Если вы не видите здесь изображений, то используйте VPN.

понедельник, 25 декабря 2017 г.

Losers-Dangerous

Losers-2 Ransomware

Losers-Dangerous Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название сами вымогатели окончательно не выбрали: в заголовке они назвали это как Damage Ransomware, а в тексте и на копирайте (внизу страницы) - это Dangerous Ransomware

Хотя на самом деле мы знаем, что это новая (переделанная) версия Losers Ransomware. Именно так, потому что используются те же email, BM, Tor-сайты, ссылка на видео по установке браузера Tor, как будто эта установка у кого-то вызывает трудности. 😃
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Nemesis ⟺ СryptON > Cry36Losers > Losers-Dangerous




К зашифрованным файлам добавляется расширение .wtf

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOWTODECRYPTFILES.html


Содержание записки о выкупе:
Damage Ransomware | Instructions
---
Dangerous Ransomware 
To decrypt the files, you need to purchase special software Dangerous decryptor»
Restore the data, follow the instructions!
You can learn more / request
e-mail: dd.coala@protonmail.com
You can learn more/questions in the chat:
xxxx://kuysqebjbttaxmq2.onion.to (not need Tor)
xxxxs://kuysqebjbttaxmq2.onion.cab (not need Tor)
xxxx://kuysqebjbttaxmq2.onion/ (need Tor)
You can learn more problem out bitmessage:
https://bitmsg.me/ BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrU
If the resource is unavailable for a long time to install and use the terms of reference of the browser:
1. + Start the Internet browser
2. + Type or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. + On the website you will be prompted to download the Tor browser, download and install it. To work.
4. + Connection, click "connect" (using English version)
5. + After connecting, open a normal window Tor-browser
6. + Type or copy the address http://kuysqebjbttaxmq2.onion/ in the address bar of Tor-browser and press key ENTER
7. + Wait for the download site
+ If you have any problems with installation or usage, please visit the video:
xxxxs://youtu.be/gOgh3ABju6Q
8. Your personal identification ID: ***
© All rights reserved. Dangerous Ransomware 2017

Перевод записки на русский язык:
Damage Ransomware | Инструкции
---
Dangerous Ransomware 
Чтобы расшифровать файлы, вам надо приобрести специальную программу Dangerous decryptor»
Восстановите данные, следуйте инструкциям!
Вы можете узнать больше / спросить
e-mail: dd.coala@protonmail.com
Вы можете узнать больше / спросить в чате:
xxxx://kuysqebjbttaxmq2.onion.to (не нужен Tor)
xxxxs://kuysqebjbttaxmq2.onion.cab (не нужен Tor)
xxxx://kuysqebjbttaxmq2.onion/ (нужен Tor)
Вы можете узнать больше об ошибках в битмассе:
https://bitmsg.me/ BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrU
Если ресурс недоступен долгое время то установите и используйте  по инструкции браузер:
1. + Запустите интернет-браузер
2. + Введите или скопируйте адрес https://www.torproject.org/download/download-easy.html в адресную строку вашего браузера и нажмите клавишу ENTER
3. + На веб-сайте вам будет предложено загрузить браузер Tor, загрузите и установите его. Работайте.
4. + Подключение, нажмите "connect" (в английской версии)
5. + После подключения откройте обычное окно Tor-браузера
6. + Введите или скопируйте адрес xxxx://kuysqebjbttaxmq2.onion/ в адресной строке Tor-браузера и нажмите клавишу ENTER
7. + Дождитесь загрузки сайта
+ Если у вас возникли проблемы с установкой или использованием, просмотрите видео: xxxxs://youtu.be/gOgh3ABju6Q
8. Ваш личный идентификационный ID: ***
© All rights reserved. Dangerous Ransomware 2017



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOWTODECRYPTFILES.html
decryptor.exe
<random>.exe
<random>.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL в коде страницы: xxxx://auth-rambler.com/
TOR-URL: xxxx://kuysqebjbttaxmq2.onion
xxxx://kuysqebjbttaxmq2.onion.to
xxxxs://kuysqebjbttaxmq2.onion.cab
Email: dd.coala@protonmail.com
BitMessage: BM-2cTFScArDZfPNYbefeDn1RJL44NkvuVPrU
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 22 декабря 2017 г.

Cryptomix-FILE

Cryptomix-FILE Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix RevengeCryptomix-FILE

К зашифрованным файлам добавляется расширение .FILE

Примеры зашифрованных файлов:
024816EE1E332758C7A0FDE71F4F0B38.FILE
BC95B6222AA2F55ECB87B30A2BBED93E.FILE
F06C3C509054X0B7D28ZCDDBB17087B9C3E.FILE

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
file1@keemail.me
file1@protonmail.com
file1m@yandex.com
file1n@yandex.com
file1@techie.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Внимание! Все ваши данные зашифрованы!
Для конкретной информации, пришлите нам email с вашим ID номером:
file1@keemail.me
file1@protonmail.com
file1m@yandex.com
file1n@yandex.com
file1@techie.com
Отправьте письмо на все email-адреса! Мы поможем вам как можно скорее!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ ВСЯКИЙ ПУБЛИЧНЫЙ СОФТ! ЭТО МОЖЕТ НАВСЕГДА ПОВРЕДИТЬ ВАШИ ДАННЫЕ!
DECRYPT-ID-[id] number


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов и публичного софта. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe
BC2D64A077.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: file1@keemail.me
file1@protonmail.com
file1m@yandex.com
file1n@yandex.com
file1@techie.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 27 ноября 2019 (вероятно повтор):
Пост в Твиттере >>
Расширение: .FILE
Пример зашифрованного файла: DACD5E80154CBA206A367B2816109E00.FILE
Записка: _HELP_INSTRUCTION.TXT
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Genobot

Genobot Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $10 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файлах может быть написано: Photoshop Cracked.exe или Minecraft Crack.exe, аналогично на названиях обоих проектов. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Genobot

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных и итальянских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
YOUR COMPUTER HAS BEEN LOCKED
TO UNENCRYPT YOUR FILES, SEND 10$ BTC TO 3Fr6KwRoWFNjGdqV6GjBKKytsgimgdxf7Q
THEN EMAIL ME AT genobot01@gmail.com WITH TRANSACTION ID AND YOUR COMPUTER NAME
AND I'LL SEND BACK YOUR PASSWORD.
"""
Decryptor Link: https://goo.gl/GFnlSQ (REQUIRES PASSWORD)

Перевод записки на русский язык:
ВАШ КОМПЬЮТЕР ЗАБЛОКИРОВАН
ДЛЯ ДЕШИФРОВКИ ВАШИХ ФАЙЛОВ ПОШЛИТЕ 10$ BTC НА 
3Fr6KwRoWFNjGdqV6GjBKKytsgimgdxf7Q
ЗАТЕМ ПИШИТЕ МНЕ НА GENOBOT01@GMAIL.COM С ИДЕНТИФИКАТОРОМ ТРАНЗАКЦИИ И ИМЕНЕМ ВАШЕГО КОМПЬЮТЕРА
И Я ВЕРНУ ВАШ ПАРОЛЬ.

Другим информатором жертвы выступает изображение, подменяющее обои. Загружается с сервиса imgur.com. 
Genobot Ransomware
 Обои и рабочий стол первого варианта

Содержание текста на английском:
!!! YOUR PC HAS BEEN LOCKED !!!
TO DECRYPT YOUR FILES 
SEND 10$ BTC TO 
3FR6KWRoWFNJGDqV6GJBKKYTSGIMGDXF7Q
AND EMAIL ME THE TRANSACTION ID
+
YOUR COMPUTER NAME
GENOBOT01@GMAIL.COM

Перевод на русский:
!!! ВАШ КОМПЬЮТЕР ЗАБЛОКИРОВАН !!!
ДЛЯ ДЕШИФРОВКИ ВАШИХ ФАЙЛОВ ПОШЛИТЕ 10$ BTC НА 
3FR6KWROWFNJGDQV6GJBKKYTSGIMGDXF7Q
И НАПИШИТЕ МНЕ ИДЕНТИФИКАТОР ТРАНЗАКЦИИ
+
ИМЯ ВАШЕГО КОМПЬЮТЕРА
GENOBOT01@GMAIL.COM


Genobot Ransomware
  Обои и рабочий стол второго варианта


Содержание текста на итальянском:
Ciao
Il tuo computer è stato violato.
I tuoi dati sono stati appena crittografati con una chiave univoca.
Non andare nel panico ma segui e leggi con attenzione le istruzioni riportate nel file READ_ME.txt sul tuo Desktop per riavere i tuoi file indietro.

Перевод на русский:
Привет
Ваш компьютер взломан.
Ваши данные только что были зашифрованы с уникальным ключом.
Не волнуйтесь, но внимательно прочтите инструкции в файле READ_ME.txt на рабочем столе, чтобы вернуть файлы.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
Photoshop Cracked.exe
Minecraft Crack.exe
Всего скидывается 149 файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://genocheats.eu/***
xxxx://i.imgur.com/vMGeXh7.jpg
xxxx://i.imgur.com/xZuLWTN.jpg
Email: genobot01@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 21 декабря 2017 г.

File-Locker

File-Locker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: File-Locker Ransomware. На файле написано: File-Locker Ransomware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> File-Locker

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на корейских и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Warning!!!!!!.txt
File-Locker Ransomware

Содержание записки о выкупе:
한국어: 경고!!! 모든 문서, 사진, 데이테베이스 및 기타 중요한 파일이 암호화되었습니다!!
당신은 돈을 지불해야 합니다
비트코인 5만원을 fasfry2323@naver.com로 보내십시오 비트코인 지불코드: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX  결제 사이트 http://www.localbitcoins.com/ 
English: Warning!!! All your documents, photos, databases and other important personal files were encrypted!!
You have to pay for it.
Send fifty thousand won to fasfry2323@naver.com Bitcoin payment code: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT Payment site http://www.localbitcoins.com/

Перевод записки на русский язык:
Английский: Внимание! Все ваши документы, фотографии, базы данных и другие важные личные файлы зашифрованы!
Вы должны заплатить за это.
Отправьте 50000 вон на fasfry2323@naver.com 
Биткоин-кошелек: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT 
Сайт оплаты http://www.localbitcoins.com/



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Используется AES-шифрование со статическим паролем "dnwls07193147", поэтому файлы можно легко дешифровать. Тем не менее уже набралось множество транзакций на оба указанных кошелька: в одном на данный момент почти 30 BTC, в другом более 2 BTC. Даты транзакций указывают на недавние платежи. 

Список файловых расширений, подвергающихся шифрованию:
.7z, .asp, .aspx, .avi, .bat, .bk, .bmp, .c, .class, .cmd, .cpp, .cr2, .cs, .css, .csv, .divx, .dll, .doc, .docm, .docx, .dotx, .dxg, .exe, .gif, .html, .hwp, .ico, .index, .ini, .jar, .java, .jpeg, .jpg, .js, .kdc, .kdc, .lnk, .log, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .msg, .nef, .odc, .odm, .odp, .odt, .ogg, .p12, .pdf, .pem, .pfx, .php, .pmd, .png, .pot, .pps, .ppt, .pptx, .ps, .psd, .r3d, .rar, .reg, .rtf, .sln, .sql, .torrent, .txt, .vbs, .wav, .wma, .wmv, .wsf, .xll, .xls, .xlsm, .xlsx, .xlt, .xml, .xqx, .zip (85 расширений без дублей).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Warning!!!!!!.txt
File-Locker Ransomware.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fasfry2323@naver.com
BTC в корейском тексте: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqXBTC в английском тексте: 1BoatSLRHtKNngkdXEeobR76b53LETtpyT
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 2 января 2018:
Разработчик зачем-то переименовал свой вымогатель в Razy Ransomware. И это несмотря на то, что такой вымогатель уже существует. Возможно есть связь. 
Новое расширение: .razy
Файл: Razy Ransomware.exe
Результаты анализов: VT


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 19 декабря 2017 г.

RETIS

Retis Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RANSOMWARE. На файле написано: RANSOMWARE.exe. На изображении, заменяющем обои, написано: Hack Lab by RETIS. Среда разработки: .NET. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypted

Активность этого крипто-вымогателя пришлась на средину декабря 2017 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает файл RANSOM.png, заменяющий обои. 
Retis Ransomware

Содержание текста о выкупе:
Votre bureau, vos photos, vos données et autres dossiers importants ont été chiffrés avec un algorithme fort et une clé unique générés pour cet ordinateur.
La clé secrète pour déchiffrer vos données est gardée sur un serveur d'Internet, et personne ne peut déchiffrer vos fichiers jusqu'à ce que vous payez pour l'obtenir.
Vous disposez d'un délai de 24 heures pour nous transmettre le paiement.
PASSÉ CE DÉLAI VOTRE CLÉ SERA SUPPRIMÉE OE NOS SERVEURS ET IL NE SERA PLUS POSSIBLE POUR VOUS OE RÉCUPÉRER VOS DONNÉES
HackLab by Retis

Перевод текста на русский язык:
Ваш офис, фото, данные и другие важные файлы были зашифрованы с помощью сильного алгоритма и уникального ключа, созданного для этого компьютера.
Секретный ключ для расшифровки ваших данных хранится на интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите, чтобы получить его.
У вас есть 24 часа, чтобы отправить нам платеж.
ПО ОКОНЧАНИИ ЭТОГО СРОКА ВАШ КЛЮЧ БУДЕТ УДАЛЕН С НАШИХ СЕРВЕРОВ, И ВАМ БОЛЬШЕ НЕ УДАСТСЯ ВОССТАНОВИТЬ ВАШИ ДАННЫЕ.
HackLab by Retis



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Подробности по шифрованию: 
Используется AES-шифрование со статическим паролем, поэтому файлы можно легко дешифровать. 
AES key - "m4aP}2a_Jd`H~=k9aML58-ZJwy/j:e5Q"
AES IV - "R<0]W&JCfaD^('FX"

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpeg, .jpg, .one, .pdf, .png, .ppt, .pptx, .txt, .xls, .xlsx (12 расширений). 
Это документы MS Office, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
RANSOM.png
RANSOMWARE.exe
<random>.exe

Расположения:
%APPDATA%\RANSOM.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 SDK
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 18 декабря 2017 г.

Satan Cryptor

Satan Cryptor 2.0 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью DES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано, что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: предыдущая версия >> Satan Cryptor 2.0 >> Lucky

К зашифрованным файлам добавляется расширение .satan

Активность этого крипто-вымогателя пришлась на середину декабря 2017 г. Ориентирован на англоязычных, китайских и корейских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Payment Time Left
2 Day 23 Hour 34 Min 37 Sec
Some files have been encrypted
Please send 0.5 bit coins to my wallet address
If you paid, send the machine code to my email
I will give you key
If there is no payment within three days, we will no longer support decryption
We support decrypting the test file.  
send three small than 3 MB files to the email address
Btc Wallet: [1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8]
Mail: [satan_pro@mail.ru]
HardWareID: [...]

Перевод записки на русский язык:
Время оплаты осталось
2 Day 23 Hour 34 Min 37 Sec
Некоторые файлы были зашифрованы
Пожалуйста, отправьте 0.5 биткоина на мой кошелек.
Если вы заплатили, отправьте код машины на мой email-адрес
Я дам вам ключ
Если за 3 дня не будет оплаты, мы больше не будем поддерживать дешифровку
Мы поддерживаем дешифрование тестового файла.
отправьте три файла не более 3 МБ на email-адрес
Btc Wallet: [1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8]
Mail: [satan_pro@mail.ru]
HardWareID: [...]


Технические детали

Пытается распространяться с помощью SMB. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
satan2.exe
Eternalblue-2.2.0.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Malware-URL: xxxx://122.114.9.220/data/client.exe
Malware-URL: xxxx://122.114.9.220/data/winlog.exe
IP: 122.114.9.220:80 Китай
Email: satan_pro@mail.ru
BTC: 1BEDcx8n4PdydUNC4gcwLSbUCVksJSMuo8
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
Гибридный анализ на client.exe >>
VirusTotal анализ >>  
VirusTotal анализ на client.exe >>
VirusTotal анализ на winlog.exe >>

Степень распространённости: средняя с учётом новых вариантов.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 8 апреля 2018:
Пост в Твиттере >>
Название версии: Satan Cryptor "ST_V22"
Расширение: .satan
Примеры зашифрованных файлов: 
2BF68F4714092295550497DD56F57004.satan
303572DF538EDD8B1D606185F1D559B8.satan
Записка: How_to_decrypt_files.txt
Результаты анализов: VT





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать. 
Обратитесь за помощью на форум BleepingComputer 
Используйте эту ссылку >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jack
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *