asasin
короче
[first_8_hex_chars_id]-[next_4_hex_chars_id]-[next_4_hex_chars_id]-[8_hex_chars]-[12_hex_chars].asasin
ещё короче
[8_hex_chars_id]-[4_hex_chars_id]-[4_hex_chars_id]-[8_hex_chars]-[12_hex_chars].asasin
в цифрах
8-4-4-8-12
Пример зашифрованных файлов и записка о выкупе

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Страна распространения: Испания. 

Записки с требованием выкупа называются: 
asasin.htm
asasin-<random{4}>.htm или в шаблоне asasin-<[a-z][0-9]{4}>
примеры: asasin-4364.htm, asasin-d158.htm

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
4. Follow the instructions on the site.
!!! Your personal identification ID: 755JU7CWGNSPFP00 !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Более подробную информацию о RSA и AES можно найти здесь:
хххх://en.wikipedia.org/wiki/RSA_ (криптосистема)
хххх://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Torбраузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
4. Следуйте инструкциям на сайте.
!!! Ваш персональный ID: 755JU7CWGNSPFP00 !!!

Записка с требования выкупа дублируется скринлоком, встающим обоями рабочего стола. Это файл asasin.bmp
После перехода по ссылка на Tor-сайт вымогателей пострадавший узнает о сумме, которую ему нужно выплатить, например, в данном случае это 0.25 BTC.
Скриншот сайта Locky Decryptor с требованиями

Содержание аналогично предыдущим, например, см. Locky-Ykcol Ransomware.


Технические детали

Распространяется через email-спам, письма которых имеют тему "Document invoice_95649_sign_and_return.pdf is complete" и как вложение 7z-архив invoice_95649_sign_and_return.7z. В нём находится VBS-файл, который при выполнении загружает исполняемый файл Locky с удаленного сайта и выполняет его. 
 
В VBS-файле содержатся один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Locky-Asasin в папку %Temp%, а затем запустит его, чтобы шифровать файлы. 

Название темы может быть и другим, например, просто "Invoice" с датой, буквенно-цифровой архив или записан как-то иначе. 

Примечательно, что распространители этих спам-писем в этой вредоносной кампании неправильно добавляют вложения, что приводит к тому, что получатели эти вложения не увидят, кроме части текста в base64, как показано на изображении ниже. Более того, снова для вложений используются 7z-архивы, которые большинство людей не смогут открыть. 
Спам-письмо с неправильным вложением

Возможно, что не все письма такие "неправильные" и не факт, что вся вредоносная кампания именно такая. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, ботнетов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Как стало известно позже, ботнет Necurs распространяет небольшой загрузчик Necurs, который затем устанавливает Locky Ransomware. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe или XFfiJK.exe
asasin.htm
asasin-4364.htm
invoice_86790_sign_and_return.7z {VBS} - вредоносное вложение к письму.
asasin.bmp

Расположения:
%TEMP%\XFfiJK.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://g46mbrrzpfszonuk.onion/***
g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
g46mbrrzpfszonuk.onion/5DYGW691P3PQSH8E
86.109.170.20:80 (Испания)
xxxx://shahanabiomedicals.com/iugftrs2***
xxxx://deltasec.net/iugftrs2***
xxxx://deltasec.net/images/***
xxxx://nsaflow.info/p66/iugftrs2***
xxxx://www.iesvalledelsegura.es/web2/***
BTC: 1EKiMyqWaqhfaZkGRvqjMdoXtZnUkGmSHd
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 октября 2017:
Пост в Твиттере >>
На файле написано: DriverMaker
Файл: Driver.exe
Tor: g46mbrrzpfszonuk.onion/***
Результаты анализов: HA+VT 
Связанные хосты: Украина, Германия
<< Скриншот записки
Результаты анализов ещё: HA+VT
Связанные хосты: Германия, Испания, Китай, США, Россия и другие

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Locky)
 Write-up, Topic of Support
🎥  Video review

 Thanks: 
 GrujaRS, Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *