Если вы не видите здесь изображений, то используйте VPN.

суббота, 30 июля 2016 г.

Не плати выкуп! No More Ransom!

Шифровальщики — чума Интернета


   Сейчас уже ни для кого не секрет, что в Интернет перенесены все виды имеющихся преступлений. Среди них кибершпионаж, кибертерроризм, кибермошенничество, киберкражи и, согласно тематике этого блога, кибервымогательство и кибершантаж.

  Киберпреступления в России давно хотят приравнять к кражам, усилив наказания, но данный вопрос поднят с подачи банковских структур, которым якобы хакеры житья не дают. Может быть, так оно и есть. Кто о чём, а банки о хакерах...

   В готовящемся законопроекте также упомянуто скачивание нелицензионных программ и аудио-видео-"шедевров" современной "шедевро"-индустрии, и так выливающейся на нас, как ушат грязной воды. Опять налицо охота на ведьм, а не на истинных киберпреступников, которые как чума распространились по всей Всемирной Сети и затронули каждую семью в каждой стране мира, имеющую выход в Интернет.

  Да, я говорю о Вымогательской Чуме: крипто-вымогателях, шифровальщиках, блокировщиках и всевозможных фейках, т.е. программах, которые прикидываются шифровальщиками, блокировщиками, программами, предлагающими "очистку" за плату, но от этого не перестают быть вымогателями. Их создатели открыто размещают свои "творения" в сети Интернет, не боясь ни правоохранителей, ни криминальной мафии, ни местной полиции, ни Европола и Интерпола. Они рекламируют, их рекламируют и продвигают в результатах поиска автоматизированных систем Google и Яндекс. 

  Вот с кем должны бороться законы о киберпреступлениях, вот кого в первую очередь должна хватать полиция, вычислять Европол, Интерпол и Управление "К"! Хотелось бы верить, что работа в этом направлении ведётся денно и нощно, но факт налицо: вымогательство и криптовымогательство стало бичом и чумой Интернета, как каток подмяв под себя классические вирусные эпидении. 

  Кстати, по моим сведениям из Украины, Молдовы и Румынии выпускается наибольшее количество Ransomware, если при этом не учитывать Восточные и Южные регионы Азии, где совершенной другой, более высокий процент и уровень вымогательства и хакерских атак. Одни вымогательские атаки из Украины, Молдовы и Румынии направлены на Россию, русскоязычные предприятия и пользователей, а другие на США, Европу и англоязычных пользователей.

  Пользователи компьютеров за последнюю пару лет стали гораздо чаще сталкиваться с программами-шифровальщиками,  фейк-шифровальщиками, блокировщиками-вымогателями и прочими, требующими выкуп за возвращение доступа к файлам, которые они зашифровали и сделали нечитаемыми, заблокировали и сделали недоступными, переместили, скрыли, удалили... Как это стало возможным? 



  Давно прошли те времена, когда распространением вредоносной программы занимался один преступник или начинающий программист. Сейчас чаще всего киберпреступники работают командой, т.к. такая совместная работа приносит больше прибыли. Например, с развитием вымогательской бизнес-модели (RaaS), основанной на оплате выкупа в биткоинах, одна группа может заниматься техподдержкой, написанием рекомендаций, через чат или по email подсказывать новым жертвам, как и где можно купить, обменять, перевести биткоины для последующей уплаты выкупа. Другая группа занимается разработкой, обновлением и отладкой вымогательского ПО. Третья группа обеспечивает прикрытие и размещение. Четвертая группа работает с C&C и администрирует работу из командного центра. Пятая занимается финансовыми вопросами и работает с партнёрами. Шестая компрометирует и заражает сайты... С развитием RaaS, чем сложнее и распространеннее вымогательское ПО, тем больше задействованных групп и выполняемых ими процессов. 

  Столкнувшись с атакой крипто-вымогателей пострадавшие оказываются перед сложным вопросом: Заплатить выкуп? или Распрощаться с файлами? Чтобы обеспечить себе анонимность киберпреступники используют сеть Tor и требуют выкуп в криптовалюте Bitcoin. На июнь 2016 денежный эквивалент 1 BTC уже превышает 60 тысяч рублей и меньше уже не станет. К сожалению, решив заплатить, пострадавшие невольно финансируют дальнейшую вымогательскую деятельность киберпреступников, аппетит которых растёт не по дням, а по часам и с каждой новой выплатой они убеждаются в своей безнаказанности. 

Посмотрите на "Топ 100 богатейших Биткоин Адресов и Биткоин распределение". Большинство тамошних криптовалютных богатеев-миллионеров стали таковыми незаконными и даже преступными методами. 



  Как же быть? Сегодня пока нет универсального инструмента для расшифровки данных, есть лишь отдельные утилиты, создаваемые и подходящие для конкретных шифровальщиков. Потому в качестве основной защиты рекомендуются меры, не допускающие заражения шифровальщиками, главной из которых является Актуальная антивирусная защита. При этом очень важно также повышение осведомленности пользователей об этих мерах и об угрозах, исходящих от программ-шифровальщиков и вымогателей. Для этой цели создан наш блог. Здесь собирается информация по каждому шифровальщику-вымогателю, фейк-шифровальщику или блокировщику, выдающему себя за шифровальщика. 

Во втором моём блоге "Дешифровщики файлов" с мая 2016 года суммируется информация по декриптерам, которые создаются для бесплатной дешифровки файлов, зашифрованных Crypto-Ransomware. Все описания и инструкции впервые публикуются на русском языке. Сверяйтесь регулярно. 

  Для цели профессиональной помощи летом 2016 года «Лаборатория Касперского», Intel Security, Европол и полиция Нидерландов организовали совместный проект "No More Ransom", направленный на борьбу с программами-вымогателями. Участники проекта создали сайт NoMoreRansom.org, содержащий общую информацию о шифровальщиках (на английском), а также бесплатные инструменты для восстановления зашифрованных данных. Сначала было всего 4 таких инструмента от ЛК и McAfee. На день написания этой статьи их было уже 7 и функционал был ещё более расширен. 

Примечательно, что этот проект только лишь в декабре дополнен группой декриптеров, которые давно описаны в моих блогах "Шифровальщики-вымогатели" и "Дешифровщики файлов". 


No More Ransom!
Обновление от 15 декабря 2016:
К проекту присоединились другие компании, ранее выпустившие другие дешифровщики. Сейчас там уже 20 утилит (некоторых даже по две):
WildFire Decryptor - от «Лаборатории Касперского» и Intel Security
Chimera Decryptor - от «Лаборатории Касперского»
Teslacrypt Decryptor - от «Лаборатории Касперского» и Intel Security
Shade Decryptor - от «Лаборатории Касперского» и Intel Security
CoinVault Decryptor - от «Лаборатории Касперского»
Rannoh Decryptor - от «Лаборатории Касперского»
Rakhni Decryptor - от «Лаборатории Касперского»
Jigsaw Decryptor - от Check Point
Trend Micro Ransomware File Decryptor - от Trend Micro 
NMoreira Decryptor - от Emsisoft
Ozozalocker Decryptor - от Emsisoft
Globe Decryptor - от Emsisoft
Globe2 Decryptor - от Emsisoft
FenixLocker Decryptor - от Emsisoft
Philadelphia Decryptor - от Emsisoft
Stampado Decryptor - от Emsisoft
Xorist Decryptor - от Emsisoft
Nemucod Decryptor - от Emsisoft
Gomasom Decryptor - от Emsisoft
Linux.Encoder Decryptor - от BitDefender
Теперь в "No More Ransom" состоят представители из 22 стран мира.


Удачи в дешифровке!!!


Не плати выкуп! Подготовься! Защити свои данные! Делай бэкапы!
Пользуясь моментом, напоминаю: 
Вымогательство — это преступление, а не игра! Не играйте в эти игры. 

© Amigo-A (Andrew Ivanov): All blog articles

R980

R980 Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-4096, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название происходит от названия папки с проектом R980. 

 К зашифрованным файлам добавляется расширение .crypt

 Записки с требованием выкупа называются: DECRYPTION INSTRUCTIONS.txt и rtext.txt 

В качестве обоев рабочего стола встает следующий файл:

 Содержание записки о выкупе: 
!!!! ATTENTION !!!! YOUR FILES HAVE BEEN ENCRYPTED! !!!!
ALL of your documents, photos, databases and other important files have been encrypted with AES-256 and RSA4096.You will not be able to recover your files without the private key which has been saved on our server. An antivirus can not recover your files.
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
HOW TO GET YOUR FILES BACK:
To decrypt your files you have to pay .5 Bitcoins (BTC).
How to make payment?
1. Firstly, you have to buy Bitcoins (BTC). You can buy Bitcoins easily at the following site (you can skip this step if you already have Bitcoins).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Send .5 BTC to the following Bitcoin address – You don’t have to send the exact amount above. You have to send at least this amount for our systems to confirm payment.
BITCOIN ADDRESS: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. Once you have paid to the above Bitcoin address we will give you a link to a decrypter that will fix your files.
It will be sent to a public email account we have created for you:
***ссылка на https://www.mailinator.com/***
Please wait up to 24 hours for your decrypter to arrive.

 Перевод записки на русский язык: 
!!!! ВНИМАНИЕ !!!! Ваши файлы зашифрованы! !!!!
ВСЕ ваши документы, фото, базы данных и другие важные файлы были зашифрованы с помощью AES-256 и RSA4096. Вы не сможете восстановить файлы без секретного ключа, который сохранен на нашем сервере. Антивирус не восстановит ваши файлы. 
hxxps: //en.wikipedia.org/wiki/Advanced_Encryption_Standard
КАК ПОЛУЧИТЬ файлы обратно:
Для дешифровки файлов вы должны уплатить 0.5 биткоина (BTC).
Как сделать платеж?
1. Во-первых, вы должны купить Bitcoins (BTC). Можно легко купить Bitcoin на следующем сайте (пропустите этот шаг, если у вас уже есть биткоины).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Отправить 0.5 BTC на следующий адрес – Вы не должны отправлять точную сумму. Вы должны отправить нам по крайней мере эту сумму для подтверждения оплаты.
Bitcoin-адрес: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. После того, как вы заплатили биткоины по указанному выше адресу, мы дадим вам ссылку на декриптер, который исправит ваши файлы.
Он будет направлен на email-аккаунт, который мы создали для Вас:
***ссылка на https://www.mailinator.com/***
Пожалуйста, ждите 24 часа для прихода вашего декриптера.

 Распространяется с помощью email-спама и вредоносных вложений, а также с помощью ссылок на зараженные сайты и P2P-сетей. Для пересылки декриптера вымогатели использовали почтовый сервис mailinator.com

После завершения шифрования вредонос удаляет тома теневых копий файлов. 

 Список файловых расширений, подвергающихся шифрованию: 
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db,  .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx,  .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (здесь 97 расширений). 

 Файлы, связанные с R980 Ransomware: 
db.txt - данные жертвы
keys.txt - BTC-адрес
f.exe - исполняемый файл

Дополнение от TrendMicro от 10 августа
Показателями компрометации ПК могут быть также файлы:
rtext.txt – записка о выкупе;
status.z – нужен для начального запуска вымогателей;
status2.z – нужен для запуска копии вымогателя;
k.z – содержит загруженные base64 декодированные данные;
fnames.txt – содержит имена зашифрованных файлов.
Итого: R980 шифрует уже 151 тип файлов. 

 Записи реестра, связанные с Ransomware: 
***

 Степень распространённости: низкая. 
 Подробные сведения собираются.

пятница, 29 июля 2016 г.

Turkish

Turkish Ransomware 

UYARI Ransomware 

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. 

© Генеалогия:  HiddenTear >> Turkish Ransomware

Основан на крипто-конструкторе HiddenTear. Ориентирован только на турецкоязычных пользователей, т.к. требования о выкупе написаны на турецком языке. 

К зашифрованным файлам добавляется расширение .locked

Записка с требованием выкупа называется DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html (Узнайте, как вернуть ваши файлы). 

 Содержание записки о выкупе: 
UYARI 
Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir 
Bilgisayarınızda, ağ disklerinde ve USB belleklerde olan önemli dosyalarınız; fotoğraflar,videolar ve kişisel bilgiler Cryptolocker virüsü ile şifrelenmiştir. Bizim şifreleme çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. Aksi takdirde, tüm dosyalarınızı ve harddiskinizi kaybedersiniz. 
Dikkat:Cryptolocker virüs kaldırma işlemi şifrelenmiş dosyalara erişim sağlamaz. 
• İlk olarak '***' bu bitcoin adresine 2 bitcoin yatırınız.
• Buradan bitcoin gönderimi yapabilirsiniz.
• Bitcoini gönderirken açıklama kısmına şirketinizin adını yazınız.
• Buradan bize mail yollayıp mailde de açıklamaya yazdığınız şirket adınızı yazınız. (Gmail üzerinden mail atınız diğer mail istemcileri kabul edilmeyecektir.)
• Yukarıdaki maddeler de özellikle açıklama kısımlarına dikkat ediniz aksi takdirde bitconin veya mailin sizden geldiğine emin olamayız.
• İkisininde açıklamasına yazdığınız değerler eşit olmalıdır. Bunlar bilgisayar tarafından kontrol edildiği için lütfen yazdıklarınızdan emin olunuz. 
Bitcoin açıklamasına yazdığınız değer için örnek; Özsüt Limited 
Mail açıklamanızda Özsüt Limited geçmelidir. Örnek; 
Özsüt Limited adına size ulaşıyorum lütfen CryptoLocker virüsünü kaldırmamız için gerekli programı yollar mısınız. 
İstediğiniz miktar BitCoin adresinize yollanmıştır. 
İyi çalışmalar. 

Bu sayfa en iyi 1920x1080px çözünürlükte ve chrome veya mozilla üzerinde görünür. Lütfen Internet Explorer ile açmayı denemeyiniz. Eğer açtıysanız dosyalarınız bir kez daha şifrelenmiştir. Lütfen bizimle iletişime geçiniz. 

 Перевод записки на русский язык (выполнил Amigo-A): 
ВНИМАНИЕ!
Все ваши файлы зашифрованы вирусом CryptoLocker
Все ваши важные файлы на компьютере, на сетевом диске и USB-памяти, фото, видео и личные данные зашифрованы вирусом CryptoLocker. Единственный способ вернуть файлы покупка нашего дешифровщика. Иначе вы потеряете все файлы безвозвратно.
Внимание: Удаление CryptoLocker не откроет вам доступ к зашифрованным файлам.
• Переведите 2 биткоина на Bitcoin-адрес ***
• Вы можете отправить Bitcoin здесь (ссылка)
• Введите название Вашей компании в описании отправленных Bitcoin.
• Введите в email имя компании, от имени которой отправляете. (Пишите только через почту Gmail, с другой не будет почтовый клиент не примет.) 
• Обратите внимание на пункт выше, иначе мы не будем уверены, что Bitcoin или email-письмо пришли от вас.
• Название, которое вы ввели в описании и письме, должны совпадать, пока они еще на вашем ПК, пожалуйста, убедитесь, что написали.
Например, если вы отправляли Bitcoin от имени Ёзсют Лимитед, то в вашем письме отправитель должен быть Ёзсют Лимитед, а в самом письме должно быть написано: 
"Я обращаюсь к Вам от имени Ёзсют Лимитед. Пожалуйста, пришлите программу для удаления вируса CryptoLocker. Нужная сумма была отправлена на ваш Bitcoin-адрес."
Готово.

Эта страница будет отображаться в разрешении 1920x1080px Chrome или Mozilla. Попробуйте открыть браузер Internet Explorer. Если открытый файл зашифрован файл, то еще раз. Пожалуйста, свяжитесь с нами.

Распространяется с помощью email-спама и вредоносных вложений.

 Список файловых расширений, подвергающихся шифрованию: 
.txt, .rar, .jpeg, .jpg, .pdf, .sql, .png, .accdb, .xls, .xlsx, .doc, .docx, .ppt, .pptx, .zip, .gz, .tar, .tib, .tmp, .frm, .dwg, .pst, .psd, .ai, .svg, .gif, .bak, .db

 Файлы, созданные Turkish Ransomware: 
C:\Users\User_name\Documents\ransom.exe
C:\Users\User_name\.windowsServiceEngine
C:\Users\User_name\Desktop\DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html 

 Раздел реестра, созданный Turkish Ransomware: 
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsServiceEngine

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Remove Turkish Decrypt Delete UYARI Decode Restore files Recovery data Удалить HiddenTear Дешифровать Расшифровать Восстановить файлы Removal Uninstall Eliminar Borrar Entfernen Deinstallieren Löschen 


четверг, 28 июля 2016 г.

Cerber 2.0

Cerber 2.0 Ransomware 


   Новая версия криптовымогателя Cerber была обнаружена сразу несколькими исследователями, независимо друг от друга. Все они наблюдали за новой вариацией в течение июля 2016. 

© Генеалогия: Cerber > Cerber 2.0 > Cerber 3.0 > Cerber 4.0 Cerber 5.0

Cerber 2.0 Ransomware имеет ряд существенных изменений от предыдущей версии, как внутренних, так и внешних. Так теперь используется метод шифрования RC4+RSA. 
Разработчик, привлекающий новых партнеров на подпольных форумах, скрылся за ником crbr. В его сообщении с рекламой партнер-участник получает 60% от прибыли с дополнительными 5 процентами за привлечение нового участника в программу. Остальные деньги уходят разработчику. Контрольная панель, предлагаемая партнерским филиалам, доступна на 12 языках, включая арабский, китайский, португальский и турецкий языки. Согласно данным от того же crbr, 3% всех жертв в основном из Австралии, Канады, Франции, Германии, Великобритании, Индии, Италии, Южной Кореи и США - платят за покупку декодера.

Записок о выкупе три в разных форматах: 
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.vbs

Названия записок о выкупе не изменились. Содержание текстового файла также обширно и нудно, потому мы его опускаем и отдаём предпочтение другим деталям. 
HTML-версия записки о выкупе

Скринлок, встающий обоями рабочего стола

Внешние изменения:
Cerber-2 теперь использует упаковщик, чтобы усложнить его обнаружение и анализ.
Шифрование изменено, чтобы использовать Microsoft API CryptGenRandom для генерации ключа. Генерируемый ключ теперь составляет 32 байта, а не 16 байтов, используемых в предыдущих версиях. Эти изменения привели к тому, что Cerber Decryptor от Trend Micro уже не может расшифровать зашифрованные этой версией файлы.
Зашифрованные файлы получают расширение .cerber2. Раньше было — .cerber
Используется значок из детской игры под название Anka. Но он может поменяться. 
Скринлок, встающий обоями рабочего стола, поменялся на мелкопиксельный фон. 
Ошибка, позволявшая ранее дешифровать зашифрованные файлы, увы, устранена. 
Так выглядят зашифрованный файлы

Значок исполняемого файла Anka

Внутренние изменения:
Вымогатель теперь использует упаковщик, чтобы осложнить обнаружение и анализ.
Для генерации ключа шифрования ныне используется API CryptGenRandom Microsoft.
Ключ генерируется теперь на 32 байта, а не 16 байт, как было в предыдущей версии. 
Файловых расширений, подвергающихся шифрованию, в новой версии стало больше. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip (456 расширений). 

Как и прежде, Cerber проверяет локализацию ПК и не шифрует файлы в ПК пользователей из следующих стран: Азербайджан, Армения, Беларусь, Грузия, Казахстан, Кыргызстан, Молдова, Россия, Таджикистан, Туркменистан, Узбекистан, Украина. Из-за этого факта некоторые исследователи, в частности CheckPoint в своем отчете, представленным в августе 2016 года, сделали выводы, что Cerber запускается из России. Такая стратегия позволяет атакующим избежать правовых преследований со стороны правоохранительных органов этих стран.

Примечательно, что в чёрном списке у Cerber v.2 прописаны следующие антивирусные программы: ArcaBit, ArcaVir, Avast, Bitdefender, Bullguard, CA, Emsisoft, ESET, eScan, eTrust, F-Secure, G Data, Kaspersky, Lavasoft, TrustPort. Это значит, что, обнаружив на ПК их присутствие, вымогатель просто не станет запускаться. 

Шифровальщик завершает следующие процессы:
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
sqlservr.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe

Шифруются файлы в директориях:
:\\documents and settings\\all users\\documents\\
:\\appdata\\roaming\\microsoft\\office\\
:\\excel\\
:\\microsoft sql server\\
:\\onenote\\
:\\outlook\\
:\\powerpoint\\
:\\steam\\
:\\the bat!\\
:\\thunderbird\\

Не шифруются файлы: 
boot.ini
bootsect.bak
desktop.ini
iconcache.db
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db

Пропускаются файлы в директориях:
 :\\$recycle.bin\\ 
 :\\$windows.~bt\\ 
 :\\boot\\ 
 :\\documents and settings\\all users\\ 
 :\\documents and settings\\default user\\ 
 :\\documents and settings\\localservice\\ 
 :\\documents and settings\\networkservice\\ 
 :\\program files\\ 
 :\\program files (x86)\\ 
 :\\programdata\\ 
 :\\recovery\\ 
 :\\recycler\\ 
 :\\users\\all users\\ 
 :\\windows\\ 
 :\\windows.old\\ 
 :\\appdata\\local\\ 
 :\\appdata\\locallow\\ 
 :\\appdata\\roaming\\adobe\\flash player\\ 
 :\\appData\\roaming\\apple computer\\safari\\ 
 :\\appdata\\roaming\\ati\\ 
 :\\appdata\\roaming\\intel\\ 
 :\\appdata\\roaming\\intel corporation\\ 
 :\\appdata\\roaming\\google\\ 
 :\\appdata\\roaming\\macromedia\\flash player\\ 
 :\\appdata\\roaming\\mozilla\\ 
 :\\appdata\\roaming\\nvidia\\ 
 :\\appdata\\roaming\\opera\\ 
 :\\appdata\\roaming\\opera software\\ 
 :\\appdata\\roaming\\microsoft\\internet explorer\\ 
 :\\appdata\\roaming\\microsoft\\windows\\ 
 :\\application data\\microsoft\\ 
 :\\local settings\\ 
 :\\public\\music\\sample music\\ 
 :\\public\\pictures\\sample pictures\\ 
 :\\public\\videos\\sample videos\\ 
 :\\tor browser\\

 Степень распространённости: высокая
 Подробные сведения собираются.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Cerber Ransomware - январь - март 2016
Cerber RaaS март - август 2016 и далее
Cerber 2.0 Ransomware - август 2016
Cerber 3.0 Ransomware - август - сентябрь 2016
Cerber 4.0 Ransomware - октябрь 2016 и далее
Cerber 5.0 Ransomware -  декабрь 2016 - начало 2017 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновления августа 2017:
Фальш-копираты: CamStudio Group, Gentis Media Inc., Corel Corporation
Фальш-имена: Acotyledon.exe, Straightness.exe, Parameter.exe, Giobertite.exe
Результаты анализов: VT, VT, VT

Cerber с анти-канареечной технологией и защита от него
  Так называемые "canary files" (файлы-приманки, канарейки) являются техникой безопасности для раннего обнаружения атаки (шифровальщиков-вымогателей) Crypto-Ransomware. С помощью "canary files" защитные программы, например от Cybereason, отслеживают любые модификации в системе, при обнаружении попытки шифрования этих файлов, система безопасности сразу принимает контрмеры.
  Новая августовская модификация шифровальщика Cerber способна обходить эту меру. Чтобы избежать шифрования "канареек", Cerber теперь ищет файлы изображений (.png, .bmp, .tiff, .jpg и т.п.), а затем проверяет, действительно ли они являются файлами изображений. Обнаружив подозрительное несоответствие, Cerber теперь пропускает весь каталог, в котором обнаружил сомнительные файлы.
  Но новые возможности вымогателя Cerber можно использовать против него самого. Достаточно поместить всего один файл, изначально не являющийся изображением, например, txt-файл, в любую важную папку, переименовать его расширение на jpg или png, и тогда Cerber, приняв его за файл-приманку, не будет шифровать файлы во всей папке. Таким образом, можно защитить любую папку, содержащую ценные данные. Но если папок много, то эту операцию нужно выполнять для каждой папки. 
Источник >> 

Обновление от 16-17 августа 2016
Check Point Software провели исследование многих инцидентов, связанных с деятельностью Cerber 1 и Cerber 2 в разных странах. Их результаты представлены в подробном исследовательском докладе по Cerber RaaS и дешифрованию Cerber v.1 и v.2.
Мониторинг деятельности Cerber RaaS позволил выявить различные кампании по распространению, выполняемые филиалами Cerber для заражения жертв. Начав с кампании по распространению эксплойтов по email, Cerber показал стратегию развития, дойдя до распространения Ransomware-инсталляторов. Как можно видеть на картинке ниже, для распространения Cerber широко использовали наборы эксплойтов Rig, Neutrino и Magnitude, причем Magnitude EK тут был в явном фаворе.
Доход от партнерской системы работы Cerber RaaS огромен, это $195000 прибыли за июль, из которой разработчики RaaS берут себе 40%. Это составляет $78000 прибыли разрабов вредоносов в июле и сулит им $946000 в прогнозе на год!
Разработчики Cerber управляют C&C-серверами, партнерской системой, центром поддержки дистрибьюторов-аффилиатов, а также получают доход от программирования новых вымогателей, в то время как филиалы распространяют вымогателей, чтобы заражают своих жертв по всему миру.

Для того, чтобы объяснить, как работает партнерская система Cerber RaaS, Check Point выпустила инфографику, представленную ниже.
Как можно видеть на картинке ниже, для распространения Cerber широко использовали наборы эксплойтов Rig, Neutrino и Magnitude, причем Magnitude EK тут был в явном фаворе.
Когда Cerber связывается со своими C&C-серверами, то он отправляет сообщения на широкий диапазон IP-адресов. Это делается для того, чтобы правоохранителям было труднее найти сервер, но благодаря этому исследователи безопасности могут прослушивать эти IP-адреса, чтобы увидеть отправляемую информацию. 

Специальный сайт для расшифровки файлов после атаки Cerber и Cerber-2 находился по адресу: https://www.cerberdecrypt.com/RansomwareDecryptionTool/
Так выглядели сайт для расшифровки файлов и сам дешифровщик от CheckPoint, запущенный для теста набросом на cmd-файл. 
Для дешифрования файлов был нужен специальный файл "pk" (без расширения), содержащий ключ для расшифровки. Сервис от CheckPoint извлекал ключ из загруженного зашифрованного файла (не более 1 Мб), а затем сохранял его в файл "pk" и загружал сам дешифровщик cerber12dec.exe. После этого пострадавший должен был запустить cerber12dec.exe на своем ПК, чтобы дешифровщик просканировал Пк и расшифровал все файлы. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Check Point создали сайт для бесплатной расшифровки файлов. 
Этот сайт больше недоступен. См. его в веб-архиве >>  
Дешифратор от Check Point >>
Описание работы дешифровщика смотрите выше.
Статья о дешифровщике и его работе на английском >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Cerber 2.0)
 Write-up, Write-up, Topic of Support
 * 
 Видеопрезентация от  Check Point 
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 Check Point 
 to the victims who sent the samples
 


© Amigo-A (Andrew Ivanov): All blog articles.

среда, 27 июля 2016 г.

Jager

Jager Ransomware 

(JagerDecryptor)


 Этот крипто-вымогатель шифрует данные пользователей с помощью  AES-256, а затем требует написать вымогателям, чтобы уплатить выкуп от $50 в биткоинах и вернуть файлы обратно. Название JagerDecryptor придумано самими вымогателями. Разработка: mIRC Co. Ltd.

Ключ AES шифруется с помощью RSA и добавляется к концу файла вместе с AES IV и другой информацией. У каждого зашифрованного файла в первых 4 байтах будет "!ENC". 

Записки с требованием выкупа называются: Important_Read_Me.txt и Important_Read_Me.html



 Содержание записки о выкупе: 
All your files have been encrypted with RSA-2048 and AES-256 ciphers. 
To decrypt your files you need a private key which only we have on our server and nobody else.
Decryption price: 50$
Decryption price after 24h: 100$
Decryption price after 48h: 150$
After 72h: All your files will be unrecoverable
Contact us with email for more information about price and payment process (smartfiles9@yandex.com) don't forget to include your unique id (6ADF97F83ACF6453D4A6A4B1070F3754bqkmqebajjnwj)
We will use BitCoins for payment. If you haven't used BitCoins before follow this steps:
1. Start by creating a BitCoin wallet (we recommend Blockchain.info)
2. Buy neccessary amount of BitCoins, our recommendations.
We will decrypt one file for free to show that our decryptor works. You can find this document in desktop and documents folders

 Перевод записки на русский язык (стиль сохранен): 
Все ваши файлы зашифрованы с RSA-2048 и AES-256 шифрами.
Для дешифровки файлов нужен закрытый ключ, который есть только на нашем сервере.
Цена дешифровки: 50 $
Цена дешифровки через 24 ч.: 100 $
Цена дешифровки через 48 ч.: 150 $
После 72 ч. все ваши файлы будут невозвратными
Свяжитесь с нами по email для получения ещё информации о ценах и оплате (smartfiles9@yandex.com), не забудьте указать свой ID (6ADF97F83ACF6453D4A6A4B1070F3754bqkmqebajjnwj)
Мы использeем Bitcoins для оплаты. Если вы не имеете Bitcoins, следуйте этим шагам:
1. Начните с создания кошелька Bitcoin (мы рекомендуем Blockchain.info)
2. Купите нужное количество Bitcoins, наши рекомендации.
Мы дешифруем один файл бесплатно, чтобы показать работу декриптора. Вы найдете этот документ в папке на столе и документах

Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .aes, .ai, .aif, .apk, .app, .arc, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .bmp, .brd, .bz2, .c, .cer, .cfg, .cfm, .cgi, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .css, .csv, .cue, .db, .dbf, .dch, .dcu, .dds, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dtd, .dwg, .dxf, .eml, .eps, .fdb, .fla, .flv, .frm, .gadget, .gbk, .gbr, .ged, .gif, .gpg, .gpx, .gz, .h, .htm, .html, .hwp, .ibd, .ibooks, .iff, .indd, .jar, .java, .jks, .jpg, .js, .jsp, .key, .kml, .kmz, .lay, .lay6, .ldf, .lua, .m, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mfd, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpa, .mpg, .ms11, .msi, .myd, .myi, .nef, .note, .obj, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pct, .pdb, .pdf, .pem, .php, .pif, .pl, .plugin, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .priv, .privat, .ps, .psd, .pspimage, .py, .qcow2, .ra, .rar, .raw, .rm, .rss, .rtf, .sch, .sdf, .sh, .sitx, .sldx, .slk, .sln, .sql, .sqlite, .sqlite, .srt, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlb, .tmp, .txt, .uop, .uot, .vb, .vbs, .vcf, .vcxpro, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .wpd, .wps, .wsf, .xcodeproj, .xhtml, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .yuv, .zip, .zipx, .dat (228 расширений)

Шифровальщик пропускает файлы, находящиеся в директориях:
Application Data, AppData, Boot, ProgramData, Program Files, Program Files (x86), System Volume Information, Temp, Windows, $Recycle.Bin

Файлы, связанные с Ransomware: 
Important_Read_Me.txt
Important_Read_Me.html
<random>.exe
C:\ProgramData\encrypted.txt - список зашифрованных файлов

 Записи реестра, связанные с этим Ransomware: 
***

Сетевые подключения и связи: 
xxxx://steamcards.xyz/ghzbvychhz/  - C2
smartfiles9@yandex.com

Детект на VirusTotal >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.

понедельник, 25 июля 2016 г.

Rush

Rush Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .crashed. Жертве сообщается, что если выкуп не уплачен в течении 5 ней, то все зашифрованные файлы будут удалены. 

 Записка с требованием выкупа DECRYPT_YOUR_FILES.HTML размещается в каждой папке с зашифрованными файлами. 

 Содержание записки о выкупе: 
All your flies have been encrypted with Rush Ransomware
Your unique GUID for decrypt ***
Send me some 2 bitcoin on adress: 1MNXvRY***
After confirming the payment, all your files can be decrypted.
If you do not make payment within 5 days, you will lose the ability to decrypt them AND ALL YOUR FILES HAVE BEEN DELETED.
Make your Bitcoin Wallet on: https://www.coinbase.com/ or xxxx://blockchain.info
How to buy /sell and send Bitcoin :
1)xxxxs://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
2)xxxxs://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3)xxxxs ://support.coinbase.com/customer/en/portal/topics/60 111 2-sending-receiving-bitcoin/articles
After the payment, send the wallet from which paid and your uniq ID to mail: unransom@me.com
After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

 Перевод записки на русский язык: 
Все ваши файлы были зашифрованы Rush Ransomware
Ваш уникальный GUID для дешифровки ***
Прислать мне 2 биткоина на адрес: 1MNXvRY ***
После проверки платежа все ваши файлы могут быть расшифрованы.
Если вы не платите за 5 дней, то потеряете возможность дешифровки и все ваши файлы будут удалены.
Сделайте себе Bitcoin-кошелёк: https://www.coinbase.com/ или xxxx://blockchain.info
Как купить / продать и отправить Bitcoin:
1) xxxxs://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
2) xxxxs://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) xxxxs ://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoin/articles
После оплаты сообщите кошелек, из которого платили и ваш уникальный ID на unransom@me.com
После получения оплаты мы свяжемся с вами, дадим дешифровщик и FAQ как дешифровать файлы.

 Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .csv, .doc, .docx, .dwf, .html, .jpg, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbb, .rpt, .sldprt, .sln, .sql, .txt, .xls, .xlsx, .xml

 Файлы, связанные с Ransomware: 
***
 Записи реестра, связанные с Ransomware: 
***

Степень распространённости: низкая. 
 Подробные сведения собираются.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *