Если вы не видите здесь изображений, то используйте VPN.

среда, 26 марта 2014 г.

Kolobo

Kolobo Ransomware

Kolobocheg Ransomware 

(шифровальщик-вымогатель)

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA и XOR, а затем написать на email вымогателей, чтобы вернуть файлы. 

Название Kolobo условное, дано Майклом Джиллеспи для идентификации в ID Ransomware. Название "Gingerbread", упомянутое в статье Лоуренса Абрамса (2016 г.), не имеет никакого отношения к этому шифровальщику. 

По классификации Dr.Web это Trojan.Encoder.293. Написан на языке Delphi. Является более поздней модификацией Trojan.Encoder.102 и имеет с ним много общего. Выполняет шифрование файлов в два приема: с алгоритмом XOR блоками примерно по 0x200 байт (длина блока и гамма могут отличаться в разных вариантах). После этого файл шифруется с использованием алгоритма RSA. 

© Генеалогия: HELP@AUSI > Kolobo 

К зашифрованным файлам добавляется расширение .kolobocheg@aol.com_

Появился во второй половине марта 2014 года. Но образец этого криптовымогателя был найден даже в ноябре 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
Файлы зашифрованы! 
Колобок ушел от бабушки и от дедушки, и обнаружил, что у него нет денег, даже квартиру не снять! 
Долго думал колобок, захотел повеситься - но не смог. И всё, на что он может рассчитывать - на Вашу помощь!
Помоги колобку, а он вернет тебе файлы! 
Отпиши на эти данные, указав идентификатор: 
Почта - kolobocheg@аоl.com
Идентификатор - k1
за дополнительной информацией – filesencoded.com


Технические детали

Распространялся с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может распространяться путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По данным Dr.Web шифровальщик Trojan.Encoder.293 распространялся в комплекте с программой для кражи паролей "UFR stealer". После очистки ПК или переустановки системы нужно сменить все пароли, которыми ранее пользовались. 

➤ Для версий, которые были до лета 2014 года, есть шанс на дешифрование файлов, если найден exe-файл.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
kolobocheg@aol.com
filesencoded.com - сайт вымогателей

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Так как во время активности шифровальщиков этого типа я не суммировал по ним информацию и не вёл этот блог, то лучше изучить информацию на сайте и форуме Dr.Web. Ссылки прилагаются. 

Описание семейства Trojan.Encoder.293 >>
Информация по дешифрованию >>



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. Историю семейства выше. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для kolobocheg@aol.com_ вариантов k1, k3 есть дешифровщик
Обращайтесь на форум Dr.Web по ссылке >> 
Или создайте индивидуальный запрос на расшифровку >>
 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as Kolobo)
 Write-up (2016), Write-up (2013), Write-up (2014)
 *
 Thanks: 
 JAMESWT
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 20 марта 2014 г.

CryptoDefense

CryptoDefense Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп от 500 и выше долларов или евро, чтобы вернуть файлы обратно. Через 4 дня сумма выкупа удваивается до 1000 и выше долларов. Активность этого криптовымогателя пришлась на февраль-март 2014 г., но периодически обнаруживаются новые вредоносные кампании. 

© Генеалогия: CryptoDefense. Начало >> клоны

Записки с требованием выкупа создаются в каждой папке с зашифрованными файлами и называются:
HOW_DECRYPT.TXT
HOW_DECRYPT.HTML
HOW_DECRYPT.URL
TXT-вариант записки о выкупе

HTML-вариант записки о выкупе

Может быть открыто следующее окно браузера с адресом: 
https://rj2bocejarqnpuhm.tor2web.org/[RANDOM ***], где жертве объясняется как оплатить выкуп в биткоинах. 

Содержание текстовой записки о выкупе:
All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software. 
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. 
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a month. After that, nobody and never will be able to restore files. 
In order to decrypt the files, open your personal page on the site https://rj2bocejarqnpuhm.onion.to/*** and follow the instructions. 
If https://rj2bocejarqnpuhm.onion.to/*** is not opening, please follow the steps below: 
IMPORTANT INFORMATION: 
Your Personal PAGE: https://rj2bocejarqnpuhm.onion.to/*** 
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/***
Your Personal CODE(if you open site directly): ***

Перевод записки на русский язык:
Все файлы, включая видео, фото и документы на компьютере зашифрованы с помощью CryptoDefense Software.
Шифрование было сделано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Для расшифровки файлов вам надо получить секретный ключ.
Единственный экземпляр секретного ключа, который позволит вам расшифровать файлы, расположен на секретном сервере в сети Интернет; сервер уничтожит ключ через месяц. После этого никто и никогда не сможет восстановить файлы.
Для того, чтобы расшифровать файлы, откройте свою персональную страницу на сайте https://rj2bocejarqnpuhm.onion.to/*** и следуйте инструкциям.
Если https://rj2bocejarqnpuhm.onion.to/*** не открывается, пожалуйста, выполните следующие действия:
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша личная страница: https://rj2bocejarqnpuhm.onion.to/***
Ваша личная страница (для TorBrowser): rj2bocejarqnpuhm.onion / ***
Ваш личный код (если вы открываете сайт напрямую): ***

Распространяется с помощью email-спама и вредоносных вложений, с помощью ссылок на вредоносные сайты, содержащие эксплойт.

Список файловых расширений, подвергающихся шифрованию:
.asp, .ass, .ava, .avi, .bay, .bmp, .c, .cer, .cpp, .crt, .cs, .db, .der, .doc, .dtd, .eps, .gif, .h, .hpp, .jpg, .js, .key, .lua, .m, .mp3, .mpg, .msg, .obj, .odt, .pas, .pdb, .pdf, .pem, .pl, .png, .ppt, .ps, .py, .raw, .rm, .rtf, .sql, .swf, .tex, .txt, .wb2, .wpd, .xls (48 расширений).

CryptoDefense создает следующую запись реестра, чтобы сохранить путь всех зашифрованных файлов: HKEY_CURRENT_USER\Software\[RANDOM CHARACTERS]\PROTECTED 

CryptoDefense создает следующие записи в реестре, чтобы запускаться каждый раз при запуске Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%AppData%\[RANDOM CHARACTERS].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" =" C:\[RANDOM CHARACTERS]\[RANDOM CHARACTERS].exe"

CryptoDefense удаляет тома теневых копий файлов, отключает службу восстановления Windows, службу восстановления после ошибок при запуске, систему обеспечения безопасности. 

Файлы, связанные с CryptoDefense Ransomware:
%UserProfile%\Desktop\HOW_DECRYPT.URL
%UserProfile%\Desktop\HOW_DECRYPT.TXT
%UserProfile%\Desktop\HOW_DECRYPT.HTML
C:\<random>\<random>.exe
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)

Записи реестра, связанные с CryptoDefense Ransomware:
HKEY..\..\{CLSID Path}
HKEY_CURRENT_USER\Software\[unique id]
HKEY_CURRENT_USER\Software\[unique id] "finish" = "1"
HKEY_CURRENT_USER\Software\[unique id]\PROTECTED

Сетевые подключения и связи:
machetesraka.com
markizasamvel.com
armianazerbaijan.com
allseasonsnursery.com

BTC:
1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1 (первая транзакция 18 марта 2014 года)

19DyWHtgLgDKgEeoKjfpCJJ9WU8SQ3gr27 (первая транзакция 28 февраля 2014 года)



Степень распространённости: высокая, включая клоны. 
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптер.

вторник, 11 марта 2014 г.

Plague17 (2014-2016)

Plague17 (2014-2016) Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.14940 и более ранние
BitDefender ->

© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2018-2019)
Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .PLAGUE17.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Раняя активность этого крипто-вымогателя пришлась примерно на март июля 2014 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. Нет данных о распространении в других странах. Был активен на протяжении 2014-2016 годов. Вероятно, после (в 2018-2019 годах) стал использоваться обновленный вариант (судя по обнаружениям антивирусными движками). 

Записка с требованием выкупа называется: 
ДЕШИФРАТОР.txt или чуть позже PLAGUE17.txt



Содержание записки о выкупе:
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .PLAGUE17
Ни в коем случае не изменяйте файлы! И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.
Напишите нам письмо на адрес plague17@riseup.net , чтобы узнать как получить дешифратор.
Если мы Вам не ответили в течении 3 часов - повторите пересылку письма.
В письмо вставьте текст из файла 'PLAGUE17.txt' или напишите номер - 998866
В первом письме не прикрепляйте файлы для дешифровки. Все инструкции вы получите в ответном письме.

Перевод записки на русский язык:
*** уже сделан ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ДЕШИФРАТОР.txt
PLAGUE17.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Plague17 / AMBA Family (семейство  Plague17 / AMBA):
Plague17 Ransomware - март 2014 - 2016
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018
Plague17 Ransomware - май 2018-август 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author), Alex Svirid
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 10 марта 2014 г.

BitCrypt 2.0

BitCrypt 2.0 Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-426 + AES, а затем требует выкуп в 0.4 BTC (биткоины), чтобы вернуть файлы. Оригинальные названия: Bitcrypt и BitCrypt (указано в записке). На файле может быть написано, что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: BitCrypt > BitCrypt 2.0

К зашифрованным файлам добавляется расширение .bitcrypt2

Активность этого крипто-вымогателя пришлась на вторую половину февраля 2018 г. Ориентирован на разноязычных пользователей, что позволило успешно распространять его по всему миру. Разные источники сообщают, что наибольшее число пострадавших было из США. 

Записка с требованием выкупа называется: BitCrypt.txt

Она написана на 10 языках мира: английском, французском, немецком, итальянском, испанском, португальском, русском, японском, китайском, арабском.


Содержание записки о выкупе:
Attention!!!
Your BitCrypt ID: {transaction ID}
All necessary files on your PC ( photos, documents, data bases and other) were encoded with a unique RSA-1024 key.
Decoding of your files is only possible by a special programm that is unique for each BitCrypt ID.
Specialists from computer repair services and anti-virus labs won't be able to help you.
In order to receive the program decryptor you need to follow this link xxxx://www.bitcrypt.info and read the instructions.
If current link doesn't work but you need to restore files please follow the directions:
1. Try to open link kphijmuo2x5expag.tor2web.com. If you failed proceed to step 2.
2. Download and install tor browser xxxx://www.torproiect.org/projects/torbrowser.html
3. After installation, start tor browser and put in tne following address kphijmuo2x5expag.onion
Remember, the faster you act the more chances to recover your files undamaged.

Перевод записки на русский язык:
Внимание! ! !
Ваш BitCrypt ID: {transaction ID}
Все нужные файлы на вашем ПК (фото, документы, базы данных и другие) были зашифрованы с уникальным ключом RSA-1024.
Дешифрование ваших файлов возможно только с помощью специальной программы, которая уникальна для каждого BitCrypt ID.
Специалисты из служб ремонта компьютеров и антивирусных лабораторий не смогут вам помочь.
Чтобы получить дешифратор программы, вам необходимо следовать этой ссылке xxxx://www.bitcrypt.info и прочитать инструкции.
Если текущая ссылка не работает, но вам необходимо восстановить файлы, следуйте инструкциям:
1. Попробуйте открыть ссылку kphijmuo2x5expag.tor2web.com. Если вы не перешли к шагу 2.
2. Загрузите и установите браузер браузера xxxx://www.torproiect.org/projects/torbrowser.html.
3. После установки запустите браузер браузера и введите следующий адрес: kphijmuo2x5expag.onion
Помните, чем быстрее вы действуете, тем больше шансов восстановить неповрежденные файлы.

Другие информатором в этой версии шифровальщика выступает изображение BitCrypt.bmp, заменяющее обои на Рабочем столе. 

Содержание текста на обоях:
Your computer was infected by BitCrypt v2.0 cryptovirus.

For more information you should find txt file named Bitcrypt.txt on your Desktop.

Перевод текста на русский язык:
Ваш компьютер был заражен криптовирусом BitCrypt v2.0.

Для получения информации вы должны найти txt-файл Bitcrypt.txt на рабочем столе.

На сайте вымогателей предлагается ввести BitCrypt ID, найденный в записке о выкупе.
После входа пользователь переходит на страницу BitCrypt, якобы принадлежащую Bitcrypt Software Inc., которая предоставляет пострадавшему инструкции по восстановлению своих данных за 0,4 BTC. 

На сайте имеется также страница FAQ, показанная ниже.



Технические детали

BitCrypt распространялся троянской программой под названием FAREIT, которая ворует другие биткоины. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Регистрирует в системе новое расширение .ccw для своего файла конфигурации.

 Исследователи сообщили, что FAREIT ищет и пытается извлечь информацию из файлов wallet.dat (Bitcoin), electrum.dat (Electrum) и .wallet (MultiBit). Эти файлы создаются и используются различными клиентскими приложениями Bitcoin.

 Завершает следующие процессы, если они находятся в памяти затронутой системы: 
taskmgr.exe
regedit.exe

➤ Вносит изменения в реестр Windows:
- Прописывается в Автозагрузку системы. 
- Удаляет следующие ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

 Запрашивает значение ключа реестра, который содержит значение географического местонахождения ПК:
HKEY_CURRENT_USER\Control Panel\International\Geo\Nation
Это значение затем используется как часть идентификатора Bitcrypt ID.

 Выполняет следующие деструктивные команды:
cmd.exe / K bcdedit / set {bootmgr} displaybootmenu no
cmd.exe / K bcdedit / set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.abw, .arj, .asm, .bpg, .cdr, .cdt, .cdx, .cer, .css, .dbf, .dbt, .dbx, .dfm, .djv, .djvu, .doc, .docm, .docx, .dpk, .dpr, .frm, .gz, .jpeg, .jpg, .js, .key, .lzh, .lzo, .mdb, .mde, .odc, .pab, .pas, .pdf, .pgp, .php, .pps, .ppt, .pst, .rtf, .sql, .text, .txt, .vbp, .vsd, .wri, .xfm, .xl, .xlc, .xlk, .xls, .xlsm, .xlsx, .xlw, .xsf, .xsn (56 расширений).
Это документы MS Office и Visio, PDF, текстовые файлы, базы данных, изображения, файлы иных программ и пр.

Файлы, связанные с этим Ransomware:
win.exe - файл, загружаемый с вредоносного сайта
<random>.exe - случайное название
bitcrypt.ccw - файл конфигурации
BitCrypt.txt - записка о выкупе
BitCrypt.bmp - изображение на обои

Расположения:
%Application Data%\bitcrypt.ccw
%Application Data%\BitCrypt.txt
%Application Data%\BitCrypt.bmp
\Folders with user's encrypted files\BitCrypt.txt
%AppData%\<random>.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw\OpenWithList
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts   .ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bitcomint = "%AppData%\<random>.exe" (удаляется после успешного шифрования файлов)
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.bitcrypt.info***
xxxx://kphijmuo2x5expag.onion***
xxxx://kphijmuo2x5expag.tor2web.com***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя на момент распространения.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BitCrypt, BitCrypt 2.0)
 Write-up, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Trend Micro
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 7 марта 2014 г.

BitCrypt

BitCrypt Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-426 + AES, а затем требует выкуп в # BTC (биткоины), чтобы вернуть файлы. Оригинальные названия: Bitcrypt и BitCrypt (указано в записке). На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: BitCrypt > BitCrypt 2.0

К зашифрованным файлам добавляется расширение .bitcrypt

Активность этого крипто-вымогателя пришлась на вторую половину февраля - начало марта 2014 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: BitCrypt.txt
Содержание записки о выкупе:
Attention! ! !
Your BitCrypt ID:
DRU-217-439xxx
All necessary files on your PC ( photos, documents, data bases and other) were encoded with a unique RSA-1024 key.
Decoding of your files is only possible by a special programm that is unique for each BitCrypt ID.
Specialists from computer repair services and anti-virus labs won't be able to help you.
In order to receive the program decryptor you need to follow this link xxxx://www.bitcrypt.info and read the instructions.
If current link doesn't work but you need to restore files please follow the directions:
1. Try to open link kphijmuo2x5expag.tor2web.com. If you failed proceed to step 2.
2. Download and install tor browser xxxx://www.torproiect.org/projects/torbrowser.html
3. After installation, start tor browser and put in tne following address kphijmuo2x5expag.onion
Remember, the faster you act the more chances to recover your files undamaged.

Перевод записки на русский язык:
Внимание! ! !
Ваш BitCrypt ID:
DRU-217-439xxx
Все нужные файлы на вашем ПК (фото, документы, базы данных и другие) были зашифрованы с уникальным ключом RSA-1024.
Дешифрование ваших файлов возможно только с помощью специальной программы, которая уникальна для каждого BitCrypt ID.
Специалисты из служб ремонта компьютеров и антивирусных лабораторий не смогут вам помочь.
Чтобы получить дешифратор программы, вам необходимо следовать этой ссылке xxxx://www.bitcrypt.info и прочитать инструкции.
Если текущая ссылка не работает, но вам необходимо восстановить файлы, следуйте инструкциям:
1. Попробуйте открыть ссылку kphijmuo2x5expag.tor2web.com. Если вы не перешли к шагу 2.
2. Загрузите и установите браузер браузера xxxx://www.torproiect.org/projects/torbrowser.html.
3. После установки запустите браузер браузера и введите следующий адрес: kphijmuo2x5expag.onion
Помните, чем быстрее вы действуете, тем больше шансов восстановить неповрежденные файлы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Регистрирует в системе новое расширение .ccw для своего файла конфигурации. 

 Завершает следующие процессы, если они находятся в памяти затронутой системы:
taskmgr.exe
regedit.exe

➤ Вносит изменения в реестр Windows:
- Прописывается в Автозагрузку системы. 
- Удаляет следующие ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

 Запрашивает значение ключа реестра, который содержит значение географического местонахождения ПК:
HKEY_CURRENT_USER\Control Panel\International\Geo\Nation

Это значение затем используется как часть идентификатора Bitcrypt ID.

 Выполняет следующие деструктивные команды:
cmd.exe / K bcdedit / set {bootmgr} displaybootmenu no
cmd.exe / K bcdedit / set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.abw, .arj, .asm, .bpg, .cdr, .cdt, .cdx, .cer, .css, .dbf, .dbt, .dbx, .dfm, .djv, .djvu, .doc, .docm, .docx, .dpk, .dpr, .frm, .jpeg, .jpg, .key, .lzh, .lzo, .mdb, .mde, .odc, .pab, .pas, .pdf, .pgp, .php, .pps, .ppt, .pst, .rtf, .sql, .text, .txt, .vbp, .vsd, .wri, .xfm, .xlc, .xlk, .xls, .xlsm, .xlsx, .xlw, .xsf, .xsn (53 расширения).
Это документы MS Office и Visio, PDF, текстовые файлы, базы данных, изображения, файлы иных программ и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
bitcrypt.ccw - файл конфигурации
BitCrypt.txt - записка о выкупе

Расположения:
%Application Data%\bitcrypt.ccw
%Application Data%\BitCrypt.txt
\Folders with user's encrypted files\BitCrypt.txt
%AppData%\<random>.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw\OpenWithList
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts   .ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Bitcomint = "%Application Data%\{random}.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.bitcrypt.info***
xxxx://kphijmuo2x5expag.onion***
xxxx://kphijmuo2x5expag.tor2web.com***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая на момент распространения.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


См. статью BitCrypt 2.0 Ransomware



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Инструкция есть по этой ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BitCrypt, BitCrypt 2.0)
 Write-up, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Fabien Perigaud, Cedric Pernet
 Trend Micro
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *