Если вы не видите здесь изображений, то используйте VPN.

пятница, 22 декабря 2017 г.

Cryptomix-FILE

Cryptomix-FILE Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix RevengeCryptomix-FILE

К зашифрованным файлам добавляется расширение .FILE

Примеры зашифрованных файлов:
024816EE1E332758C7A0FDE71F4F0B38.FILE
BC95B6222AA2F55ECB87B30A2BBED93E.FILE
F06C3C509054X0B7D28ZCDDBB17087B9C3E.FILE

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
file1@keemail.me
file1@protonmail.com
file1m@yandex.com
file1n@yandex.com
file1@techie.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Внимание! Все ваши данные зашифрованы!
Для конкретной информации, пришлите нам email с вашим ID номером:
file1@keemail.me
file1@protonmail.com
file1m@yandex.com
file1n@yandex.com
file1@techie.com
Отправьте письмо на все email-адреса! Мы поможем вам как можно скорее!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ ВСЯКИЙ ПУБЛИЧНЫЙ СОФТ! ЭТО МОЖЕТ НАВСЕГДА ПОВРЕДИТЬ ВАШИ ДАННЫЕ!
DECRYPT-ID-[id] number


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов и публичного софта. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe
BC2D64A077.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: file1@keemail.me
file1@protonmail.com
file1m@yandex.com
file1n@yandex.com
file1@techie.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 27 ноября 2019 (вероятно повтор):
Пост в Твиттере >>
Расширение: .FILE
Пример зашифрованного файла: DACD5E80154CBA206A367B2816109E00.FILE
Записка: _HELP_INSTRUCTION.TXT
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Genobot

Genobot Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $10 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файлах может быть написано: Photoshop Cracked.exe или Minecraft Crack.exe, аналогично на названиях обоих проектов. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Genobot

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных и итальянских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
YOUR COMPUTER HAS BEEN LOCKED
TO UNENCRYPT YOUR FILES, SEND 10$ BTC TO 3Fr6KwRoWFNjGdqV6GjBKKytsgimgdxf7Q
THEN EMAIL ME AT genobot01@gmail.com WITH TRANSACTION ID AND YOUR COMPUTER NAME
AND I'LL SEND BACK YOUR PASSWORD.
"""
Decryptor Link: https://goo.gl/GFnlSQ (REQUIRES PASSWORD)

Перевод записки на русский язык:
ВАШ КОМПЬЮТЕР ЗАБЛОКИРОВАН
ДЛЯ ДЕШИФРОВКИ ВАШИХ ФАЙЛОВ ПОШЛИТЕ 10$ BTC НА 
3Fr6KwRoWFNjGdqV6GjBKKytsgimgdxf7Q
ЗАТЕМ ПИШИТЕ МНЕ НА GENOBOT01@GMAIL.COM С ИДЕНТИФИКАТОРОМ ТРАНЗАКЦИИ И ИМЕНЕМ ВАШЕГО КОМПЬЮТЕРА
И Я ВЕРНУ ВАШ ПАРОЛЬ.

Другим информатором жертвы выступает изображение, подменяющее обои. Загружается с сервиса imgur.com. 
Genobot Ransomware
 Обои и рабочий стол первого варианта

Содержание текста на английском:
!!! YOUR PC HAS BEEN LOCKED !!!
TO DECRYPT YOUR FILES 
SEND 10$ BTC TO 
3FR6KWRoWFNJGDqV6GJBKKYTSGIMGDXF7Q
AND EMAIL ME THE TRANSACTION ID
+
YOUR COMPUTER NAME
GENOBOT01@GMAIL.COM

Перевод на русский:
!!! ВАШ КОМПЬЮТЕР ЗАБЛОКИРОВАН !!!
ДЛЯ ДЕШИФРОВКИ ВАШИХ ФАЙЛОВ ПОШЛИТЕ 10$ BTC НА 
3FR6KWROWFNJGDQV6GJBKKYTSGIMGDXF7Q
И НАПИШИТЕ МНЕ ИДЕНТИФИКАТОР ТРАНЗАКЦИИ
+
ИМЯ ВАШЕГО КОМПЬЮТЕРА
GENOBOT01@GMAIL.COM


Genobot Ransomware
  Обои и рабочий стол второго варианта


Содержание текста на итальянском:
Ciao
Il tuo computer è stato violato.
I tuoi dati sono stati appena crittografati con una chiave univoca.
Non andare nel panico ma segui e leggi con attenzione le istruzioni riportate nel file READ_ME.txt sul tuo Desktop per riavere i tuoi file indietro.

Перевод на русский:
Привет
Ваш компьютер взломан.
Ваши данные только что были зашифрованы с уникальным ключом.
Не волнуйтесь, но внимательно прочтите инструкции в файле READ_ME.txt на рабочем столе, чтобы вернуть файлы.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
Photoshop Cracked.exe
Minecraft Crack.exe
Всего скидывается 149 файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://genocheats.eu/***
xxxx://i.imgur.com/vMGeXh7.jpg
xxxx://i.imgur.com/xZuLWTN.jpg
Email: genobot01@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 21 декабря 2017 г.

File-Locker

File-Locker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: File-Locker Ransomware. На файле написано: File-Locker Ransomware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> File-Locker

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на корейских и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Warning!!!!!!.txt
File-Locker Ransomware

Содержание записки о выкупе:
한국어: 경고!!! 모든 문서, 사진, 데이테베이스 및 기타 중요한 파일이 암호화되었습니다!!
당신은 돈을 지불해야 합니다
비트코인 5만원을 fasfry2323@naver.com로 보내십시오 비트코인 지불코드: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX  결제 사이트 http://www.localbitcoins.com/ 
English: Warning!!! All your documents, photos, databases and other important personal files were encrypted!!
You have to pay for it.
Send fifty thousand won to fasfry2323@naver.com Bitcoin payment code: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT Payment site http://www.localbitcoins.com/

Перевод записки на русский язык:
Английский: Внимание! Все ваши документы, фотографии, базы данных и другие важные личные файлы зашифрованы!
Вы должны заплатить за это.
Отправьте 50000 вон на fasfry2323@naver.com 
Биткоин-кошелек: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT 
Сайт оплаты http://www.localbitcoins.com/



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Используется AES-шифрование со статическим паролем "dnwls07193147", поэтому файлы можно легко дешифровать. Тем не менее уже набралось множество транзакций на оба указанных кошелька: в одном на данный момент почти 30 BTC, в другом более 2 BTC. Даты транзакций указывают на недавние платежи. 

Список файловых расширений, подвергающихся шифрованию:
.7z, .asp, .aspx, .avi, .bat, .bk, .bmp, .c, .class, .cmd, .cpp, .cr2, .cs, .css, .csv, .divx, .dll, .doc, .docm, .docx, .dotx, .dxg, .exe, .gif, .html, .hwp, .ico, .index, .ini, .jar, .java, .jpeg, .jpg, .js, .kdc, .kdc, .lnk, .log, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .msg, .nef, .odc, .odm, .odp, .odt, .ogg, .p12, .pdf, .pem, .pfx, .php, .pmd, .png, .pot, .pps, .ppt, .pptx, .ps, .psd, .r3d, .rar, .reg, .rtf, .sln, .sql, .torrent, .txt, .vbs, .wav, .wma, .wmv, .wsf, .xll, .xls, .xlsm, .xlsx, .xlt, .xml, .xqx, .zip (85 расширений без дублей).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Warning!!!!!!.txt
File-Locker Ransomware.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fasfry2323@naver.com
BTC в корейском тексте: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqXBTC в английском тексте: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 2 января 2018:
Разработчик зачем-то переименовал свой вымогатель в Razy Ransomware. И это несмотря на то, что такой вымогатель уже существует. Возможно есть связь. 
Новое расширение: .razy
Файл: Razy Ransomware.exe
Результаты анализов: VT


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 19 декабря 2017 г.

RETIS

Retis Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RANSOMWARE. На файле написано: RANSOMWARE.exe. На изображении, заменяющем обои, написано: Hack Lab by RETIS. Среда разработки: .NET. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypted

Активность этого крипто-вымогателя пришлась на средину декабря 2017 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает файл RANSOM.png, заменяющий обои. 
Retis Ransomware

Содержание текста о выкупе:
Votre bureau, vos photos, vos données et autres dossiers importants ont été chiffrés avec un algorithme fort et une clé unique générés pour cet ordinateur.
La clé secrète pour déchiffrer vos données est gardée sur un serveur d'Internet, et personne ne peut déchiffrer vos fichiers jusqu'à ce que vous payez pour l'obtenir.
Vous disposez d'un délai de 24 heures pour nous transmettre le paiement.
PASSÉ CE DÉLAI VOTRE CLÉ SERA SUPPRIMÉE OE NOS SERVEURS ET IL NE SERA PLUS POSSIBLE POUR VOUS OE RÉCUPÉRER VOS DONNÉES
HackLab by Retis

Перевод текста на русский язык:
Ваш офис, фото, данные и другие важные файлы были зашифрованы с помощью сильного алгоритма и уникального ключа, созданного для этого компьютера.
Секретный ключ для расшифровки ваших данных хранится на интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите, чтобы получить его.
У вас есть 24 часа, чтобы отправить нам платеж.
ПО ОКОНЧАНИИ ЭТОГО СРОКА ВАШ КЛЮЧ БУДЕТ УДАЛЕН С НАШИХ СЕРВЕРОВ, И ВАМ БОЛЬШЕ НЕ УДАСТСЯ ВОССТАНОВИТЬ ВАШИ ДАННЫЕ.
HackLab by Retis



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Подробности по шифрованию: 
Используется AES-шифрование со статическим паролем, поэтому файлы можно легко дешифровать. 
AES key - "m4aP}2a_Jd`H~=k9aML58-ZJwy/j:e5Q"
AES IV - "R<0]W&JCfaD^('FX"

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpeg, .jpg, .one, .pdf, .png, .ppt, .pptx, .txt, .xls, .xlsx (12 расширений). 
Это документы MS Office, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
RANSOM.png
RANSOMWARE.exe
<random>.exe

Расположения:
%APPDATA%\RANSOM.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 SDK
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 18 декабря 2017 г.

Satan Cryptor

Satan Cryptor 2.0 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью DES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано, что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: предыдущая версия >> Satan Cryptor 2.0 >> Lucky

К зашифрованным файлам добавляется расширение .satan

Активность этого крипто-вымогателя пришлась на середину декабря 2017 г. Ориентирован на англоязычных, китайских и корейских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Payment Time Left
2 Day 23 Hour 34 Min 37 Sec
Some files have been encrypted
Please send 0.5 bit coins to my wallet address
If you paid, send the machine code to my email
I will give you key
If there is no payment within three days, we will no longer support decryption
We support decrypting the test file.  
send three small than 3 MB files to the email address
Btc Wallet: [1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8]
Mail: [satan_pro@mail.ru]
HardWareID: [...]

Перевод записки на русский язык:
Время оплаты осталось
2 Day 23 Hour 34 Min 37 Sec
Некоторые файлы были зашифрованы
Пожалуйста, отправьте 0.5 биткоина на мой кошелек.
Если вы заплатили, отправьте код машины на мой email-адрес
Я дам вам ключ
Если за 3 дня не будет оплаты, мы больше не будем поддерживать дешифровку
Мы поддерживаем дешифрование тестового файла.
отправьте три файла не более 3 МБ на email-адрес
Btc Wallet: [1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8]
Mail: [satan_pro@mail.ru]
HardWareID: [...]


Технические детали

Пытается распространяться с помощью SMB. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
satan2.exe
Eternalblue-2.2.0.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Malware-URL: xxxx://122.114.9.220/data/client.exe
Malware-URL: xxxx://122.114.9.220/data/winlog.exe
IP: 122.114.9.220:80 Китай
Email: satan_pro@mail.ru
BTC: 1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
Гибридный анализ на client.exe >>
VirusTotal анализ >>  
VirusTotal анализ на client.exe >>
VirusTotal анализ на winlog.exe >>

Степень распространённости: средняя с учётом новых вариантов.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 8 апреля 2018:
Пост в Твиттере >>
Название версии: Satan Cryptor "ST_V22"
Расширение: .satan
Примеры зашифрованных файлов: 
2BF68F4714092295550497DD56F57004.satan
303572DF538EDD8B1D606185F1D559B8.satan
Записка: How_to_decrypt_files.txt
Результаты анализов: VT





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать. 
Обратитесь за помощью на форум BleepingComputer 
Используйте эту ссылку >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jack
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 15 декабря 2017 г.

Godra

Godra Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2000 Евро в BTC, чтобы вернуть файлы. Оригинальное название: Godra. Для атаки на ПК под Windows x64. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .godra

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на хорватских пользователей, что не мешает распространять его на Балканах и по всему миру.

Записка с требованием выкупа называется: 
KAKO OTKLJUČATI VAŠE DATOTEKE.txt
KAKO OTKLJUČATI VAŠE DATOTEKE.log




Содержание записки о выкупе:
VAŠE OSOBNE DATOTEKE SU KRIPTIRANE!!!
UPOZORENJE!
NEMOJTE POKUŠAVATI DEKRIPTIRATI VAŠE DATOTEKE SAMI. SVAKO MODIFICIRANJE DEKRIPTIRANIH DATOTEKA BESPOVRATNO ĆE IH UNIŠTITI! JEDNI NAČIN ZA DEKRIPTIRANJE VAŠIH DATOTEKA JE DA DOSLJEDNO SLIJEDITE UPUTE!!!
Što se dogodilo s mojim računalom?
Sve Vaše bitne datoteke su kriptirane.
Svi Vaši dokumenti, fotografije, video materijali, baze podatka i ostale datoteke više nisu dostupne jer su kriptirane. Nemojte pokšavati i gubiti vrijeme na dekriptiranje ili povrat Vaših datoteka jer nitko ne može dekriptirati Vaše datoteke bez naše dekripcijske usluge.
Mogu li vratiti svoje datoteke?
Naravno. GARANTIRAMO vraćanje Vaših datoteke nakon plaćanja:
2.000,00 EUR (dvijetisućeeura) u BTC (BitCoin) protuvrijednosti
Imate 48 sati za slanje uplate, inače se cijena udvostručava. Također, ukoliko nakon još 72 sata ne izvršite uplatu, Vaše datoteke bit će bespovratno izgubljene. Nakon provedene uplate, pošaljite nam "User ID" i broj walleta s kojeg je napravljena uplata na godra@protonmail.ch
User ID: 1513422729
Nakon toga, poslat ćemo Vam dekripcijski softver koji će vratiti Vaše datoteke. Napominjemo da *NI NA KOJI NAČIN* ne modificirate svoje kriptirane datoteke jer povrat NEĆE biti moguć.
Možete nam poslati datoteku na godra@protonmail.ch (do 100kB) kako bi smo Vam dokazali da je dekripcija moguća.
KAKO PLATITI?
Primamo uplate samo u BTC (BitCoin) valuti. Uplata mora biti izvršena na sljedeću adresu:
13srq1SP93mEs7asR2UxWBUts3x9oUcuac
Ne koristite "deep web" novčanike poput Tor Wallet, Onion Wallet, Shadow Wallet, Hidden Wallet i slični.
Kupite BTC (BitCoin) samo sa službene BitCoin mjenjačnice!
Službena tečajna lista i cijene: https://howtobuybitcoins.info/
Preporuke za kupovinu: https://bit4coin.net/ ili https://www.coinbase.com/ ili https://xcoins.io/
Na Bit4Net nije potrebna registracija! Na Xcoins.io možete kupiti BitCoin putem PayPala!
E-mail adresa za komunikaciju: godra@protonmail.ch
Pošaljite nam e-mail s Vašim "User ID" i walletom s kojeg je uplata napravljena!
UPOZORENJE!
NEMOJTE POKUŠAVATI DEKRIPTIRATI VAŠE DATOTEKE SAMI. SVAKO MODIFICIRANJE DEKRIPTIRANIH DATOTEKA BESPOVRATNO ĆE IH UNIŠTITI! JEDNI NAČIN ZA DEKRIPTIRANJE VAŠIH DATOTEKA JE DA DOSLJEDNO SLIJEDITE UPUTE!!!

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ДАННЫЕ ЗАШИФРОВАНЫ!
ВНИМАНИЕ!
НЕ ПЫТАЙТЕСЬ САМИ ДЕШИФРОВАТЬ СВОИ ФАЙЛЫ. ЛЮБОЕ ИЗМЕНЕНИЕ ЗАШИФРОВАННЫХ ФАЙЛОВ ИХ УНИЧТОЖИТ! ЕДИНСТВЕННЫЙ СПОСОБ ДЕШИФРОВАТЬ ВАШИ ФАЙЛЫ - ТОЧНО СЛЕДОВАТЬ ИНСТРУКЦИЯМ !!!
Что случилось с моим компьютером?
Все ваши важные файлы зашифрованы.
Все ваши документы, фотографии, видеоматериалы, базы данных и другие файлы больше не доступны, т.к. они зашифрованы. Не пытайтесь и не тратьте время на дешифрование или восстановление ваших файлов, потому что никто не сможет дешифровать ваши файлы без нашей службы дешифровки.
Могу ли я восстановить файлы?
Конечно. МЫ ГАРАНТИРУЕМ возврат ваших файлов после оплаты:
2.000,00 евро (две тысячи евро) в BTC (BitCoin) эквиваленте
У вас есть 48 часов для отправки платежа, иначе цена удвоится. Кроме того, если вы не сделаете платеж за 72 часа,
Ваши файлы будут безвозвратно утрачены. После оплаты пришлите нам "User ID" и номер кошелька, с которого была сделана оплата, на godra@protonmail.ch
User ID: 556616351
После этого мы отправим вам программу дешифрования, которая восстановит ваши файлы. Обратите внимание, что *НИКАКИМ ОБРАЗОМ* не изменяйте свои зашифрованные файлы, потому что восстановление будет невозможно.
Вы можете прислать нам файл на godra@protonmail.ch (до 100 КБ), чтобы доказать, что дешифровка возможна.
КАК ПЛАТИТЬ?
Мы принимаем платежи только в BTC-валюте (BitCoin). Оплату нужно сделать на следующий адрес:
13srq1SP93mEs7asR2UxWBUts3x9oUcuac
Не используйте "deep web" кошельки, такие как Tor Wallet, Onion Wallet, Shad's Wallet, Hidden Wallet и т.п.
Покупайте BTC (BitCoin) только с официального BitCoin Exchange!
Официальные курсы валют и цены: https://howtobuybitcoins.info/
Рекомендации по покупке: https://bit4coin.net/ или https://www.coinbase.com/ или https://xcoins.io/
На Bit4Net не нужна регистрации! На xcoins.io можете купить BitCoin через PayPal!
Email-адрес для сообщения: godra@protonmail.ch
Отправьте нам email с вашим "User ID" и кошельком, с которого была сделана оплата!
ВНИМАНИЕ!
НЕ ПЫТАЙТЕСЬ САМИ ДЕШИФРОВАТЬ СВОИ ФАЙЛЫ. ЛЮБОЕ ИЗМЕНЕНИЕ ЗАШИФРОВАННЫХ ФАЙЛОВ ИХ УНИЧТОЖИТ! ЕДИНСТВЕННЫЙ СПОСОБ ДЕШИФРОВАТЬ ВАШИ ФАЙЛЫ - ТОЧНО СЛЕДОВАТЬ ИНСТРУКЦИЯМ !!!


Другим информатором жертвы выступает диалоговое окно с сообщением.

Содержание диалога с заголовком Kraj:
Sve Vaše datoteke su kriptirane!
Detaljno proučite dokumentaciju i kontaktirajte nas na godra@protonmail.ch

Перевод диалога на русский язык:
Все ваши файлы зашифрованы!
Детально изучите документацию и напишите нам на godra@protonmail.ch
_
Хорватское слово "kraj" по-русски тоже "край" (край, конец чего-либо).




Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений (Adobe, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Когда пользователь попытается открыть вредоносное вложение, то программа Adobe Acrobat Reader сообщит, что не может открыть этот файл. В этот момент запущенный вредонос начнет своё чёрное дело. Серия скриншотов в виде одного gif-файла демонстрирует то, что происходит на экране.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Prijedlog_za_ovrhu_urbr_220-2017.pdf{EXE}
KAKO OTKLJUČATI VAŠE DATOTEKE.txt
KAKO OTKLJUČATI VAŠE DATOTEKE.log
<random>.exe
<random>.tmp
Всего: 925 сброшенных файлов, включая мусор.

Расположения:
\AppData\Local\Temp\Prijedlog_za_ovrhu_urbr_220-2017.pdf{EXE}
\AppData\Local\Temp\KAKO OTKLJUČATI VAŠE DATOTEKE.log
\Desktop\ ->
\User_folders\ ->
Информация о файле Prijedlog_za_ovrhu_urbr_220-2017.pdf.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
White-URL: xxxx://curl.haxx.se/docs/http-cookies.html
Malware-URL: xxxxs://www.fina.online/ovr/a.php (68.65.122.71:443, США)
xxxx://beonewedding.com/ 
xxxx://kotobcom.com/
xxxx://moovies123.com/ 
xxxx://www.moovies123.com/ 
xxxx://www.moovies123.com/alien-covenant-2017/ 

Email: godra@protonmail.ch
BTC: 13srq1SP93mEs7asR2UxWBUts3x9oUcuac
См. ниже результаты анализов.

Результаты анализов:
⫸ ANY.RUN анализ и обзор >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Godra)
 Write-up, Topic of Support
 *

 Thanks: 
 S!Ri, Michael Gillespie
 Any.Run
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *