Если вы не видите здесь изображений, то используйте VPN.

понедельник, 13 мая 2019 г.

Maze, ChaCha

Maze Ransomware

Aliases: Maze Locker, MazeLocker, ChaCha, ChaChaLocker

Maze Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью RSA + ChaCha20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Хакеры-вымогатели: Twisted Spider Extortion Group. Среди вымогателей есть граждане Украины, по другим данным это международная хакерская 
группа
Смотрите видеообзор >>

Вымогатели, распространяющие Maze, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов с помощью программных средств (doxware). Об этих акциях вымогателей сообщалось в СМИ. 

Обнаружения:
DrWeb -> Trojan.Siggen8.29003, Trojan.Encoder.30067
Bitdefender -> Gen:Heur.Ransom.Imps.1, Trojan.GenericKD.32704232
Malwarebytes -> Ransom.Maze
Symantec -> Trojan.Gen.MBT
VBA32 -> BScope.Trojan.Wacatac

© Генеалогия: Maze > SekhmetEgregor


Оригинальный логотип Maze Ransomware

Этимология названия:
В ранних вариантах не было никакого  названия, потому мы использовали характерное слово ChaCha для названия и статьи. Не было никакого изображения, заменяющее обои Рабочего стола, а в html-записке вместо названия было нечто, сообщающее о системной ошибке: 0010 SYSTEM FAILURE 0010.  Именно так, зачеркнуто. Название на изображении, заменяющем обои, появилось в конце мая 2019, в более новых вариантах. 

К зашифрованным файлам добавляется расширение: .<random4-7>

Примеры других расширений:
.rC0syGH
.DL1fZE
.LKc07P
.FBrRDWC
.t6brFnQ
.0HOgD
.MJNW

При этом, на одном ПК могут добавляться разные расширения к разным файлам. Принцип такой зависимости пока неясен. 

Кроме того, в конец зашифрованных файлов добавляется маркер файлов: 0x66116166

Это видно на скриншотах ниже, где этот маркер присутствует в разных файлах из разных ПК. Возможно, что это изменится позже, но на момент написания статьи и публикации это факт. 




Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие были из США, дале список стран расширился. 

Целевые отрасли: 
Академическая
Авиация
Энергия
Финансовые услуги
Правительство
Здравоохранение
Производство
Средства массовой информации
Розничная торговля
Телекоммуникации
Технологии
Автомобильная промышленность
и прочие. 

Записка с требованием выкупа называется: DECRYPT-FILES.html


Содержание записки о выкупе:
0010 SYSTEM FAILURE 0010
***************************
Attention! Your documents, photos, databases, and other important files have been encrypted!
***************************
The only way to decrypt your files, is to buy the private key from us.
You can decrypt one of your files for free, as a proof that we have the method to decrypt the rest of your data.
In order to receive the private key contact us via email: 
getmyfilesback@airmail.cc 
Remember to hurry up, as your email address may not be avaliable for very long.
Buying the key immediatly will guarantee that 100% of your files will be restored.
Below you will see a big base64 blob, you will need to email us and copy this blob to us.
you can click on it, and it will be copied into the clipboard.
If you have troubles copying it, just send us the file you are currently reading, as an attachment.
Base64: 
M1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***

---
Красным выделены слова с ошибками. 

Перевод записки на русский язык:
0010 SYSTEM FAILURE 0010
***************************
Внимание! Ваши документы, фото, базы данных и другие важные файлы зашифрованы!
***************************
Единственный способ расшифровать ваши файлы - это купить у нас закрытый ключ.
Вы можете бесплатно расшифровать один из ваших файлов в доказательство, что у нас есть метод для расшифровки остальных ваших данных.
Чтобы получить закрытый ключ, контакт с нами по email:
getmyfilesback@airmail.cc
Не забудьте поторопиться, т.к. ваш email-адрес может не будет доступен долго.
Покупка ключа немедленно гарантирует, что 100% ваших файлов будут восстановлены.
Ниже вы увидите большой блоб base64, вам нужно будет написать нам на email и скопировать этот блок в письмо.
Вы можете нажать на него, и он будет скопирована в буфер обмена.
Если у вас возникли проблемы с копированием, просто отправьте нам файл, который вы сейчас читаете, в виде вложения.
Base64:
M1ihuItJFJtvKrKaMGxt1UtaJoSTHI5dLA***


Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. 





Технические детали

Распространяется с помощью набора эксплойтов Fallout через фальшивый сайт Abra, выдавая себя за приложение для обмена криптовалюты. Этот сайт создан для того, чтобы выдавать себя за рекламодателя и покупать трафик в рекламных сетях. Посетители этого сайта будут перенаправлены на специальную страницу, начиненную наборов эксплойтов, которые срабатывают при определенных условиях.

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, других эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

 Этот Ransomware определяет тип ПК (домашний компьютер, рабочая станция, контроллер домен, сервером и пр.), а затем показывает соответствующую сумму выкупа, в тексте которого будет использована одна из следующих строк: 
standalone server
server in corporate network
workstation in corporate network
home computer
primary domain controller
backup server
very valuable for you

➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Шифровальщик пытается подключиться к 15 сайтам (случайные URL-адреса) по IP-адресу, который начинается с 92. Сайты могут относиться к разным странам. См. список ниже. 

 


➤ Другие деструктивные действия:
Создает файлы и изменяет сертификаты в каталоге Windows.
Записывает файлы в папку автозагрузки Word и меню Пуск.
Изменяет файлы в папке расширения Chrome и читает куки, видимо с целью кражи личных данных.

➤ Подключается к серверу без имени хоста.

➤ Группа, стоящая за распространением Maze и атаками, не гнушается доксингом, т.е. с целью давления на жертв угрожаем им обнародованием в Интернете похищенной информации, если не будет выплачен выкуп. 

➤ Запрограммирован так, что проверят язык, используемый в компьютере и если этот язык находится в белом списке, то шифрование не производится. 


В этом списке: русский, украинский, белорусский, таджикский, армянский, азербайджанский (латиница, кириллица), грузинский, казахский, киргизский, туркменский, узбекский (латиница, кириллица), татарский, сербский (латиница, кириллица) и боснийский. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT-FILES.html
foo.dat
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%ProgramData%\foo.dat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getmyfilesback@airmail.cc
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>  VMR>>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Maze Ransomware - май 2019 - ноябрь 2020
Sekhmet Ransomware - март 2020 - октябрь 2020
Egregor Ransomware -  сентябрь 2020 - февраль 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14-15 мая 2019:
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.html
Результаты анализов: VT + VMR


Также использует изображение, заменяющее обои Рабочего стола. 
В текст записки добавляется имя пользователя. 

 

Обновление от 29 мая 2019:
Пост в  Твиттере >>
Самоназвание: Maze Ransomware
Расширение: .<random{4-7}>
Email: koreadec@tutanota.com
vourrealdecrypt@airmail.cc



Обновление от 31 мая 2019:
Самоназвание: Maze Ransomware
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.html
Email: filedecryptor@nuke.africa
Результаты анализов: VT + VMR + IA + HA / VT + VMR

 


В статье Лоуренса Абрамса сообщается, что им обнаружен адрес bleepingcomputer.com в программной памяти Maze Ransomware. Точная задача неясна. 




Обновление от 17 октября 2019:
Пост в Твиттере >>
Самоназвание: Maze Ransomware
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.html
Результаты анализов: VT + IA + AR
Скриншоты записки о выкупе и изображения, заменяющего обои Рабочего стола. 



Видеообзор, сделанный с помощью сайта ANY.RUN


URL: hxxxs://mazedecrypt.top/***

Tor-URL: aoacugmutagkwctu.onion/***
Скриншоты с сайта вымогателей. 





Обновление от 18 октября 2019:
Статья на сайте Bleeping Computer >>
В основном, представлен информация, опубликованная мною выше - 17 октября 2019. В дополнение к указанным мною данным можно добавить следующее. 

Maze Ransomware теперь использует набор эксплойтов Spelevo в новой вредоносной кампании, использующей уязвимость Flash Player для атак на пользователей Сети. Ранее использовался набор эксплойтов Fallout. При перенаправлении на эксплойт Spelevo будет пытаться использовать уязвимость CVE-2018-15982. При этом уязвимыми будут пользователи Flash Player версий 31.0.0.153 / 31.0.0.108 и более ранних. После успешной эксплуатации уязвимости набор эксплойта автоматически загрузит и установит пейлоад с Maze Ransomware.


Обновление от 21 октября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt


URL: hxxxs://mazedecrypt.top/74980923c4ba3647
Tor-URL: hxxx://aoacugmutagkwctu.onion/74980923c4ba3647
Файл: ESET32.EXE
Результаты анализов: VT + IA + AR / VT + AR
Скриншоты с сайта mazedecrypt.top:

 
 

Содержание первой страницы:
Time is expired, fee was doubled.
---
To recover your files, you must pay the fee.
Your current fee 2400$ (USD)
You must hurry up because your 50% discount will expire after the counter at the top of this page will reach zero. If you fail to pay until that time, the fee will be increased x2 (doubled), so if it was 2400 USD it will become 4800 USD.
You can send the money in chunks (parts), the fee will be recalculated on each successful transaction.
Transaction will be completed after 3 confirmations from the network.
To pay the fee you must buy bitcoin, and send exactly this amount of btc 0.3221922 BTC to address:
3NQ1JyX5iphB9PhAyawMCkyS8iV1xzoTpT
To see how to buy the bitcoins, click Buy Bitcoins at the tab menu on top of the page.
We are providing 3 test decrypts, to prove that we can recover your files.
Click Test Decrypt at the menu on top of this the page to decrypt 3 files for free.
Attention! We are decrypting only image files for free, as they do not have any significant value to you.

Обновление от 29 октября 2019:
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt
Результаты анализов: VT + AR + IA

Обновление от 6 ноября 2019:
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt

Обновление от 11-14 ноября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt
Файл: eset.exe
Результаты анализов: VT + HA + VMR / VT

 


Обновление от 20 ноября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .<random{4-7}>
Записка: DECRYPT-FILES.txt


Tor-URL: hxxx://aoacugmutagkwctu.onion/1e5607b75639e2ee

URL: hxxxs://mazedecrypt.top/1e5607b75639e2ee
Результаты анализов: VT  / AR

Обновление от 11 декабря 2019:
Статья на сайте BleepingComputer >>

Обновление от 17 декабря 2019:
Пост в Твиттере >>



Обновление от 12 декабря 2019 года:
Статья от Emsisoft >>
Отчет и статистика о причиненном ущербе в США в 2019 году.



=== 2020 ===

Обновление от 29-30 января 2020:

 

В коде есть обращение к исследователям.

Kremez and Hasherezade. Two polish researchers. Why are still not married?
Cryptolnsane, be careful or we will lock your college and rename maze to Cryptolnsane ransomware
What if we pay some niggaman to throw Molotov to southwire office?
---
И еще одно разъяснение...

 


Обновление от 3 января 2020:
Пост в Твиттере >>


Теперь в записке сообщается о том, что нужно посмотреть в Гугле, что случилось с данными тех, кто не заплатил выкуп: компании Southwire, MDLab, город Pensacola.


Обновление от 5 марта 2020:
Пост в Твиттере >>



Обновление от 22 марта 2020:

Пост в Твиттере >>




Обновление от 3 июня 2020:
Статья на сайте BleepingComputer о том, как операторы Maze создали что-то вроде картели с операторами LockBit Ransomware, чтобы делиться своим опытом и платформой утечки данных.

Обновление от 8 июня 2020:
Статья на сайте BleepingComputer о том, как операторы Maze пригласили в свой картель операторов RagnarLocker Ransomware, чтобы получить взаимную выгоду. 

Обновление от 22 июня 2020:
Пост в Твиттере >>


Т
екст на английском:
Maze Team official press release. June 22, 2020
Maze Team is working hard on collecting and analyzing the information about our clients and their work. We also analyzing the post attack state of our clients How fast they were able to recover after the successful negotiations or without cooperation at all. 
Today we would like to tell some words about the cost of non-cooperation and about our clients who were trying to recover all the information themselves. Looking ahead all those attempts were more close to suicide than to recovery. 
So the company was attacked and the files were blocked and encrypted. What are the worst mistakes the company can made?
Maze Locker can't be decrypted without the help of Maze Team. A few companies we are not going to name were trying to decrypt the files with the help of side organizations. Those organizations are well known security companies. That happened at the end of 2019 and they are still waiting for a solution. As we know, compared to the first offer of Maze Team, those companies already paid two and a half times more money. One of those companies already spend four times more trying to decrypt the files themselves.
And we guarantee that it would take them years to wait until decryption.
But encrypting files is not the main risk. If the company have chosen to make a long pause in its operations this is the company's right But sometimes companies can't understand the risk of information leak, especially the private information We are specializing in client's private information, financial information, databases, credit card data. NDA documents and all the company's researches.
Usually that kind of information leaks will lead for multimillion losses, fines and lawsuits. And don't forget about the lost profit and falling of the stock price.
As we know from the reports of our clients the average recovery costs are about $60M We have never asked for amounts even close to those.
According to our statistics the loss from lawsuits and fines varies from $18M to $47M. As we know from one of our clients, in one week he loosed $12M while his files were in open access. For large companies the average lost if about $50M-60M after the publication of private data. A few very large companies have lost from $250M to $350M.
While hiring the negotiators from the side, especially the those who work on government, and listening to what they tell you, try to think are they really interested in solving your problems or they are just thinking about their own profit and ambitions of the government agency they belong to They can't minimize your loss or eliminate the data breach You'll pay from your own pocket.
But you will be able to find yourself in a statistics of companies who were proudly refuse to pay to minimize the loss of attack.
 ***

Перевод текста на русский:
Официальный пресс-релиз Maze Team. 22 июня 2020 г.
Команда Maze собирает и анализирует информацию о наших клиентах и ​​их работе. Мы также анализируем состояние наших клиентов после атаки. Как быстро они смогли восстановиться после успешных переговоров или вообще без сотрудничества.
Сегодня мы хотели бы сказать несколько слов о цене отказа от сотрудничества и о наших клиентах, которые пытались восстановить всю информацию самостоятельно. Заглядывая вперед, все эти попытки были ближе к суициду, чем к восстановлению.
Таким образом, компания была атакована, а файлы были заблокированы и зашифрованы. Какие худшие ошибки может совершить компания?
Maze Locker не может быть расшифрован без помощи команды Maze. Несколько компаний, которые мы не хотим называть, пытались расшифровать файлы с помощью сторонних организаций. Эти организации являются хорошо известными security-компаниями. Это произошло в конце 2019 года, и они все еще ждут решения. Как известно, по сравнению с первым предложением Maze Team эти компании уже заплатили в два с половиной раза больше денег. Одна из этих компаний уже потратила в четыре раза больше, пытаясь расшифровать файлы самостоятельно.
И мы гарантируем, что им потребуются годы, чтобы дождаться расшифровки.
Но шифрование файлов не является основным риском. Если компания решила сделать долгую паузу в своих операциях, это право компании. Но иногда компании не могут понять риск утечки информации, особенно частной информации. Мы специализируемся на личной информации клиента, финансовой информации, базах данных, данных кредитной карты, документы NDA и все исследования компании.
Обычно такие утечки информации приводят к многомиллионным убыткам, штрафам и судебным искам. И не забывайте о потерянной прибыли и падении курса акций.
Как мы знаем из отчетов наших клиентов, средние затраты на восстановление составляют около 60 миллионов долларов. Мы никогда не просили суммы, даже близкие к этим.
Согласно нашей статистике, убытки от судебных исков и штрафов варьируются от 18 до 47 миллионов долларов. Как мы знаем от одного из наших клиентов, за одну неделю он потерял 12 миллионов долларов, когда его файлы были в открытом доступе. Для крупных компаний средняя потеря составила около 50-60 млн долларов после публикации частных данных. Несколько очень крупных компаний потеряли от 250 до 350 миллионов долларов.
Нанимая переговорщиков со стороны, особенно тех, кто работает на правительство, и слушая то, что они вам говорят, старайтесь думать, действительно ли они заинтересованы в решении ваших проблем или просто думают о своей собственной прибыли и амбициях правительственного агентства. Они не могут минимизировать ваши потери или устранить утечку данных, которые вы заплатите из своего кармана.
Но вы сможете оказаться в статистике компаний, которые гордо отказывались платить, чтобы минимизировать потери от атак.
***
---

Обновление от 29 октября 2020:
Статья о закрытии вымогательского проекта "Maze Ransomware" и переход операторов-вымогателей на "Egregor Ransomware". 
Вымогатели также подтверждили, что Maze, Sekhmet, Egregor являются их вымогательскими программами. 


Более того, пострадавшие от Egregor после уплаты выкупа получают 
Sekhmet Decryptor.  


Обновление от 1 ноября 2020:
Maze Team официально объявили о своем закрытии. 



Я также объявляю о закрытии этой темы и статьи. 

Новость от 9 февраля 2022
Представитель группы вымогателей выложил в общий доступ на форуме BleepingComputer ключи дешифрования для пострадавших от Maze, Sekhmet, Egregor Ransomware.   
Ссылка на скриншоте скрыта, чтобы не дать возможность использовать вредоносные файлы инфектора m0yv, которые были в архиве. 


Внимание! 
Теперь есть дешифровщик >>


Вариант от 10 июня 2022:
Расширение: .<random>
Пример расширения: .wMbix3
DECRYPT-FILES.txt
Tor-URL: hxxx://aoacugmutagkwctu.onion/486b0bd5c056dd08
Сайт: hxxxs://mazedecrypt.top/486b0bd5c056dd08






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ChaCha)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от Cyber Security GrujaRS
Added later:
Write-up by BleepingComputer (on May 31. 2019)
*
*
 Thanks: 
 Michael Gillespie, GrujaRS
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Wesker

Wesker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0.75 DASH (~100$), чтобы вернуть файлы. Оригинальное название: Wesker Encrypter и Wesker Decryptor. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — логотип с сайта вымогателей

К зашифрованным файлам никакое расширение не добавляется. 
Вместо этого используется маркер файлов WESKER_ENC


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в начале мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!INSTRUCTION_RNSMW!!!.txt

Содержание записки о выкупе:
_________________________________________________
Hello, dear friend ツ 
All your work and personal files have been encrypted by the
W E S K E R     E N C R Y P T E R.
Your files are NOT damaged, they are modified only. They can be decrypted.
How to decrypt files?
You have to buy special software — «Wesker Decryptor».
The method of payment, the cost of the decryptor and other answers to the questions, you can find on your unique page.
For this:
[1] Download «Tor-browser» ( https://www.torproject.org/download/download-easy.html )
[2] Install and run it
[3] Open the website in the «Tor-browser»: http://wesker7b27uikjn3.onion/index.php?6b1AAdbb9d737C529783cf7eec9703dA
[4] Follow the further instructions.
IMPORTANT:
* Do not try to reinstall the OS, restore and decrypt the files yourself. All attempts will be unsuccessful.
** You can get the decryptor ONLY on the specified link.
*** If you do not have the ability to use «Tor-browser», use the «Telegram» to get the actual list of web mirrors: https://t.me/tor2web_wesker 
_________________________________________________
---BEGIN WESKER KEY---
3EfCC66625B0B3C77Ed0d1135BE86B00zf79Fme9lOEqwb+5VXmSPV95FnuZZHY0+PWnldmJ
***Bei+CMkTFlvFj8Nw4
---END WESKER KEY---
---BEGIN PC DATA---
dC504376F3a09e99a8e60C951ad9baab3u+RqddfDoA8khQ7kuYavaKvTE***2Q6PUa0lCm9/a
---END PC DATA---
_________________________________________________


Перевод записки на русский язык:
_________________________________________________
Привет, дорогой друг!
Все ваши рабочие и личные файлы были зашифрованы
W E S K E R     E N C R Y P T E R.
Ваши файлы НЕ повреждены, они только изменены. Они могут быть расшифрованы.
Как расшифровать файлы?
Вы должны купить специальную программу - «Wesker Decryptor».
Способ оплаты, стоимость расшифровки и другие ответы на вопросы вы можете найти на своей уникальной странице.
Для этого:
[1] Скачайте «Tor-browser» (https://www.torproject.org/download/download-easy.html)
[2] Установите и запустите
[3] Откройте сайт в «Tor-браузере»: http://wesker7b27uikjn3.onion/index.php?6b1AAdbb9d737C529783cf7eec9703dA
[4] Следуйте дальнейшим инструкциям.
ВАЖНЫЙ:
* Не пытайтесь переустановить ОС, восстановить и расшифровать файлы самостоятельно. Все попытки будут безуспешными.
** Вы можете получить расшифровщик ТОЛЬКО по указанной ссылке.
*** Если у вас нет возможности использовать «Tor-browser», используйте «Telegram», чтобы получить актуальный список веб-зеркал: https://t.me/tor2web_wesker
_________________________________________________
---BEGIN WESKER KEY---
3EfCC66625B0B3C77Ed0d1135BE86B00zf79Fme9lOEqwb + 5VXmSPV95FnuZZHY0 + PWnldmJ
*** Bei + CMkTFlvFj8Nw4
---END WESKER KEY---
---BEGIN PC DATA---
dC504376F3a09e99a8e60C951ad9baab3u + RqddfDoA8khQ7kuYavaKvTE *** 2Q6PUa0lCm9 / а
---END PC DATA---
_________________________________________________

Скриншот с сайта уплаты выкупа. 

Скриншот с сайта Telegram



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!INSTRUCTION_RNSMW!!!.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://wesker7b27uikjn3.onion/
Email: - 
DASH:
Telegram: xxxxs://t.me/tor2web_wesker 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Wesker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cripton7zp

Cripton7zp Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует файлы и сообщает, что файлы зашифрованы с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .aes

Пример зашифрованного файла: 1Cv8.1CD.aes


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2019 г. и продолжалась позже, включая сентябрь 2019. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. На компьютере жертвы ищет базы данных, например, от российской бухгалтерской программы 1С. Помещает их в архив и требует выкуп. 

Записка с требованием выкупа называется: readme.txt


Содержание записки о выкупе:
Здравствуйте ! Все ваши файлы зашифрованы самым стойким алгоритмом шифрования AES , данный алгоритм не возможно расшифровать без ключа ! ************************************************************************* Чтобы получить ключ пришлите на почту cripton7zp@protonmail.com или если долго нету  ответа  то на резервную  почту  пишите cripton7zp@tutanota.com ваш ID и пару зашифрованных файлов для дешифровки ! Это вам гарантирует что я могу вам все файлы расшифровать! Если не пишите в течении 96 часов  тогда ваш ключ удаляется  и файлы уже  невозможно  будет  расшифровать!!
**********************************************************************  ВАЩ ID: GB4537673522222266

Перевод записки на русский язык:
уже сделан вымогателем. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Файлы баз данных и популярные форматы. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Бэкапы и архивные файлы не шифруются, а удаляются. 

Файлы, связанные с этим Ransomware:
readme.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cripton7zp@protonmail.com, cripton7zp@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 22 марта 2021: 
Расширение: .aes
Записка: readme.txt
Email: cripton7zp@mailfence.com, cripton7zp@tutanota.com


➤ Содержание записки: 
Здравствуйте !
 Все ваши файлы зашифрованы самым стойким алгоритмом шифрования AES , данный алгоритм не возможно расшифровать без ключа!
*****************************************************************
 Чтобы получить ключ пришлите на почту cripton7zp@mailfence.com , или если долго нету  ответа  то на резервную  почту  пишите cripton7zp@tutanota.com ваш ID и пару зашифрованных файлов для дешифровки !
 Это вам гарантирует что я могу вам все файлы расшифровать! Если не пишите в течении 96 часов  тогда ваш ключ удаляется  и файлы уже  невозможно  будет  расшифровать!!!
*****************************************************************
  ВАЩ ID: ANKS57752256789895452553682
Также если  долго не отвечаю или ошибки при  отправке  то ....
Из - за недавних событий в правительстве, рекомендую   писать с Gmail или с yahoo mail 
Или сразу с этих доменов пишите  и лучше пишите сразу на две  почты одновременно а то мало ли что  !
А еще лучше для  надежности  можете зарегистрироваться  через ВПН или через ТОР браузер  на protonmail.com и написать  мне !
Тогда  100 процентов письмо придет !
P.S НЕ ПИШИТЕ С МАЙЛ РУ  !!!!!!!!!!!!!!! С МАЙЛ РУ ПОЧТА МНЕ НЕ ПРИХОДИТ  А ЕСЛИ И ПРИХОДИТ ТО Я НЕ МОГУ НА НЕЕ ОТВЕТИТЬ  !!! 
!!! НЕ БЕСИТЕ МЕНЯ  ПОЖАЛУЙСТА С ВАШИМ  ЛЮБИИМЫМ МААЙЛ РУ !
 ЕСЛИ ВАМ РЕАЛЬНО НУЖНЫ  ФАЙЛЫ  ТО ПОЖАЛУЙСТА ПИШИТЕ С ЧЕЛОВЕЧЕСКИХ ЯЩИКОВ !!! 
P.S 2 ПОЖАЛУЙСТА  ДУМАЙТЕ О ЛЮДЯХ КОГДА  ХОТИТЕ  КАКИМ ТО ОБРАЗОМ  ЗАБЛОКИРОВАТЬ МОЮ  ПОЧТУ 
 ВЫ  БОЛЬШЕ ВРЕДИТЕ  ЛЮДЯМ КОТОРЫМ  ОЧЕНЬ ОЧЕНЬ  ВАЖНО БЫВАЕТ  РАСШИФРОВАТЬ ФАЙЛЫ И  ВЫ ИМ ВРЕДИТЕ  БОЛЬШЕ ЧЕМ   МНЕ !!!!
P.S 3 ЕСЛИ  ПЫТАЕТЕСЬ  САМИ  РАСШИФРОВАТЬ ИЛИ ЧТО ТО СДЕЛАТЬ  С ФАЙЛАМИ  ТО РЕКОМЕНДУЮ СДЕЛАТЬ КОПИИ 
А ПОТОМ  ЕСЛИ ХОТИТЕ  ПРОБОВАТЬ ВСЯКИМИ  БЕЗПОЛЕЗНЫМИ ПРОГРАММАМИ ЧТОБЫ ВЫ ИХ НЕ ИСПОРТИЛИ СОВСЕМ !
 ТАК ЖЕ ЕСЛИ У ВАС RAID 1 ИЛИ RAID 10    ТО РЕКОМЕНДУЮЮ ПЕРЕПРОВЕРИТЬ  А ПОТОМУ УЖЕ   ДОСТАВАТЬ  ОДИН ДИСК 
  ПОТОМУ ЧТО   СКОРЕЕ ВСЕКГО    ВАШИ РАЙДЫ  ПРЕВРАТИЛИЛИСЬ В  ОБЫЧНЫЕ ДИСКИ ИЛИ  В  RAID 0  И ЕСЛИ  RAID 0  ТО МОЖНО  ИСПОРТИТЬ  ФАЙЛЫ  СОВСЕМ !!!!!!!!!!!


Вариант от 6 апреля 2022: 
Внешне тоже самое, что и год назад. 
Расширение: .aes
Записка: readme.txt
Email: cripton7zp@mailfence.com, cripton7zp@tutanota.com





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Alex Svirid
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 8 мая 2019 г.

Blitzkrieg

Blitzkrieg Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружение: 
DrWeb -> Trojan.Encoder.28019
BitDefender -> Generic.Malware.Tk.2E4B1991

© Генеалогия: выясняется, явное родство с кем-то не доказано.



Изображение — это логотип статьи

К зашифрованным файлам добавляется расширение: .bkc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HowToBackFiles.txt

Содержание записки о выкупе:
Attention !!!
All your files on this server have been encrypted.
Write this ID in the title of your message
To restore the files need to write to us on e-mail: Blitzkriegpc@protonmail.com
The price for restoration depends on how quickly you write tous.
After payment we will send you a decryption tool that will decrypt all your files.
You can send us up to 3 files for free decryption.
 -files should not contain important information
 -and their total size should be less than 1 MB
IMPORTANT !!!
Do not rename encrypted files
Do not try to decrypt your data with third-party software,this can lead to permanent data loss!
Your ID: ;961;;898

Перевод записки на русский язык:
Внимание !!!
Все ваши файлы на этом сервере зашифрованы.
Напишите этот ID в заголовке вашего сообщения
Для восстановления файлов надо написать нам на email: Blitzkriegpc@protonmail.com
Цена восстановления зависит от того, как быстро вы напишете.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Вы можете отправить нам до 3 файлов для бесплатной расшифровки.
  -файлы не должны содержать важную информацию
  -и их общий размер должен быть менее 1 МБ
ВАЖНО!!!
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести у потере данных!
Ваш ID: ;961;;898



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки/


Другие деструктивные действия:
- отключает Защитника Windows;
-  очищает журналы Windows;
- очищает Корзину на всех дисках;
- отключает гибернацию;
- останавливает работу программ удаленной помощи (TeamViewer и др.).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HowToBackFiles.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Blitzkriegpc@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 мая 2019:
Расширение: .bkc
Составное расширение: .[blellockr@godzym.me].bkc
Email: blellockr@godzym.me

Обновление от 13 мая 2019:
Пост в Твиттере >>
Расширение: .non
Email: xihuanya@protonmail.com
Записка: HowToBackFiles.txt
Результаты анализов: VT


Обновление от 20 июня 2019:
Check Point Research изучили вариант с расширением .non и смогли его расшифровать. Они выдумали новое название NonRansomware, чтобы указать на расшифрованный вариант. Скриншот программы прилагается. Ссылки ниже в блоке ссылок и спасибок. 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Некоторые варианты могут быть расшифрованы. 
Есть дешифровщик для файлов, зашифрованных вариантом с расширенеим .non
Прочитать статью >> 
Скачать NonDecryptor >>
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (first ID as Blitzkrieg)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *