Если вы не видите здесь изображений, то используйте VPN.

среда, 19 декабря 2018 г.

Cossy, Grafimatriux

Cossy Ransomware

Grafimatriux Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 50 рублей BTC, чтобы вернуть файлы. Оригинальное название: Cossy. На файле написано: Cossy и Cossy.exe

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .Защищено RSA-2048

При этом exe-файлы меняют расширение на .lnk.Защищено RSA-2048
Пример: Setup.exe > Setup.lnk.Защищено RSA-2048

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Как все эту шалашкину контору расшифровать.txt

Содержание записки о выкупе:
Привет дорогой друг! Да, я скупой жадина но я должен это сказать...
прости...
но.......
все твои файлы___
ЗАШИфРоВаНЫ!1!!11!!11!1 :DDDDDDDDD
Алгоритм RSA! 2048 бит! 4096 лень!
Он на простых числах базируется он.
Сейчас расскажу вам просто.
Пишите на grafimatriux72224733@protonmail.com.
Мы предоставляем: Бесплатную расшифровку. Платную расшифровку (и Договорную расшифровку)*
Договорная расшифровка - это если Вы имеете файлы старой давности, которые копили много лет, то дешифратор предоставляется бесплатно.
Платная расшифровка стоит - 50 рублей в биткоинах, кошелек сделаем для Вас уникальным.*
Бесплатно расшифровать можно 5 файлов с размером 5 или меньше МБ.
Я не обманываю Вас, + даю при оплате советы по улучшению безопасности и инструкции по дешифровке."
* - Услуги предоставляются если Вы для нас напишете письмо с файлом Крайне важная инфа.RSA-2048 файл

Перевод записки на русский язык:
Уже сделан вымогателем. 

При этом в тексте записки и названиях файлов есть ошибки, характерные для "юного дарования", немного недоучившегося в школе. Радует, что совесть у этого "юного дарования" ещё осталась и он просит не так много и в... рублях. Хотя, это всё может быть просто показное и эти микро-деньги ему не нужны. Ему важно показать себя творцом этого и всех предыдущих Ransomware, которые он сделал и запустил. 

📢 Но, дорогой друг, Ransomware — это не творческая забава, а опасные игры, а брошенная граната может задеть и того, кто её бросил. Так что, пока не поздно, переходи на серьёзные вещи — пиши полезные программы и найдёшь больше пользователей, которые это оценят.  



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cossy.exe
Как все эту шалашкину контору расшифровать.txt
Крайне важная инфа.RSA-2048 файл
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: grafimatriux72224733@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Cossy)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Ransom102

Ransom102 Ransomware

Ransomwared Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью DES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ransom102. На файле написано: ransom102.

Обнаружения:
DrWeb -> Trojan.Encoder.26918
BitDefender -> Trojan.GenericKD.40847411
Avira (no cloud) -> TR/Encoder.ownoz
ESET-NOD32 -> A Variant Of MSIL/Filecoder.RX
Kaspersky -> Trojan-Ransom.Win32.Encoder.bar
Rising -> Ransom.Genasom!8.293 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Encoder.Eamz
TrendMicro -> Ransom.Win32.EXTRACRED.THABBOAH
VBA32 -> TScope.Trojan.MSIL

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .ransomwared


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком "Recovery":
 


Содержание записки о выкупе:
You are ransomwared! To recover your files, email us and buy recovery code :)
wanna@extra.credit

Перевод записки на русский язык:
Вы выкуплены! Чтобы вернуть ваши файлы, мыльте нам и купите код восстановления :)
wanna@extra.credit



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
win_defender_patch.exe - использует значок Windows Defender
<random>.exe - случайное название


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: wanna@extra.credit
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 12 февраля 2020:
Статус: Файлы можно расшифровать! Ссылка на дешифровщик >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .iwanttits
Результаты анализов: VT + VMR


  
  
Пароль для восстановления: sAsHat1t





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
Теперь также есть дешифровщик от Майкла и Emsisoft
Скачать по ссылке >>
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Ransomwared)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 Emsisoft
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 17 декабря 2018 г.

Scarab-Aztec

Scarab-Aztec Ransomware
Scarab-Pizza Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi. 

© Генеалогия: Scarab >> Scarab-Amnesia > другие версии Scarab > Scarab-OmertaScarab-Aztec
Это изображение — логотип статьи. Изображает скарабея с диском ацтеков.
This image is the logo of the article. It depicts a scarab with disk of aztecs.

К зашифрованным файлам добавляется расширение: .aztecdecrypt@protonmail.com
Пример зашифрованных файлов и записка

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Я обнаружил причастность вымогателей к другим вымогательским аферам 2016 года:
JuicyLemon Ransomware
PizzaCrypts Ransomware


Примечательно. При публикации почти готовой статьи я запустил поиск по этому сайту и обнаружил адрес вымогателей BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F в записках о выкупе вышеназванных Ransomware. Поэтому я дал ещё одно название этой вымогательской программе - Scarab-Pizza Ransomware. То, что держит на логотипе статьи Скарабей является ацтекским диском Солнца. По иронии судьбы в уменьшенном виде диск похож на пиццу. 
***

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.TXT

Содержание записки о выкупе:
Your files are now encrypted!
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: aztecdecrypt@protonmail.com  or aztecdecryptor@mailfence.com
If you don't get a reply or if the email dies, then contact us using Bitmessage.
Download it form here: https://bitmessage.org/wiki/Main_Page
Run it, click New Identity and then send us a message at BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
Free decryption as guarantee!
Before paying you can send us 1 files for free decryption.
The total size of file must be less than 10Mb (non archived), and file should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.  
Your personal identifier:
pAQAAAAAAABTK***Ie2xSSR+BjmyDzED

Перевод записки на русский язык:
Ваши файлы теперь зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.
Теперь вы должны отправить нам письмо с вашим личным идентификатором.
Это письмо будет подтверждением того, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Свяжитесь с нами, используя этот email-адрес: aztecdecrypt@protonmail.com или aztecdecryptor@mailfence.com
Если вы не получили ответа или письмо не дошло, свяжитесь с нами, используя Bitmessage.
Загрузите отсюда: https://bitmessage.org/wiki/Main_Page
Запустите его, нажмите New Identity и затем отправьте нам сообщение на BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
Бесплатная расшифровка как гарантия!
Перед оплатой вы можете отправить нам 1 файл для бесплатной расшифровки.
Общий размер файла должен быть менее 10 МБ (не в архиве), и файл не должен содержать ценную информацию (базы данных, резервные копии, большие таблицы Excel и т. д.).
Как получить биткоины?
 * Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажмите
   'Buy bitcoins' и выберите продавца по способу оплаты и цене:
   https://localbitcoins.com/buy_bitcoins
 * Также вы можете найти другие места, чтобы купить биткоины и руководство для начинающих здесь:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
Внимание!
 * Не переименовывайте зашифрованные файлы.
 * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
 * Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены
   (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
Ваш личный идентификатор:
pAQAAAAAAABTK *** Ie2xSSR + BjmyDzED



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: aztecdecrypt@protonmail.com, aztecdecryptor@mailfence.com
Bitmessage: BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec - декабрь 2018
Scarab-Zzz - январь 2019
и другие...



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov, Emmanuel_ADC-Soft
 to the victims who sent the samples
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 16 декабря 2018 г.

Jemd

Jemd Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: jemd. На файле написано: Project2.exe

Обнаружения:
DrWeb -> Trojan.Encoder.26910, Trojan.Encoder.30213
BitDefender -> Trojan.Generic.23263784, Generic.Ransom.Jemd.2445D06F
Microsoft -> Ransom:Win32/Jemd!MSR

© Генеалогия: InducVirus > Delphimorix > Jemd

К зашифрованным файлам добавляется расширение: .<RANDOM>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Recovery.txt

Содержание записки о выкупе:
<><><><><><>jemd<><><><><><>
All your files were encrypted by jemd.
Used a AES encryption.
AES a best algorytm. If you - gruja, decryption inpossible
Contact us: rezko@prottykon.mit.edu
\\Recovery.TXT

Перевод записки на русский язык:
<><><><><><>jemd<><><><><><>
Все ваши файлы были зашифрованы jemd.
Использовано шифрование AES.
AES лучший алгоритм. Если вы - gruja, расшифровка невозможна
Контакт: rezko@prottykon.mit.edu
\\Recovery.TXT



Технические детали

Распространяется на форумах кибер-андеграунда. Может начать ьраспространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recovery.TXT или Recovery.txt
Project2.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rezko@prottykon.mit.edu 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другой образец, найденный 27 ноября 2019:
Вероятно, что это просто другой образец из 2018 года. 
Пост в Твиттере >>
Расширение: .QUOHD или .<RANDOM{5}>
Пример зашифрованного файла:  6368726F6D655F73687574646F776E5F6D732E747874.QUOHD
Записка: Recovery.TXT
Emal: rezko@prottykon.mit.edu
Файл: Project2.exe
Результаты анализов: HA + VT + IA + AR
➤ Содержание записки: 
<><><><><><>jemd<><><><><><>
All your files were encrypted by jemd.
Used a AES encryption.
AES a best algorytm. If you - gruja, decryption inpossible
Contact us: rezko@prottykon.mit.edu
<><><><><><>jemd<><><><><><>
Personal id:61646D696E007C51554F4844754D46534B4F6774624C7C51554F4844






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Jemd)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *