Если вы не видите здесь изображений, то используйте VPN.

пятница, 24 ноября 2017 г.

Christmas

Christmas Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: Christmas Ransomware. На файле написано: csrsss или ChristmasRansomware.exe. Среда разработки: Visual Studio 2012.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Christmas Ransomware

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На данный момент файлы не шифруются.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your Files are Encrypted
Send 100 $ in Bitcoin to Decrypt Your Files
Merry Christmas

Перевод записки на русский язык:
Ваши файлы зашифрованы
Отправьте 100 $ в биткоинах за дешифровку файлов
Счастливого Рождества



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
csrsss.exe

Расположения:
%AppData\Local\Temp\ChristmasRansomware.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓥ Virus Buy >>
Гибридный анализ >>
VirusTotal анализ >>
AnyRun анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 MalwareHunterTeam
 Sunrise Antivirus
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 23 ноября 2017 г.

Cryp70n1c

Cryp70n1c Ransomware
Cryp70n1c Army Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Cryp70n1c и CRYP70N1C ARMY. Название проекта: CRYPTONIC HACKING TOOLS и "hidden tear online with server". Разработчик: Clinton.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Cryp70n1c


Изображение принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .cryp70n1c

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

1) Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been encrypted. Send us 0,05 Bitcoin to get the decryption passcode.
After that, you'll be able to get your files back again.
Failure to do so within 3 days will result in all your files being deleted & lost forever - visit www.luno.com to buy Bitcoin and once you have purchased 0.05 please send them to the following Bitcoin Address 1KDQcgujZKjMgZkYSbMJJpLeGSDqBwa1RM thank you and have a great day. If you need to contact us for any reason please e-mail us ransom@deliveryman.com 

Перевод записки на русский язык:
Этот компьютер взломан
Ваши личные файлы были зашифрованы. Отправьте нам 0,05 биткоина, чтобы получить пароль к дешифровке.
После этого вы сможете вернуть свои файлы.
Если вы не сделаете это в течение 3 дней, все ваши файлы будут удалены и потеряны навсегда - посетите сайт www.luno.com, чтобы купить биткоины, и как только вы приобрели 0.05, отправьте их на следующий биткоин-адрес 1KDQcgujZKjMgZkYSbMJJpLeGSDqBwa1RM и у вас будет отличный день. Если вам нужно связаться с нами по любой причине, пишите на наш email ransom@deliveryman.com 

2) Информатором жертвы так выступает экран блокировки а-ля Petya Ransomware, но с укрупненным текстом и расплытыми буквами.
Экран блокировки

Содержание текста с экрана: 
We are the Cryptonic Army
All data files have been locked and in 3 days they will be deleted unless you pay us
Please find the text file on your desktop for instructions

Перевод на русский язык:
Мы Cryptonic Army.
Все файлы данных заблокированы и через 3 дня они будут удалены, если вы не заплатите нам.
Найдите текстовый файл на вашем рабочем столе для инструкций.

3) Кроме того, с неким призывом выступает веб-сайт Cryp70n1c Army. 

Содержание призыва на веб-сайте:
CRYP70N1C ARMY
JOIN US AND TAKE CONTROL BACK
Join us today and help deface the government and all corrupt businesses. Firstly visit Proton-mail and open a Anonymous e-mail address then proceed to step two
ACCOUNT SIGNUP
Once your anonymous e-mail is registered proceed to sign up, make sure to choose a strong password and username that doesn’t tie you to anything. Our server doesn’t log your IP address so no need to access this site via VPN.
DOWNLOAD THE HACKING “STARTER PACK
Once you have successfully logged in find the footer section called “MORE” this is DDOS and MYSQL Injection software we built for you, we will be training you to use it via our learning center.
LAUNCH DATES & COMMUNICATION
You shall find the following sections once logged in, Launch Dates will be set 2 weeks prior to attack and attack targets will we given 15 minutes prior to live attack. All communication will be done via our live chatroom.
Cryp70n1c: Leader
AMAZING
It is a long established fact that majority always wins, power is essential and clearly our government has the upper hand. We are a core group of three experienced hackers which were responsible for the Julius Malema hack, several database dumps as well as defacing 3 government websites. But we need recruitment’s who are willing to join in on the hacks as we need more computational power.
SEE YOU ON THE DARKSIDE
***

Перевод призыва на русский язык:
CRYP70N1C ARMY
Присоединяйтесь к нам и верните контроль
Присоединяйтесь к нам сегодня и помогите дискредитировать правительство и все коррумпированные предприятия. Сначала посетите Proton-mail и откройте анонимный email-адрес, а затем перейдите к шагу 2
РЕГИСТРАЦИЯ АККАУНТА
Как только ваш анонимный email зарегистрирована, перейдите к нашей регистрации, убедитесь, что вы выбрали надежный пароль и имя пользователя, которое не привязывает вас ни к чему. Наш сервер не регистрирует ваш IP-адрес, поэтому вам не нужно обращаться к этому сайту через VPN.
ЗАГРУЗИТЬ ХАКЕРСКИЙ "STARTER PACK"
После того, как вы успешно вошли в систему, найдите нижний колонтитул под названием "MORE", это программа для DDOS и MYSQL инъекций, которое мы сделали для вас, мы будем обучать вас, как использовать его, через наш учебный центр.
ЗАПУСК ДАТЫ И СВЯЗЬ
После входа в систему вы найдете следующие разделы: Launch Dates будет установлен за 2 недели до атаки и целей атаки, которые мы давали за 15 минут до живой атаки. Все общение будет осуществляться через наш интерактивный чат.
Cryp70n1c: Лидер
УДИВИТЕЛЬНО
Это давно установленный факт, что большинство всегда побеждает, власть необходима, и ясно, что наше правительство имеет верх. Мы являемся основной группой из трех опытных хакеров, которые были ответственны за взлом Julius Malema, несколько дампов базы данных, а также за нарушение 3 правительственных веб-сайтов. Но нам нужны призывники, которые хотят присоединиться к хакам, поскольку нам нужно больше вычислительной мощности.
СМОТРИТЕ НА ТЕМНОЙ СТОРОНЕ
***


Скриншоты с сайта Cryptonic Army


  
 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Распространяется и позиционируется как хакерский инструмент PDF-Cracker-v2.0.1Есть даже инструкция по применению how-to-use-pdf-cracker.txt.
Содержание: 
Thank you for downloading PDF Cracker by Code-C
step 1: Open PDF cracker
step 2: Upload the .PDF you would like to crack
step 3: Click "Start Cracking"
step 4: Copy the hash-key after PDF cracker has found it
step 5: Paste the hash-key in the bruteforcer text block and click "find key"
After a few minutes you will see the PDF's Password :)
If you enjoyed this software please consider donating to me via paypal PDF-Cracker-V2

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
PDF-Cracker-v2.0.1.exe (hidden-tear.exe)
how-to-use-pdf-cracker.txt
READ_IT.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://cryp70n1c.army/
Email: ransom@deliveryman.com
BTC: 1KDQcgujZKjMgZkYSbMJJpLeGSDqBwa1RM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это статья является 500-ой, из написанных в 2017 году!


среда, 22 ноября 2017 г.

QkG

QkG Ransomware

(шифровальщик-вымогатель, макро-вымогатель, макро-шифровальщик)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: QkG, QkG@17! и QkG@PTM17! (так указано в записке). На файле написано: qkG. Разработчик: TNA-MHT-TT2 или TNA@MHT-TT2


Три скриншота с разными названиями

© Генеалогия: QkG. Начало. 

К зашифрованным файлам никакое расширение не добавляется. Названия файлов не меняются. 

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных и вьетнамских пользователей, что не мешает распространять его по всему миру.

Отдельной записки нет. Записка с требованием выкупа добавляется к содержимому документа.  
Записка о выкупе, которая отображается после шифрования документа

Содержание записки о выкупе:
I'm QkG@PTM17! by TNA@MHT-TT2
Send $300 to BTC Address: 14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg
Contact Email: ***
7800320014003400580036001700380068003000

Перевод записки на русский язык:
Я есть QkG@PTM17! by TNA@MHT-TT2
Отправь $300 на BTC-адрес: 14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg
Контактный Email: ***
7800320014003400580036001700380068003000



Технические детали

Исследователи из TrendMicro считают, что QkG — это экспериментальный проект или пруф-концепт (Proof-of-Concept, PoC), а не распространяемое вредоносное ПО. Это, однако, не делает QkG менее опасной угрозой. Поведение и методы QkG могут быть доработаны самим разработчиком или другими разработчики вредоносов. У раннего образца, отправленного на анализ в VirusTotal 12 ноября не было биткоин-адреса. Он появился только два дня спустя, а на следующий день был исследован другой образец QkG с другим поведением, при котором не шифровались документы с определённым форматом имени файла. Это говорит о том, что доработка QkG продолжается. 

Может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.



Подробности шифрования
Вредонос QkG заражает стандартный шаблон Microsoft Word, т.е. файл normal.dot. Если жертва разрешает макросы в документе, то именно к шаблону прикрепляется вредоносный макрос. 
Вредонос QkG полностью содержится в макросе. Потом он загружается и выполняется, когда пользователь закрывает вновь созданный или открытый документ Word. 
При первом закрытии файла с макросами, в шаблоне normal.dot изменяются несколько параметров безопасности Office, чтобы далее макросы уже выполнялись автоматически, а защищенный просмотр документов отключается. 


Вредоносный макрос, добавленный в шаблон normal.dot

Вредонос QkG скремблирует документ, производя шифрование содержимого документа с помощью XOR, но структура файла не повреждается и имя файла не изменяется. В папки пользователя не добавляется отдельная обычная записка о выкупе, т.к. вымогательский текст добавляется к содержимому документа. Это влияет на активные документы, поэтому только открытые документы будут зашифрованы. 

Содержимое вредоносного документа, предварительно очищенного антивирусом

Как только пользователь закроет свой документ, то содержимое файла MS Office зашифруется и перед пользователем отобразится сообщение с email-адресом и Bitcoin-адресом, а также зашифрованным контентом. Более того, если зараженный документ сохранить и открыть потом на незаражённом ПК, то цепочка заражения повторится. 

Для шифрования используется алгоритм XOR. Ключ шифрования всегда один и тот же и включен в каждый зашифрованный документ. 
Ключ дешифрования: "I’m QkG@PTM17! by TNA@MHT-TT2"

Суммируем: Что происходит при закрытии документа? 
1) Вредонос QkG изменяет настройки Office, разрешая программный доступ к объектной модели Office VBA (AccessVBOM) и деактивирует Защищенный просмотр (Protected View), чтобы макросы выполнялись автоматически и без запросов. Для этого QkG изменяет в реестре параметры: DisableAttachmentsInPV, DisableInternetFilesInPV и DisableUnsafeLocationsInPV. 
2) Вредоносный код QkG внедряется в шаблон Word-документов normal.dot – стандартный шаблон для всех документов Word. 
3) Содержимое всех документов на ПК жертвы шифруется при помощи XOR и в конец каждого документа добавляется сообщение с требованием выкупа.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office и совместимых приложений.

Файлы, связанные с этим Ransomware:
Tuyen bo chung Viet Nam - Hoa Ky.dotm
infected file normal.dot
<random>.LNK
index.dat
~$Normal.dotm
~WRS{random}.tmp
~$<random>.doc
New Microsoft Word Document.docx

Расположения:
%APPDATA%\Microsoft\Office\Recent\<random>.LNK
%APPDATA%\Microsoft\Office\Recent\index.dat
%APPDATA%\Microsoft\Templates\~$Normal.dotm
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{random}.tmp
C:\~$<random>.doc
%USERPROFILE%\Desktop\New Microsoft Word Document.docx

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg
См. ниже результаты анализов.

Код разблокировки:
I'm QkG @ PTM17! By TNA @ MHT-TT2

Результаты анализов:
 VirusBuy анализ >>
VirusTotal анализ образца 2d*** >>
VirusTotal анализ образца 2e*** >>
VirusTotal анализ образца e6*** >>
Гибридный анализ >>

Образец 2d*** выполняет дешифрования, но не активирован в исходном коде QkG и потому не работает.  
В образце 2e*** процедура шифрования ещё не реализована, есть только комментарий списка дел QkG.  
Образец e6*** заражает не все файлы после их закрытия, исключаются файлы по времени создания.

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as qkG)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Jaromir Horejsi, BleepingComputer
 Michael Gillespie
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Wanna Decryptor Portuguese

Wanna Decryptor Portuguese Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,0060 BTC, чтобы вернуть файлы. Оригинальное название: Wanna Decryptor. На файле написано: ransom.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > Wanna Decryptor Portuguese

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Seus Arquivos foram encriptados!
Oque aconteceu com meu computador?
Seus arquivos foram encriptados, todos eles foram encriptados e agora você não tem mais acesso à eles. Não procure uma forma de recuperar seus arquivos, você não vai conseguir.
Posso recuperar meus arquivos?
Claro, garantimos todos seus arquivos, ao menos que acabe o tempo você perderá todos eles, mas se você pagar você pode recuperar todos eles. Se você pagar nos primeiros 3 dias o preço será mais baixo, depois desses 3 dias o preço dobrará, e depois desses 3 dias seus arquivos serão deletados.
Como eu pago?
O pagamento é feito com bitcoin (Uma moeda virtual), você terá que comprar o necessário e enviar para a carteira logo abaixo. O pagamento terá o preço de 0,0060 Bitcoins nos primeiros 3 dias e depois disso 0,0120 Bitcoins. Depois do pagamento ser feito você terá que mandar um email comprovando sua compra e você receberá uma chave de desencriptação.
---
Você tem este tempo para efetuar o pagamento
Tempo Restante 7 dias
---
[1Pqi7AagXayJitfJRsSPGfY1wPgbrA3LrT]
Envie 0.0060 Bitcoins para essa carteira.
[Pagamento]   [Desencripte]

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Что случилось с моим компьютером?
Ваши файлы зашифрованы, все они зашифрованы, и теперь у вас больше нет доступа к ним. Не ищите способ восстановить ваши файлы, вы не сможете.
Могу ли я восстановить файлы?
Конечно, мы гарантируем вернуть все ваши файлы, если в конце времени вы не потеряете их всех, но если вы заплатите, вы сможете восстановить их все. Если вы платите за первые 3 дня, цена будет ниже, но после этих трех дней цена удвоится, и через эти 3 дня ваши файлы будут удалены.
Как я могу заплатить?
Платеж выполняется в биткоинах (виртуальная валюта), вам придется купить нужную сумму и отправить её на кошелек чуть ниже. Платеж будет стоить 0,0060 биткоинов за первые 3 дня, а затем 0,0120 биткоинов. После того, как платеж будет сделан, вам придется отправить email, подтверждающее вашу покупку, и вы получите ключ дешифрования.
---
У вас есть на этот раз платеж
Время. осталось 7 дней
---
[1Pqi7AagXayJitfJRsSPGfY1wPgbrA3LrT]
Отправить 0.0060 биткоинов на этот кошелёк.
[Оплата] [Расшифровка]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Если шифрование будет реализовано, то это вполне могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
Shiguinima Launcher v3100.exe
ransom.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nkittybuggy8648@gmail.com
BTC: 1Pqi7AagXayJitfJRsSPGfY1wPgbrA3LrT
Сумма выкупа: 0.0060 BTC
См. ниже результаты анализов.

Код разблокировки: 
7HAR2NTX-YC8APT4B-4H7H62JP-A2QLWNHU-ZWYX5J4J-W29P6M9W-KS3LKAP4-BML5WTS2

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

IGotYou

IGotYou Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 10000 индийских рупий, чтобы вернуть файлы. Оригинальное название: EncryptingRansomware. На файле написано: EncryptingRansomware.exe. Разработчик: Rogers_Pro.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid / FTSCoder >> IGotYou

К зашифрованным файлам добавляется расширение .iGotYou

Образец этого крипто-вымогателя обнаружен во второй половине ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Files Encrypted
If you are reading this, that means your files are now ENCRYPTED by me. #youCan'tSeeMe
If you dont know what's encryption, then go to www.http://searchsecurity.techtarget.com/definition/encryption .
In order to get your data back free from encryption you need to decrypt your data back.
And, obviously you can NOT do that so easily. For that you required a authentic private key and that can only be provided via secrect passcode.
The authentic private key is safe and unbreachable . It will be authenticated by its hash value which can only be possible by that secrect passcode.
In order to get that secrect passcode, you need to help me out with some money. Now I Don't care what do you think when i said "help me out", you can aslo term it as ransom.
You need to pay me INR 10,000 via payTM in account No. XX2X9XX7XX by Dec 1, 2017.
I suggest you to use your phone for this.
WARNING: I am seeing EVERYTHING, so do not try for any smart moves. If there is any unwanted attempt, you can lose all your data FOREVER and after that don't blame me :p
Enter Decryption code here
[Initiate Decryption]

Перевод записки на русский язык:
Файлы зашифрованы
Если вы читаете это, значит ваши файлы теперь ENCRYPTED мной. # youCan'tSeeMe
Если вы не знаете, что такое шифрование, перейдите по адресу www.http://searchsecurity.techtarget.com/definition/encryption.
Чтобы ваши данные не остались зашифрованными, вам надо дешифровать свои данные.
И, очевидно, вы не сможете это легко сделать. Для этого вам нужен аутентичный закрытый ключ, который может быть предоставлен только с помощью секретного пароля.
Аутентичный секретный ключ является безопасным и недоступным. Он будет аутентифицироваться по его хэш-значению, которое может быть возможно только с помощью этого безопасного кода доступа.
Чтобы получить этот секретный код, вам нужно помочь мне с деньгами. Теперь мне все равно, что вы думаете, когда я сказал «помогите мне», вы также можете назвать его выкуп.
Вы должны заплатить мне 10000 рупий через payTM на счет №XX2X9XX7XX до 1 декабря 2017 года.
Я предлагаю вам использовать свой телефон для этого.
ПРЕДУПРЕЖДЕНИЕ: Я вижу ВСЕ, поэтому не пытайтесь делать какие-то умные шаги. Если будет какая-то нежелательная попытка, вы можете потерять все свои данные НАВСЕГДА и после этого не вините меня: p
Введите код дешифрования здесь
[Initiate Decryption]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифрует только файлы в тестовой папке: C:\Test
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
EncryptingRansomware.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 21 ноября 2017 г.

CryptolockerEmulator

CryptolockerEmulator Ransomware

(шифровальщик-вымогатель)


Этот эмулятор шифровальщика-вымогателя шифрует данные с помощью RSA. Работает, видимо, как тестовое ПО, выбрав папку и подготовленные файлы. Оригинальное название: CryptolockerEmulator. На файле написано: CryptolockerEmulator.exe. Среда разработки: Visual Studio 2015. Разработчик: asedunov (А. Седунов). 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Образец этого крипто-вымогателя был обнаружен во второй половине ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: *нет данных*.


Инструкция по шифрованию:
Enter CRYPTO to crypt directory C:\Users\User\Desktop
Press any key to exit...

Перевод на русский язык:
Введи CRYPTO для шифрования директории C::\Users\User\Desktop
Нажми любую клавишу для выхода...

Шифруются только указанные типы файлов и только в текущей папке (см. список ниже).
При тестовом запуске, к сожалению, а может и к счастью, шифрование не сработало. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, которые должны быть зашифрованы:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx (72 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, файлы прикладных программ, сертификаты и пр.

Файлы, связанные с этим Ransomware:
CryptolockerEmulator.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

RSA-ключ:





Результаты анализов:
 VirusBuy анализ >>
Гибридный анализ образца 37b*** >>
Гибридный анализ образца 3c3*** >>
VirusTotal анализ образца 3c3*** >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 S!ri
 GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *