Если вы не видите здесь изображений, то используйте VPN.

понедельник, 2 июля 2018 г.

RaRansomware

RaRansomware Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 + RSA-1028, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RaRansomware. На файле написано: FiFi и FiFile CleanupFiFile. Для вас подготовлен видеообзор этого вымогателя

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения по шаблону .<random{5}>

Примеры расширений: 
.KUAJW
.XVNAW
.DUWVB


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RaRansomware - Recovery instructions.html
Скриншот неполностью загруженной записки
Скриншот полностью загруженной html-записки

Содержание записки о выкупе:
All your files are belong to us!
All your personal files, including, but not limited to:
Photos, videos, databases and office projects have been encrypted using a mix of two very strong cryptographic algorithms - AES-128 and RSA-1028. Original files have been overwritten, recovery tools and software will not help you.
The only way to recover your files, are to meet our demands.
Be warned, we won't be able to recover your files if you start fiddling with them.
You have 120 hours (5 days) from this moment to send us payment, or you files will be lost in eternity.
To start the recovery process you need to download and install the Tor browser, which is easily done from their own home-page.
Once you have the Tor browser running you need to navigate to xxxx://recoverv6m3lvkxg.onion and then input your personal id displayed below.
Further payment instructions will be given once logged in.
[ASEVed5iyM+ZQAGkdcIja4mew***]

Перевод записки на русский язык:
Все ваши файлы принадлежат нам!
Все ваши личные файлы, в том числе, но не ограничиваясь:
Фото, видео, базы данных и офисные проекты были зашифрованы с использованием сочетания двух очень сильных криптографических алгоритмов - AES-128 и RSA-1028. Исходные файлы были перезаписаны, средства восстановления и программы вам не помогут.
Единственный способ восстановить ваши файлы - выполнить наши требования.
Будьте предупреждены, мы не сможем восстановить ваши файлы, если вы начнете ими заниматься.
У вас есть 120 часов (5 дней) с этого момента, чтобы отправить нам платеж, или ваши файлы будут потеряны навечно.
Чтобы запустить процесс восстановления, вам надмо загрузить и установить браузер Tor, который легко сделать с его домашней страницы.
После запуска браузера Tor вам надо перейти на xxxx://recoverv6m3lvkxg.onion, а затем ввести свой личный идентификатор, указанный ниже.
Дальнейшие инструкции по оплате будут предоставлены после входа в систему.
[ASEVed5iyM + ZQAGkdcIja4mew ***]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RaRansomware - Recovery instructions.html
RaRaPayloadCrypted.exe
KUAJW.exe
XTQLT.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%AppData%\KUAJW\KUAJW.exe
%AppData%\XTQLT\XTQLT.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://recoverv6m3lvkxg.onion
URL: xxxx://bitly.com/2u086NE
xxxx://apps.identrust.com
xxxx://www.download.windowsupdate.com/
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 9 июля 2018:
Пост в Твиттере >>
Видеобзор >>

Обновление от 29 ноября 2018:
Пост в Твиттере >>
Расширение: .KUAJW
Результаты анализов: VT



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as RaRansomware )
 Write-up, Topic of Support
 🎥 Video review >>
 - Ведеообзор от CyberSecurity GrujaRS
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 1 июля 2018 г.

Nozelesn

Nozelesn Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: nozelesn ransomware. На файле написано: нет данных.

© Генеалогия: выясняется.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .nozelesn


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В первые часы почти все пострадавшие были из Польши. 

Записка с требованием выкупа называется: HOW_FIX_NOZELESN_FILES.htm
Содержание записки о выкупе:
All files including videos, photos and documents on your computer are encrypted by nozelesn ransomware.
File decryption costs money.
In order to decrypt the files, you need to perform the following steps:
1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: lyasuvlsarvrlyxz.onion
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
Guaranteed recovery is provided within 10 days.
IMPORTANT INFORMATION
You should enter the personal code on the tor site.
Your Personal CODE:
e09c5e1d187866ae38cdbcdd263d3db4-ff1fb0f01634f41f05222ca0893*****

Перевод записки на русский язык:
Все файлы, включая видео, фото и документы на вашем компьютере, зашифрованы nozelesn ransomware.
Дешифрование файла стоит денег.
Чтобы расшифровать файлы, вам надо выполнить следующие шаги:
1. Вы должны загрузить и установить этот браузер http://www.torproject.org/projects/torbrowser.html.en
2. После установки запустите браузер и введите адрес: lyasuvlsarvrlyxz.onion
3. Следуйте инструкциям на веб-сайте. Напоминаем, чем скорее вы это сделаете, тем больше шансов восстановить файлы.
Гарантированное восстановление обеспечивается в течение 10 дней.
ВАЖНАЯ ИНФОРМАЦИЯ
Вы должны ввести персональный код на сайте tor.
Ваш персональный КОД:
e09c5e1d187866ae38cdbcdd263d3db4-ff1fb0f01634f41f05222ca0893*****



Скриншоты с сайта "Nozelesn decryption cabinet"
 Вход в кабинет
Информация в кабинете



Технические детали

Вероятно, использует вредоносные DOC-файлы с макросами для инфицирования при открытии. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_FIX_NOZELESN_FILES.htm - создан 11 мая 2018. 
<random>.exe - случайное название
decryptor.exe - дешифровщик от вымогателей

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: lyasuvlsarvrlyxz.onion
BTC-список: 
12cUV1ZEhC1jvejZFiSYT4nWcvnEY58r5u
14QwbicD8muprhu7TuAzR3xtENEGQi6FwN
1733fk5rn6rf1EQkee17i3mYZdAWSYtkjY
17z7Wj2i4wJKSCFf2fdh6Hhx68UUAHZLhE
1AmCy7QatvYCvycTP4tGWYqTssUA7aaZb9
1B8KBmUDhbNZLcsJqSoCDMuMZEveoXjsxr
1BYwfMsSREUtTZqcot5rwVQYUhWbhEhb1g
1Ft1u5CtKkjLz8gU4UfEw3kmVzAqVvf44K
1HpwUA7ze78mkpeW7XYeUWG1TCW7rmcNCd
1JXf2KUGTgR3rRizjcGgGZAweRQGriQJQY
1JZmRjo4tbWD1ewRdeWVNjbjqew6YHnDJD
1K3we9NJ8gqm9AoTmi3nAY3WBj85XsL9oV
1M3MbGcce1DBukJBUZUxCfJVMtrsCBksAC
1MkChUxcomDSfUtXqFYuCHtfX1mpnsuR8Q
1Ms1QYX7drSDMJEsfsqYkAqyPRUZQ5Cmdc
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ на файл дешифровщика >> + Можно скачать >>
𝚺  VirusTotal анализ на файл дешифровщика >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ДЕШИФРОВЩИК === DECRYPTOR ===


Скриншот окна оригинального дешифровщика. 


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 ноября 2018
Расширение: .nozelesn
Записка: HOW_FIX_NOZELESN_FILES.htm
➤ Содержание записки:
All files including videos, photos and documents on your computer are encrypted by nozelesn ransomware.
File decryption costs money.
In order to decrypt the files, you need to perform the following steps:
1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: lyasuvlsarvrlyxz.onion
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.
Guaranteed recovery is provided within 10 days.
IMPORTANT INFORMATION
You should enter the personal code on the tor site.
Your Personal CODE:
909c0f054e1cc2f316174cf18be3c36a-012da85d9b435df325d7e7c481a62***





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Nozelesn)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

GandCrab-4

GandCrab-4 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларусиКазахстанаУкраины >>>


Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью алгоритма Salsa20, а RSA-2048 используется для вспомогательного шифрования ключей. Затем требует выкуп в $1200 в DASH или BTC, чтобы вернуть файлы. Оригинальное название: GandCrab Ransomware v4.  На файле написано: Crack_Ghost_Mouse_Auto_Clicker.exe или что попало. В названии проекта вообще прописано: WMIC.pdb. 

Есть сведения, что вымогатели действуют из Румынии, потому румынский язык есть в белом списке. Среди распространителей шифровальщика есть знающие русский язык. По всей видимости это международная группа со связями в разных странах. Они продолжают свою традицию и принимают меры, чтобы ПК пользователей из Румынии, России и ряда стран из бывшего СССР (кроме Латвии, Литвы, Эстонии), не шифровались. Но эта мера действует только для ПК с языковыми локализациями из белого списка. 
В списке языков "поддержки" пострадавших на сайте вымогателей: английский, германский, французский, итальянский, китайский, японский, корейский. 

Обнаружения: 
DrWeb -> Trojan.Encoder.25655, Trojan.PWS.Stealer.23869, Trojan.DownLoader26.35485
BitDefender -> Trojan.Mint.Jamg.C, Trojan.GenericKD.31044576, Gen:Variant.Ransom.GandCrab.1458
ALYac -> Trojan.Ransom.GandCrab
Malwarebytes -> Trojan.MalPack
Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Gandcrypt.Tbsl
TrendMicro -> Ransom_GANDCRAB.THGOCAH, Ransom_GANDCRAB.SMALY-3, Ransom_GANDCRAB.THGAOAH


© Генеалогия: GandCrab > GandCrab-2 > GandCrab-3 > GandCrab-4 > GandCrab-5
GandCrab-4 Ransomware
Изображение не принадлежит шифровальщику (это логотип статьи)

К зашифрованным файлам добавляется расширение: .KRAB

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июня - начало июля 2018 г. Штамм времени: 30 июня 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
KRAB-DECRYPT.txt
GandCrab-4 Ransomware note

Содержание записки о выкупе:
--= GANDCRAB V4  =--- 
Attention! 
All your files, documents, photos, databases and other important files are encrypted and have the extension: .KRAB 
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/ 
| 1. Install Tor browser 
| 2. Open Tor Browser 
| 3. Open link in TOR browser: xxxx://gandcrabmfe6mnef.onion/6361f798c***
| 4. Follow the instructions on this page 
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
lAQAADcGuK2O86SjorV5S***2252_chars***3xoPSX/TrEnwTiQ76HdztGYuXZ4KO7rogc=
---END GANDCRAB KEY---
---BEGIN PC DATA---
wfKD6iudumBkmpL8IRr4U7***76_chars***mMngioqtOiJtTit2DjRIuBtNYA==
---END PC DATA---

Перевод записки на русский язык:
--= GANDCRAB V4  =--- 
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы и имеют расширение: .KRAB
Единственный способ восстановления файлов - купить уникальный закрытый ключ. Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами:
----------------------------------------------------------------------------------------
| 0. Загрузите браузер Tor - https://www.torproject.org/
| 1. Установите браузер Tor
| 2. Откройте браузер Tor
| 3. Откройте ссылку в браузере TOR: xxxx://gandcrabmfe6mnef.onion/6361f798c***
| 4. Следуйте инструкциям на этой странице
----------------------------------------------------------------------------------------
На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно.
ВНИМАНИЕ!
ДЛЯ ПРЕДОТВРАЩЕНИЯ ПОВРЕЖДЕНИЯ ДАННЫХ:
* НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
* НЕ ИЗМЕНЯЙТЕ ДАННЫЕ НИЖЕ
---BEGIN GANDCRAB KEY---
lAQAADcGuK2O86SjorV5S***2252_chars***3xoPSX/TrEnwTiQ76HdztGYuXZ4KO7rogc=
---END GANDCRAB KEY---
---BEGIN PC DATA---
wfKD6iudumBkmpL8IRr4U7***76_chars***mMngioqtOiJtTit2DjRIuBtNYA==
---END PC DATA---


Также присутствуют: 
KRAB-DECRYPT.html
CRAB-DECRYPT.txt

Информатором жертвы также выступает сайт оплаты. который указан в записке.  
GandCrab-4 Ransomware combo
Комбо-скриншот

Комбинированный скриншот с сайтом оплаты, запиской и зашифрованными файлами. Спасибо Marcelo Rivero (InfoSpyware) за скриншот. 


GandCrab-4 Ransomware site GandCrab-4 Ransomware site
Скриншоты с сайта оплаты

Скриншоты с сайта оплаты мне не удалось сделать через браузер Tor, т.к. сайт не открывается для российских пользователей. Потому спасибо за скриншоты Lawrence Abrams (BleepingComputer). 



Технические детали

Для распространения применяется метод обманных загрузок с взломанными, перепакованными (RePack) и заражёнными инсталляторами популярных программ, игр и прочего софта. Когда пользователь загружает и запускает эти программы, то они устанавливают на ПК GandCrab-4. 

Также используются взломанные сайты, созданные на платформе WordPress. Даже при беглом просмотре мы обнаружили множество зараженных сайтов с вредоносными страницами (см. ниже "Сетевые подключения и связи"), среди которые есть уже очищенные. Ссылки вели как на сами страницы, так и на то, что на них размещается, в том числе изображения. Активно используется перенаправление на специальные зараженные страницы. 

Вероятно, как и раньше, может использовать вредоносные DOC-файлы с макросами для инфицирования при открытии. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, торрент-файлов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ В GandCrab добавлена поддержка эксплойта EternalBlue NSA, но он пока не используется. 

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ На русскоязычных версиях Windows шифрование по-прежнему не производится. Но не только на русскоязычных. 
Весь список список языков и стран, из белого списка GandCrab-4:
419 (русский язык, Россия) 
422 (украинский язык, Украина)
423 (белорусский язык, Беларусь) 
428 (таджикский язык, Таджикистан)
42B (армянский язык, Армения) 
42C (азербайджанский язык, латиница, Азербайджан)
437 (грузинский язык, Грузия) 
43F (казахский язык, Казахстан)
440 (кыргызский язык, Кыргызстан) 
442 (туркменский язык, Туркменистан)
443 (узбекский язык, латиница, Узбекистан)
444 (татарский язык, Россия)
82C (азербайджанский язык, кириллица, Азербайджан) 
843 (узбекский язык, кириллица, Узбекистан)
818 (румынский язык, Румыния)
819 (молдавский язык, Молдавия)

➤ Записка о выкупе теперь содержит зашифрованный ключ (закодированный в base64) и базовую информацию о ПК, которая зашифрована с помощью алгоритма RC4 с использованием жёстко закодированного ключа "jopochlen", прежде закодированного с base64.

➤ После завершения шифрования удаляет теневые копии командой: 

WMIC.exe shadowcopy delete

➤ Останавливает следующие процессы, которые мешают шифровать файлы. Список из 38 процессов:
agntsvc.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, oracle.exe, outlook.exe, powerpnt.exe, sqbcoreservice.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, steam.exe, synctime.exe, tbirdconfig.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, xfssvccon.exe

➤ Шифровальщик пропускает следующие директории:
\Windows\
\ProgramData\
\Program Files\
\Boot\
\Tor Browser\
\Local Settings\

➤ Шифровальщик пропускает и не шифрует следующие файлы: 
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
KRAB-DECRYPT.html
KRAB-DECRYPT.txt
CRAB-DECRYPT.txt
ntldr
NTDETECT.COM
Bootfont.bin

➤ GandCrab-4 не ставит обои на Рабочий стол, как было в предыдущей версии. 

➤ GandCrab-4 не использует C&C сервер, поэтому теперь он может шифровать файлы пользователей, чьи ПК не подключены к Интернету.

➤ GandCrab-4 шифрует сетевые ресурсы, которые использует пострадавший ПК. 

➤ Ресурсы шифровальщика забиты текстами на разных экзотических языках. Всё это кажется бессмысленным набором текста. На самом же деле этот приём уже известен исследователем и его участие в процессе шифрования понятно. 

➤ В папке с зашифрованными файлами создается некий зашифрованный файл с расширением .lock, который потом удаляется, но остаётся записка о выкупе. 

➤ Распространители GandCrab-4 на этот раз через код отправили фразу-послание Дэниэлу Дж. Бернштейну, профессору компьютерных наук в Университете в Чикаго (штат Иллинойс. США), который изобрел алгоритм Salsa20:
@hashbreaker Daniel J. Bernstein let's dance salsa <3

Список файловых расширений, подвергающихся шифрованию:
Все типы файлов, кроме белого списка расширений. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без расширений и пр.

Белый список расширений:
.ani, .bat, .cab, .cmd, .cpl, .CRAB, .cur, .diagcab, .diagpkg, .dll, .drv, .exe, .gandcrab, .hlp, .icl, .icns, .ico, .ics, .idx, .key, .KRAB, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .zerophage_i_like_your_pictures 

Файлы, связанные с этим Ransomware:
CRAB-DECRYPT.txt (KRAB-DECRYPT.txt)
Crack_Ghost_Mouse_Auto_Clicker.exe
1.pdf
1.exe
ntsvc64.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Downloads\ntsvc64.exe

Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\keys_data\data  - место для ключей
HKCU\Software\keys_data\data\public - место хранения открытого RSA-ключа
HKCU\Software\keys_data\data\private - место хранения зашифрованных ключей в виде двоичного блока
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://gandcrabmfe6mnef.onion - сайт вымоагтелей
xxxx://gandcrabmfe6mnef.onion/6361f798c4ba3647 - адрес после авторизации
➤Связанные URL: 
xxxx://terrapersonas.com/readme.php
xxxx://china029.com/j.php
xxxx://kourimovskepivo.cz/tmp.php
➤ Скомпрометированные сайты:
⏩ Ru-URL:
xxxx://asl-company.ru
xxxx://aurumwedding.ru/
xxxx://koloritplus.ru/
xxxx://perovaphoto.ru
xxxx://pp-panda74.ru
⏩ Другие URL:
www.cakav.hu
www.mimid.cz
xxxx://6chen.cn
xxxx://acbt.fr
xxxx://alem.be
xxxx://apps.identrust.com
xxxx://big-game-fishing-croatia.hr
xxxx://boatshowradio.com
xxxx://dna-cp.com
xxxx://h5s.vn
xxxx://marketisleri.com
xxxx://nesten.dk
xxxx://oceanlinen.com
xxxx://prosaledom.su/
xxxx://tommarmores.com.br
xxxx://wpakademi.com/
xxxx://www.billerimpex.com/
xxxx://www.fabbfoundation.gm
xxxx://www.lagouttedelixir.com
xxxx://www.macartegrise.eu/
xxxx://www.n2plus.co.th
xxxx://www.poketeg.com
xxxx://www.toflyaviacao.com.br
xxxx://www.wash-wear.com
и другие. 
См. также ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>> VT>>
ᕒ  ANY.RUN анализ >>  AR>>  AR>>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
   
GandCrab Ransomware
GandCrab RaaS Ransomware
GandCrab-2 Ransomware
GandCrab-3 Ransomware
GandCrab-4 Ransomware
GandCrab-5 Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 17 июля 2018:
Пост в Твиттере >>
Версия: 4.1.2
В коде есть запись адресованная исследователям Fortinet и AhnLab

Обновление от 20 июля 2018:
Пост в Твиттере >>
Версия: 4.2
В коде есть запись адресованная исследователям hasherezade и AhnLab.


Обновление о 1 августа 2018:
Пост в Твиттере >>
Версия: 4.2.1
В коде снова есть запись адресованная исследователям из AhnLab.

Обновление о 1 августа 2018:
Пост в Твиттере >>
Версия: 4.3
В коде есть есть запись адресованная исследователям, в которой самоназванные GandCrab-вымогатели пригрозили AhnLab эксплойтом, направленным против из антивирусных решений. 

Обновление от 8 августа 1018:
Пост в Твиттере >> 
Версия: 4.4
Видеообзор >>

Обновление от 28 августа 2018:
Пост в Твиттере >>
Результаты анализов: VT + HAVT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as GandCrab4)
 Write-up, Topic of Support
 🎥 Video review >>
  - Видеообзор от CyberSecurity GrujaRS
 - Видеообзор от sudopaulit
Added later:
Write-up on BC (added on July 3, 2018)
Write-up by Fortinet (added on July 9, 2018)
The Evolution of Gandcrab Ransomware (add. July 9, 2018)
 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov, Alex Svirid, JAMESWT, GrujaRS, sudopaulit,
 Michael Gillespie, MalwareHunterTeam,
 Marcelo Rivero (InfoSpyware), 
 Lawrence Abrams (BleepingComputer),
 Joie Salvio (Fortinet), Tamas Boczan (VMRay)

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *