Если вы не видите здесь изображений, то используйте VPN.

суббота, 8 сентября 2018 г.

KCTF Locker

KCTF Locker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: KCTF Locker. На файле написано: Ransomware.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .DWG


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на японских и англоязычных пользователей, что не мешает распространять его по всему миру.


Запиской с требованием выкупа выступает экран блокировки:
KCTF Locker Ransomware

Содержание записки о выкупе:
あなたのデータは暗号化されました。
復元したければ、以下に10BTCキムってください

Перевод записки на русский язык:
Ваши данные были зашифрованы.
Если вы хотите вернуть, заплатите 10 BTC ниже



Содержание текста:
This is program is written as a part of CTF task. But it can be harmful for your computer. Choose Cancel to exit. If you are OK, press OK.
このプログラムはCTFの一部ですが、お使いの PC に害を与える可能性があります。実行を続行しますか

Перевод записки на русский язык:
Это программа написана как часть задачи CTF. Но это может быть вредно для вашего компьютера. Нажмите "Отмена" для выхода. Если всё ОК, нажмите OK.
Эта программа часть CTF, но она может нанести вред вашему ПК. Вы хотите продолжить работу?

На файле написано:
This file is a part of a CTF (security competition), this is not a real malware.

Перевод на русский язык:
Этот файл часть CTF (конкурс безопасности), это не реальный вредонос.

*| CTF (Capture the flag) — это командная игра, главной целью которой является захват "флага" соперника.



Технические детали

Распространяется в определенной среде пользователей, как утверждается для участия в конкурсе. Короче: очередная "обезьяна с гранатой".   🙊💣

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 7 сентября 2018 г.

Suri

Suri Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Suri. На файле написано: Suri.exe

© Генеалогия: Stupid (FTSCoder) >> Suri

К зашифрованным файлам добавляется расширение: .SLAV


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на итальянских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, диалоговое окно и изображение, заменяющее обои.

Содержание записки о выкупе:
O no, tutti i tuoi file personali sono stati cryptati :(
Come faccio a decryptarli?
---
Ciao utente,
tutti i tuoi file personali sono stati cryptati.Non si toma piu indietro ormai.
Riawiando o altro non risolvi nulla. Ora forse ti chiederai come fare.
Semplice! Invia una somma di 100 Euro in bitcoin all'indirizzo sottostante.
Tgliendomi condannerai tutti i tuoi file.
Perche ? Solo io sono in grado di decryptare tutti tuoi file e solo io ho la
chiave pubblica.
Dopo aver pagati che succede ?
Tutti i tuoi file personali verrano decryptati e io mi auto elimino.
---
Non ho 100 Euro e rivoglio i miei file
Indirizzo BitCoin
File cryptati con successo! 
---
Hai 360 minuti
360 minuti rimanenti
360 = 60 H
[Quali file sono stati cryptati ?]
[Ho pagato !Rivoglio i miei file!]
 Bitcoin?

Перевод записки на русский язык:
О нет, все твои личные файлы были зашифрованы :(
Как я могу их расшифровать?
---
Привет, пользователь,
все твои личные файлы зашифрованы. Теперь ты не можешь их вернуть.
Перезапуск или больше ты ничего не решишь. Может теперь тебе будет интересно, как это сделать.
Просто! Отправь сумму 100 евро в биткоинах по указанному ниже адресу.
Потом ты сможешь вернуть все свои файлы.
Почему? Только я могу расшифровать все твои файлы, и только у меня есть открытый ключ.
Что быдет после оплаты?
Все твои личные файлы будут расшифрованы, а программа автоудалится.
---
У меня нет 100 евро, но я хочу вернуть свои файлы
Адрес BitCoin
Файл успешно зашифрован!
---
У вас есть 360 минут
Осталось: 360 минут
360 = 60 H
[Какие файлы были зашифрованы?]
[Я заплатил, я хочу вернуть свои файлы!]
  Bitcoin?



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 6 сентября 2018 г.

EOEO

EOEO Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: . Написан на языке AutoIt. 

© Генеалогия: AutoIt ransomware >> EOEO
EOEO Ransomware

Этимология названия:
EOEO - название альбома корейской популярной молодёжной группы. 

К зашифрованным файлам добавляется расширение: .eoeo

Шифрует даже зашифрованные файлы, потому расширение может добавляться к уже зашифрованным файлам 7-8 или даже много раз: file_name.eoeo.eoeo.eoeo.eoeo.eoeo.eoeo.eoeo 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme.lol

Содержание записки о выкупе:
в файле нет текста


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Шифрует всё подряд. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Ключ шифрования жёстко закодирован. 

Файлы, связанные с этим Ransomware:
Readme.lol
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >> 
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as EOEO)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 5 сентября 2018 г.

OPdailyaallowance

OPdailyallowance Ransomware

OPdailyaallowance Ransomware

Jester Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: Documents. На файле написано: Documents.exe и Adobe Player.

© Генеалогия: HiddenTear >> FSocietyOPdailyallowance


Изображение, использованное вымогателями

К зашифрованным файлам добавляется расширение: .CRYPTR


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
INTRUCTION.html
PAYMENT !!!.txt
ATTANTION!!!.txt


Содержание записки 
INTRUCTION.html:
WHAT HAPPEND ?
Can't find the files that you need
Is the content of your files that you need, unreadable?
This is normal because the data within your files has been encrypted.
***далее плохо читаемый текст***

Перевод записки на русский язык:
ЧТО ПРОИСХОДИТ ?
Не удается найти файлы, которые вам нужны
Является ли содержимое ваших нужных файлов нечитаемым?
Это нормально, потому что данные в ваших файлах были зашифрованы.
***далее плохо читаемый текст***



Содержание записки 
PAYMENT !!!.txt: 
GET THE KEY DECRYPT FILE, YOU HAVE TO PAY 0,3 BTC TO ADDRESS : 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu



Содержание записки 
ATTANTION!!!.txt:
##### ATTANTION!!!.txt
##### YOUR PRIVATE KEY EXPIRED 3 DAYS IF IT EXCEEDS 3 DAYS WE CAN NOT HELP YOU TO DECRYPT YOUR FILE 
##### PLEASE DON'T TURN OFF YOUR PC AND DON'T RENAME EXTENSION, IT WILL FILE YOUR CORRUPTION
##### GET THE KEY TO DECRYPT FILE, YOU HAVE PAY 0,3 BTC TO ADDRESS 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu
##### IF YOU SEND EMAIL AND NO REPLY FROM US MORE THAN 2 DAYS PLEASE RESEND YOUR EMAIL
#####


Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 


Содержание текста с изображения: 

#OPdailyaallowance
Oops.. Your Important files are encrypted
Please do not panic, the file will be back to normal if you buy a private key to us
To get the key decrypt files, you have to paid Us 0,3 BTC
Contact Us by email : BM-2cVQmNzy6ZLBWCD4fVYWsccBSAik2jEUuy@bitmessage.ch

Перевод на русский язык:
#OPdailyaallowance
Упс.. Ваши важные файлы зашифрованы
Пожалуйста, не паникуйте, файл вернется в норму, если вы купите у нас закрытый ключ
Чтобы получить ключ дешифровки, вы должны заплатить нам 0,3 BTC
Контакт с нами по email : BM-2cVQmNzy6ZLBWCD4fVYWsccBSAik2jEUuy@bitmessage.ch

*| Фраза #OPdailyallowance из телесериала Mr.Robot. Только в записке используется удвоенное "aa", вероятно по ошибке. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений (Adobe Player и др.), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INTRUCTION.html - файл записки с требованием выкупа; 
PAYMENT !!!.txt
 - файл записки с требованием выкупа; 
ATTANTION!!!.txt 
 - файл записки с требованием выкупа; 
Documents.exe - название вредоносного файла; 
<random>.exe - случайное название вредоносного файла;  
Documents.pdb - файл проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\00001200000001010111\111111111111111100000000000\010101010101010\605e0r2feefej003433\504c45415345444f4e4f5452454d4f56454954\0111011\obj\Release\Documents.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Временный сайт: hxxxs://fuxcrypt0r.000webhostapp.com/access/access.php
Картинка: hxxxs://i.imgur.com/0i1ZFth.jpg
Email: BM-2cVQmNzy6ZLBWCD4fVYWSCCBSAik2jEUuy@bitmessage.ch
BTC: 1CajF6395CNBrXxjGqVsALcTvNhyRbQebu
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5 августа 2019:
Пост в Твиттере >>
Называет себя OPdailyaallowance и Jester
Пытается скрестить CryptoWall и FSociety, но в итоге даже не шифрует файлы.  
Указанная в записке сумма выкупе: 5,9 миллионов долларов. 
Записки: HELP_YOUR_FILES.TXT, Cryptowall.htm

Другие файлы: 
flag.png
jester.png
styles.css
getip.bat
fullscreen.vbs
CryptoWall.bmp
Результаты анализов: VT

Вариант от 5 августа 2021: 
Записка: jester.html
Также использует экран блокировки (на скриншоте). 

Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.34225
BitDefender -> Gen:Heur.MSIL.Krypt.43
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AHF
Kaspersky -> HEUR:Trojan.MSIL.Shelpak.gen
Rising -> Trojan.AntiVM!1.CF63 (CLASSIC)




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (article athor)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 3 сентября 2018 г.

Mimicry, ShivaGood

Mimicry Ransomware

ShivaGood Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: frost.exe и Shiva.

© Генеалогия: EDA2 >> Mimicry (ShivaGood)
Изображение только логотип статьи (мимикрия бабочки)

Этимология названия:
➤ Модификация позволила вымогателям создать ложную идентификацию для ID Ransomware. По названию записки он показывает на Crypt0L0cker, по ошибке с расширением указывает на PGPSnippet, но расширение .good летом использовали в Scarab-Horsia, по содержанию записки это также близко к Scarab-Horsia. Потому не имея образца я назвал это вымогательство Mimicry. 
➤ Сами вымогатели не определились с названием, написав на файле "frost", а в описание вставили слово "Shiva". 
➤ Для идентификации в сервисе ID Ransomware было выбрано составное слово ShivaGood, чтобы отличаться от другого вымогателя, использующего это слово. 

К зашифрованным файлам добавляется расширение: .good


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа - начало сентября  2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_RECOVER_FILES.txt

 

Содержание записки о выкупе:
#################################################
Your personal identifier: U3XXX
Your important files are now encrypted due to a security problem with your PC!
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: dsupport@airmail.cc
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
 * Also you can find other places to buy Bitcoins and beginners guide here:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price
   (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
#################################################
Ваш персональный идентификатор: U3XXX
Ваши важные файлы теперь зашифрованы из-за проблемы с безопасностью на вашем ПК!
Теперь вы должны отправить нам email с вашим личным идентификатором.
Это письмо будет подтверждением, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Свяжитесь с нами, используя этот email-адрес: dsupport@airmail.cc
Бесплатное дешифрование как гарантия!
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Общий размер файлов должен быть меньше 10 Мб (без архивирования), а файлы не должны содержать ценную информацию (базы данных, резервные копии, большие листы Excel и т. д.).
Как получить биткоины?
 * Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене:
https://localbitcoins.com/buy_bitcoins
 * Также вы можете найти другие места для покупки биткоинов и руководства для начинающих здесь:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
Внимание!
 * Не переименовывайте зашифрованные файлы.
 * Не пытайтесь расшифровывать свои данные, используя сторонние программы, это может привести к потере данных.
 * Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены
   (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .msg, .pdf, .png, .txt, .xls, .xlsx, .xml, .zip
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы и пр.

Зашифрованные файлы, если их открыть с помощью Блокнота, выглядят следующим образом:

Пропускаются файлы:
базы данных, программы, файл записки HOW_TO_RECOVER_FILES.txt

Файлы, связанные с этим Ransomware:
HOW_TO_RECOVER_FILES.txt
frost.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dsupport@airmail.cc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 ноября 2018:
Расширение: .good
Записка: HOW_TO_RECOVER_FILES.txt
Email: xxxsupport@protonmail.com

➤ Содержание записки:
#####################################################
Your personal identifier: M8Q4S
Your important files are now encrypted due to a security problem with your PC!
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: xxxsupport@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
 * Also you can find other places to buy Bitcoins and beginners guide here:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price
   (they add their fee to our) or you can become a victim of a scam.


Обновление от 3 июня 2019 (возможно и раньше):
Тoпик на форуме >>
Расширение: .good
Email: badguyconsult@protonmail.com
Записка: HOW_TO_RECOVER_FILES.txt
➤ Содержание записки: 
#####################################################
Your personal identifier: XSQXX
Your important files are now encrypted due to a security problem with your PC!
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: badguyconsult@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click'Buy bitcoins', and select the seller by payment method and price:
 https://localbitcoins.com/buy_bitcoins
 * Also you can find other places to buy Bitcoins and beginners guide here:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price
   (they add their fee to our) or you can become a victim of a scam.


Обновление от 22 ноября 2019:
Пост в Твиттере >>
Расширение: .good
Записка: HOW_TO_RECOVER_FILES.txt
Email: sqlsolutions@protonmail.com
Файл: frost.exe
Результаты анализов: VT + AR + VMR + IA
➤ Содержание записки:
#####################################################
Your personal identifier: C4BA3647
Your important files are now encrypted due to a security problem with your PC!
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: sqlsolutions@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
 * Also you can find other places to buy Bitcoins and beginners guide here:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price
  (they add their fee to our) or you can become a victim of a scam.


Обновление от 11 июня 2020:
Топик на форуме >>
Расширение: .good
Записка: HOW_TO_RECOVER_FILES.txt
Email: solutionscenter@protonmail.com 
➤ Содержание записки:
#####################################################
Your personal identifier: 7152D***
Your important files are now encrypted due to a security problem with your PC!
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: solutionscenter@protonmail.com 
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
 * Also you can find other places to buy Bitcoins and beginners guide here:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price
   (they add their fee to our) or you can become a victim of a scam.


Вариант от 10 декабря 2020:
Расширение: .good
Tor-URL: xxxx://qmqwu5bphsw3xywxqisf336eu7ajrwp64png7qd34caxmz6hmkmuv6id.onion/szibis
Статус: Файлы не могут быть расшифрованы без уплаты выкупа. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet + Tweet
 ID Ransomware (ID as ShivaGood)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 Emmanuel_ADC-Soft
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *