вторник, 22 марта 2016 г.

Nemucod

Nemucod Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп от 0.39983 до 4 биткоинов за ключ дешифровки. Точнее, шифруются первые 2048 байт файла, используя 255 байт ключа XOR. 

© Генеалогия: Nemucod > Nemucod-AES

К зашифрованным файлам добавляется расширение .crypted
Начальная активность этого крипто-вымогателя пришлась на март-апрель 2016 г. и продолжалась в течении всего 2016 года. 

Записки с требованием выкупа называются: 
Decrypted.txt
Decrypt.txt

Содержание записки о выкупе:
Attention!
All your documents, photos, databases and other important personal files were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.39983 BTC (bitcoins).
Please follow this manual:
1. Create Bitcoin wallet here: https://blockchain.info/wallet/new
2. Buy 0.39983 BTC with cash, using search here: https://localbitcoins.com/buy_bitcoins
3. Send 0.39983 BTC to this Bitcoin address: ***
4. Open one of the following links in your browser to download decryptor:
http://coseap.it/counter/7ad-***
http://globalautomot i ve.i t/counter/?ad-***
http://angelucci.info/counter/7ad-***
http://www.hoanca.cow/counter/?ad-***
http://bibliotecaatualiza.com.br/counter/7ad-***
5. Run decryptor to restore your files.
PLEASE REMEMBER:
- If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
- Nobody can help you except us.
- It's useless to reinstall windows, update antivirus software, etc.
- Your files can be decrypted only after you make payment.
- You can find this manual on your desktop (DECRYPT.txt).

Перевод записки на русский язык:
Внимание!
Все ваши документы, фото, базы данных и другие важные личные файлы зашифрованы с использованием алгоритма RSA-1024 с уникальным ключом.
Чтобы восстановить файлы вы должны заплатить 0.39983 BTC (Bitcoins).
Пожалуйста, следуйте данному руководству:
1. Создать Bitcoin-кошелек здесь: https://blockchain.info/wallet/new
2. Купить 0,39983 BTC на деньги, используя поиск здесь: https://localbitcoins.com/buy_bitcoins
3. Переслать 0.39983 BTC на Bitcoin-адрес: ***
4. Открыть одну из следующих ссылок в вашем браузере, чтобы загрузить дешифратор:
http://coseap.it/counter/7ad-***
http://globalautomot i ve.i t/counter/?ad-***
http://angelucci.info/counter/7ad-***
http://www.hoanca.cow/counter/?ad-***
http://bibliotecaatualiza.com.br/counter/7ad-***
5. Запустить дешифратор для восстановления файлов.
ПОЖАЛУЙСТА, ПОМНИТЕ:
- Если вы не платите за 3 дня, то потеряете все свои файлы.
- Никто не может помочь вам, кроме нас.
- Бесполезно заново ставить Windows, обновлять антивирус и т.д.
- Ваши файлы могут быть расшифрованы только после того, как вы сделаете оплату.
- Вы можете найти это руководство на рабочем столе (DECRYPT.txt).

Распространяется с помощью email-спама и вредоносных вложений, в частности через загрузчик Nemucod Trojan.Downloader, рассылаемый злоумышленниками по электронной почте в виде JavaScript-вложения (.js) . Когда пользователь откроет JS-вложение, то JS-скрипт сработает, загрузит на компьютер жертвы и сохранит исполняемый, но пока еще неактивный файл вымогателя в директорию %TEMP%\5021052.exe. Затем скрипт создаёт и запускает CMD-сценарий, содержащий команды, которые будут использоваться для поиска файлов и их целенаправленного шифрования.
 JS-исходник Nemucod

Примечательно, что шаги шифрования у Nemucod разделены между двумя программами. Javascript-инсталлеры генерируют различные команды и командные файлы, которые используют загруженные файлы для выполнения процесса шифрования.

После шифрования файлов, CMD-сценарий добавит различные пункты автозапуска в реестре, чтобы ПО вымогателей продолжило работу при следующей загрузке Windows. Когда сценарий закончит работу, он удалит себя с компьютера. После окончании шифрования жертве будет отображена записка с требованием выкупа.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .als, .asm, .aup, .avi, .bas, .blend, .cad, .cdr, .cpp, .cpr, .cpt, .cs, .csv, .doc, .docx, .dsk, .dwg, .eps, .gpg, .gz, .indd, .jpg, .kdb, .kdbx, .lwo, .lws, .m4v, .max, .mb, .mdb, .mdf, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .pas, .pdf, .pgp, .php, .ppt, .pptx, .psd, .pub, .rar, .raw, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .ssh, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .wdb, .wmf, .wmv, .xls, .xlsx, .zip (79 расширений). 

Файлы, связанные с Ransomware:
Decrypted.txt

Дополнение про вредоносное ПО Nemucod 
Вредоносное ПО Nemucod было известно задолго до работы как вымогатель. Так, Nemucod TrojanDownloader может установить на ПК пользователя инфекцию Kovter (см. рисунок ниже) и, возможно, другие вредоносные программы. 

Для отдельного удаления этого вредоноса есть специальные инструменты, например, Trojan.Kotver Removal Tool. См. также инструкцию от BleepinComputer по удалению Kovter.

Файлы, связанные с Nemucod Trojan:
%Temp%\502105.txt
%Temp%\5021052.exe
%LocalAppData%\evum\
%LocalAppData%\evum\1QGNQ.2MGvFO
%AppData%\BlastoffCounterpoiseDissimilitude
%AppData%\ForesideDopattaEmpyrean
%AppData%\gangbang.dll
%AppData%\htmlhelp.title.xml
%AppData%\libertine.dll
%AppData%\minimize_hover.png
%AppData%\System.dll
%Desktop%\Decrypt.txt

Записи реестра, связанные с Nemucod Trojan:
HKCU\Software\Classes\.2MGvFO
HKCU\Software\Classes\.2MGvFO\    ayC5
HKCU\Software\Classes\ayC5
HKCU\Software\Classes\ayC5\shell
HKCU\Software\Classes\ayC5\shell\open
HKCU\Software\Classes\ayC5\shell\open\command
HKCU\Software\3c1cee05f3
HKCU\Software\Classes\ayC5\shell\open\command\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Crypted    %Temp%\502105.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]

Степень распространённости: высокая.
Подробные сведения собираются.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

История не отслеживалась. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 июня 2016:
Сообщение на сайте Microsoft >>
Записка: DECRYPT.txt
BTC: 1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
Сумма выкупа: 0.43466 BTC
➤ Содержание записки: 
ATTENTION!
All your documents, photos, databases and other important personal files
were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.43466 BTC (bitcoins).
Please follow this manual:
1. Create Bitcoin wallet here:
      https://blockchain.info/wallet/new
2. Buy 0.43466 BTC with cash, using search here:
      https://localbitcoins.com/buy_bitcoins
3. Send 0.43466 BTC to this Bitcoin address:
      1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
4. Open one of the following links in your browser to download decryptor:
      http://clermontcentralchurch.org/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://glamcook.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://lmapp360.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://roofsalesmastery.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://oneboxcg.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
5. Run decryptor to restore your files.
PLEASE REMEMBER:
      - If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
      - Nobody can help you except us.
      - It`s useless to reinstall Windows, update antivirus software, etc.
      - Your files can be decrypted only after you make payment.
      - You can find this manual on your desktop (DECRYPT.txt).

Обновление от *** 2016:
Сообщение на форуме >>
Записка: DECRYPT.txt
BTC: 1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
Сумма выкупа: 0.55165 BTC
➤ Содержание записки: 
ATTENTION!
All your documents, photos, databases and other important personal files
were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.55165 BTC (bitcoins).
Please follow this manual:
1. Create Bitcoin wallet here:
      https://blockchain.info/wallet/new
2. Buy 0.55165 BTC with cash, using search here:
      https://localbitcoins.com/buy_bitcoins
3. Send 0.55165 BTC to this Bitcoin address:
      1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
4. Open one of the following links in your browser to download decryptor:
      http://viktoriaschool.ru/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://tienda-mediterranea.de/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://www.united-systems.it/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://pasargad1007.com/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://www.sateltrack.net/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
5. Run decryptor to restore your files.
PLEASE REMEMBER:
      - If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
      - Nobody can help you except us.
      - It`s useless to reinstall Windows, update antivirus software, etc.
      - Your files can be decrypted only after you make payment.
      - You can find this manual on your desktop (DECRYPT.txt).







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик. 
Скачать Emsisoft Nemucod Decryptor >>>
Подробная инструкция по использованию прилагается. 
*
*
Emsisoft Decryptor for Nemucod >>
Write-up from Bleeping Computer >>
 Thanks: 
 Fabian Wosar, Michael Gillespie, Lawrence Abrams 
 Andrew Ivanov (author)
 Emsisoft
© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправка комментария

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

У вас есть Совесть? Получите здесь!

У вас есть Совесть? Получите здесь!
Официальная ссылка на получение карты "Совесть" с бонусом для нас двоих!

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *